Swap mit Sitzungskennwort verschlüsseln

[WhopperBS]

Hallo zusammen,

ich möchte gerne die Swappartition für Suse 10.3 sichern. Mir ist hierzu auch folgende Anleitung bekannt:
http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO#Create_an_encrypted_swap_partition

Allerdings möchte ich nicht noch eine weitere Passphrase beim Systemstart eintippen.
Mir wäre eine Lösung, bei der stets ein neuer Sitzungsschlüssel generiert wird viel lieber. Für andere Distributionen, z.B. Ubuntu, gibt es das meines Wissens auch.
Weiß jemand, ob man diese Methode auch bei Suse anwenden kann?
Und wenn, würde es mich auch sehr interessieren wie das geht
Auf S2D und S2R kann ich gut verzichten. Das hat bei mir ohnehin nie sauber geklappt.

Gruß
Tim

 

[/dev/null]

Hi Tim,

es kommt mir so vor, als diagnostiziere ich hier eine leichte Wolfgangitis. Ist auch zu verstehen, denn diese Form der Paranoia zieht sich seit ein paar Monaten durch alle Foren.

Aber wir wollen ja ernsthaft diskutieren.

Zuerst solltest du uns mitteilen, was du mit der Kryptierung der swap bezweckst.
Willst du damit:
1. Dich im Falle eines Diebstahles (im weitesten Sinne ...) vor Datenabgriff schützen, oder
2.) Willst du die Kiste im Betrieb sicherer machen?

Ich gebe dir auch gleich meine pers. Meinung zu diesen Fällen:

zu 1.)
Woher hast du die Garantie, dass sich deine "Geheimnisse" ausschließlich in der swap befinden?
Also auch noch "dieses und jenes" kryptieren ...
Und beim Booten wird die swap auch gleich automatisch entschlüsselt (> Allerdings möchte ich nicht noch eine weitere Passphrase beim Systemstart eintippen.)
IMHO: Blödsinn.

zu 2.)
Dir ist sicherlich bekannt, dass im laufenden Betrieb eine kryptierte Partition unverschlüsselt vorliegt?
IMHO: Blödsinn.


Selbstverständlich ist der Gedanke der Verschlüsselung der Festplatte nicht von der Hand zu weisen. Er ist sogar sehr gut und in manchen Bereichen sogar gefordert. Nur, wirklich bringt es etwas, wenn du die komplette HD kryptierst.
In meinem dienstlichen Notebook (WinDOSe) steckt im Kartenslot ein Hardwaremodul+Chipkarte. Damit wird die gesamte Festplatte verschlüsselt. Ist natürlich eine teuere Lösung.
Aber es geht auch billiger: Für die WinDOSe gibt es "SafeGuard easy". Kostet auch immer noch.
Also noch preiswerter, aber keinesfalls schlecht: "Free Compusec" von CE-Infosys. Gibt es sowohl für Windows als auch für Linux. Läuft auf meinem privaten Lappi schon Ewigkeiten problemlos.

Wie gesagt, das war meine private Meinung zum Thema. Mal sehen, was die anderen dazu sagen.

MfG Peter

 

[WhopperBS]

Hallo Peter,

erstmal danke für deine persönliche Meinung, obgleich sie beim Beantworten meiner Frage nicht unbedingt hilfreich ist.

Dennoch ein paar Worte dazu.

Aber wir wollen ja ernsthaft diskutieren.
Zuerst solltest du uns mitteilen, was du mit der Kryptierung der swap bezweckst.

Nö, sollte ich eigentlich nicht. Warum auch? Ziel meiner Frage war es ja nicht, eine Diskussion über Sinn und Unsinn vom Zaun zu brechen sondern lediglich eine technische Lösung unter den genannten Bedingungen zu erörtern.

Willst du damit:
1. Dich im Falle eines Diebstahles (im weitesten Sinne ...) vor Datenabgriff schützen, oder
2.) Willst du die Kiste im Betrieb sicherer machen?

Eher das Erste. Wenn der Deckel einmal zu ist, sollte kein Unbefugter mehr Zugriff auf die sich darauf befindenden Daten haben.

zu 1.)
Woher hast du die Garantie, dass sich deine "Geheimnisse" ausschließlich in der swap befinden?

Nirgendwo her. Ich benötige dafür auch keine Garantie. Im Gegenteil. Da ich mit einem recht üppigen Arbeitsspeicher gesegnet bin (bzw. mein Rechner), befinden sich meine "Geheimnisse" ohnehin so gut wie nie im Swap. Zumindest wird nur recht selten darauf zugegriffen. Die eigentlichen Dokumentenordner und evtl. Temprärverzeichnisse sind bereits entpr. gesichert. Aber wie gesagt, darum soll es hier auch nicht gehen.

Und beim Booten wird die swap auch gleich automatisch entschlüsselt (> Allerdings möchte ich nicht noch eine weitere Passphrase beim Systemstart eintippen.)
IMHO: Blödsinn.

Das sehe ich so nicht ein. Wozu sollte ich mir dafür ein Passwort merken müssen? Der Speicherinhalt wird wenn überhaupt nur für eine Sitzung benötigt. Was soll ich dann mit einem Schlüssel für die Ewigkeit?

zu 2.)
Dir ist sicherlich bekannt, dass im laufenden Betrieb eine kryptierte Partition unverschlüsselt vorliegt?
IMHO: Blödsinn.

Ja, das ist mir natürlich bekannt.

Jedenfalls habe ich mir spaßeshalber mal den Inhalt des Swaps angesehen und bin neben einigem Binärmüll auch auf Klartextinhalte gestoßen. Dabei handelte es sich u.a. um Emailadressen und Inhalte aus von mir geöffneten Dokumenten.
Und da es bei anderen bei anderen Distributionen offenbar sehr elegante Lösungen für dieses zugegeben kleine Problem gibt, würde ich gerne auf kostspielige Hardware verzichten.