DualBoot: Win7 mit TC und Linux mit dm-crypt / LUKS

Hat hier jemand so eine Kombination laufen? Also Komplettverschlüsselung von Win & Linux (bis auf /boot).

Kann man das mittlerweile einfach so installieren, oder geht das nur von hinten durch die Brust ins Auge, so dass man sich ein Wochenende Zeit nehmen muss?

Gibts Nebenwirkungen? Z.B. kein Suspend to Disk oder RAM mehr möglich (/swap würde ich auch verschlüsseln)?

Muss man beim MBR/Bootmanager irgendwas besonderes beachten? Und wie läuft der Bootvorgang überhaupt ab? Startet z.B. erst GRUB, das dann entweder den TC Loader oder direkt Linux lädt, und der TC Loader lädt dann Windows?



Bitte keine RTFM Antworten. Ich R ja T F M sobald ich Zeit habe, aber wenn hier _zufällig_ jemand alles kurz beantworten kann, wäre das sehr nett.

Bist du ein böser Pirat ? Oder wiso willst du alles verstecken !!!

Hi,

> Hat hier jemand so eine Kombination laufen? Also Komplettverschlüsselung von Win & Linux (bis auf /boot).

Ja, ich.

> Kann man das mittlerweile einfach so installieren, oder geht das nur von hinten durch die Brust ins Auge, so dass man sich ein Wochenende Zeit nehmen muss?

Kann ich Dir leider nicht genau sagen, da ich es kompliziert gemacht habe ;P

> Gibts Nebenwirkungen? Z.B. kein Suspend to Disk oder RAM mehr möglich (/swap würde ich auch verschlüsseln)?

Den Linux-Swapspace verschlüsselt man in der Regel mit einem Zufallskey; dann geht Suspend to Disk unter Linux nicht mehr, weil beim nächsten Start der Schlüssel weg ist. Unter Win funktioniert Suspend to Disk problemlos, da ja hiberfil.sys auf dem verschlüsselten Laufwerk liegt.

> Muss man beim MBR/Bootmanager irgendwas besonderes beachten?

Ja, Du musst aufpassen, dass der GRUB nicht den Truecrypt-Bootloader plattbügelt; dieser liegt im Bereich hinter dem MBR/Partitionstabelle vor dem Beginn der ersten Partition (dort hat man, wenn die erste Partition klassisch bei Sektor 63 anfängt, incl. MBR 32256 Byte zur Verfügung). Leider installiert sich der GRUB auch dorthin, wenn man ihn "gewöhnlich" installiert.

> Und wie läuft der Bootvorgang überhaupt ab? Startet z.B. erst GRUB, das dann entweder den TC Loader oder direkt Linux lädt, und der TC Loader lädt dann Windows?

Genau so funktioniert es bei mir. Ist nicht "ungefährlich", da wie gesagt der GRUB beim normalen Installieren den TC-Loader überschreibt. Bei mir ist es problemlos, da ich keinen Automatismus habe, der von Zeit zu Zeit (bei Kernelupdate o.ä.) GRUB neu installiert; ich benutze ein Gentoo, das ich aus Faulheitsgründen mit einem uralten Kernel betreibe.

Die Vorgehensweise kann ungefähr so aussehen:

- Windows installieren, Windows mit TC vollverschlüsseln
- Linux-Livesystem booten und die ersten 32256 Byte der Festplatte sichern (dd if=/dev/sda of=32256backup bs=32256 count=1)
- Linux wie gewohnt installieren
- wieder Livesystem, Backup wieder einspielen (dd if=32256backup of=/dev/sda)
- GRUB auf LILO-Art installieren (d.h. statt mit stage1.5, die Dateisysteme versteht, werden die Sektoren der Stage 2 und des Kernelimages in den MBR geschrieben). In der GRUB-Shell:

install (hd0,0)/grub/stage1 (hd0) (hd0,0)/grub/stage2 0x8000 p

(falls /boot auf /dev/sda1 liegt, ansonsten halt (hd0,1) usw)

- Windows in die menu.lst einbinden:

title Windows via Truecrypt
rootnoverify (hd0,x)
chainloader (hd0,0)/32256backup

(strenggenommen würden hier die ersten 446 Byte von 32256backup reichen, so groß ist nämlich der Bootcode ;-)

So lädt GRUB beim Auswahl von "Windows via Truecrypt" den Bootrecord aus dem 32256backup-Image, der wiederum vor der ersten Partition den TC-Bootloader aufruft, und dieser entschlüsselt dann C:, damit Windows booten kann.

Fazit: Das ist doch noch ein ganzer Haufen Handarbeit und auch nur dann stabil, wenn man sicherstellen kann, dass der MBR sowie der Bereich vor der ersten Partition in Frieden gelassen werden.

LG
Marco

P.S.: Das hier bezieht sich auf TC 6.x und GRUB Legacy (0.x). Mit GRUB 2 hab ich mich bisher nicht befasst.

Achja, Nachtrag: Wie durch "GRUB auf LILO-Art installieren" schon angedeutet, bei dieser Art der Installation muss man wie weiland bei LILO nach jeder Änderung am Kernel- oder initrd-Image (und mutmaßlich auch an der menu.lst, ohne Garantie) GRUB erneut installieren, da unter Umständen die Dateien auf neuen Sektoren liegen. Glaube ich jedenfalls...

Welchen Sinn macht bitte eine Systemverschluesselung, wenn man das System an jeder Ecke kaufen oder kostenlos aus dem Netz runterladen kann??? Man lege einfach die sensiblen (eigenen) Dateien auf einer verschluesselten Partition ab und gut. Erleichert a) die Datensicherung und macht b) das Gesamtsystem schneller, da nicht beim Laden jeder dll/lib entschluesselt werden muss.

Verarsch doch den armen Jungen nicht so.

Ein bißchen Spaß muß sein...

Lies Dir am besten folgendes durch:

http://blog.dbclan.de/index.php/2008/03/windows-encrypted-truecrypt-linux-encrypted-dm-crypt/

Zwar sind die jeweils eingesetzten Versionen ein bisschen "älter", aber dennoch stimmt noch alles... =:-)

Auf obiger Seite hat's auch einen Verweis auf http://kuparinen.org/martti/comp/ubuntu/en/cryptolvm.html, auch das ein wenig "älter", doch immer noch gültig. So mach' ich es etwa seit Jahr und Tag, und all das paßt auch (noch) für Win7 & (x/k)Ubuntu 10.04.

Hope that helps.

Wie lange das dauert hängt natürlich davon ab, wie groß Deine Platte(n) sind, das sollte klar sein.

Linuxseitig brauchst Du die "alternate"-Scheibe, und die Einrichtung geht textbasiert vor sich. Die Verschlüsselung selbst ist typisch linux-speedy, einzig TrueCrypt auf Windows braucht ein Weilchen. Doch wie schon erwähnt hängt das mit der Plattengröße zusammen.

Wie auch immer, wenn Du nix zu sichern hast & Deinen PC neu aufsetzt, dann solltest Du -- bei einer 500GB-Platte -- in etwa drei bis vier Stunden einrechnen; mit oben erwähnten Anleitungen.

Ich habe diese Kombi, fast

Allerdings ist Win7 unverschlüsselt (da nur Spiele-OS) und auf Linux (KUbuntu 10.04) habe ich eine mit LUKS verschlüsselte Partition, die nur bei Bedarf z.B. mit
cryptsetup luksOpen /dev/hdb3 archive
geöffnet wird.

Ist das keine Alternative?


P.S. Ich traue "fix-fertigen" Lösungen irgendwie nicht, und zudem ist ein Win am Netz mit DAUERND geöffnetem Crypt-Container genauso unsicher wie wenn man gar nicht verschlüsselt.
P.P.S Steuerdaten, Korrespondenz, Budgetplanung, Passwörter, etc gehen niemanden etwas an, deshalb die Verschlüsselung - und das hat JEDER zu verbergen, auch wenn er es nicht weiss/wahrhaben will. Geheimnisse haben ist ein Grundrecht, IMHO - aber das nur nebenbei.


Gruss, Ice

... offenbar nicht so recht verstanden, wie das so vor sich geht mit TrueCrypt & dm-crypt, kann das sein?

"Erleichert a) die Datensicherung und macht b) das Gesamtsystem schneller, da nicht beim Laden jeder dll/lib entschluesselt werden muss."

ist kompletter Unsinn.

In Google einfach mal nach "Verschlüsselt Ubuntu LUKS Windows TrueCrypt" suchen... Auch wenn man kein Ubuntu einsetzt: Wenn man unter seiner eigenen Distribution oder allgemein Linux nichts findet empfehle ich ganz klar einfach mal mit Ubuntu zu suchen - wer ein bisschen Erfahrung im Umgang sowohl mit seiner Distribution, sprich man die Eigenheiten seiner eigenen Distribution kennt, als auch mit Linux allgemein hat bekommt das dann auch hin.

http://wiki.ubuntuusers.de/Baustelle/dualboot_verschuesseln

Du hast... schrieb:
--------------------------------------------------------------------------------
> "Erleichert a) die Datensicherung und macht b) das Gesamtsystem schneller,
> da nicht beim Laden jeder dll/lib entschluesselt werden muss."
>
> ist kompletter Unsinn.

Hmm.. Wo hast du nur die Argumente versteckt? Seine Formulierungen sind nämlich gut nachvollziehbar.

IceRa schrieb:
--------------------------------------------------------------------------------
> Ich habe diese Kombi, fast
>
> Allerdings ist Win7 unverschlüsselt (da nur Spiele-OS) und auf Linux
> (KUbuntu 10.04) habe ich eine mit LUKS verschlüsselte Partition, die nur
> bei Bedarf z.B. mit
> cryptsetup luksOpen /dev/hdb3 archive
> geöffnet wird.
>
> Ist das keine Alternative?

Wenn mir das Gewurschtel zu mühsam ist, lass ich Win evtl. auch unverschlüsselt, weil es auch bei mir dann fast nur noch für Spiele genutzt wird (und um eben immer ein Windows zu haben, wenn man es mal für etwas Bestimmtes braucht).
Linux würde ich trotzdem vollverschlüsseln. Zumindest, wenn wenigstens noch Suspend to RAM funktioniert. Realistisch betrachtet würde /home eigentlich reichen, aber wenn schon denn schon. Kostet ja nichts, außer einmalig ein bißchen Freizeit, und permanent minimal CPU-Zeit.



> P.S. Ich traue "fix-fertigen" Lösungen irgendwie nicht, und zudem ist ein
> Win am Netz mit DAUERND geöffnetem Crypt-Container genauso unsicher wie
> wenn man gar nicht verschlüsselt.

Richtig. Aber es kommt drauf an, wovor man sich schützen möchte. Wenn jemand irgendwie aufs _laufende_ System kommt, womöglich noch mit relativ vielen Berechtigungen, dann nützt Festplattenverschlüsselung natürlich ganz genau garnichts, egal ob komplett oder nur eine Partition/Container (sofern gemountet).

Bei mir gehts um ein Notebook, und hauptsächlich darum, die Dateien und Datenspuren auf dem _ausgeschalteten_ Gerät vor Dieben, Einbrechern und Findern zu schützen. Und vor der Polizei, falls die mal bei mir ne Hausdurchsuchung machen, weil irgendjemand behauptet ich würde irgendwas illegales machen. Das ist zugegeben sehr unwahrscheinlich, aber man weiß ja nie ob man nicht plötzlich einen "Feind" hat. Spinner gibts genug.


> P.P.S Steuerdaten, Korrespondenz, Budgetplanung, Passwörter, etc gehen
> niemanden etwas an, deshalb die Verschlüsselung - und das hat JEDER zu
> verbergen, auch wenn er es nicht weiss/wahrhaben will. Geheimnisse haben
> ist ein Grundrecht, IMHO - aber das nur nebenbei.

Jepp! Aber der Horizont der meisten hört bei Warez auf. Viele sind anscheinend nur deswegen gegen VDS & co... traurig.

> > Gibts Nebenwirkungen? Z.B. kein Suspend to Disk oder RAM mehr möglich
> (/swap würde ich auch verschlüsseln)?
>
> Den Linux-Swapspace verschlüsselt man in der Regel mit einem Zufallskey;
> dann geht Suspend to Disk unter Linux nicht mehr, weil beim nächsten Start
> der Schlüssel weg ist. Unter Win funktioniert Suspend to Disk problemlos,
> da ja hiberfil.sys auf dem verschlüsselten Laufwerk liegt.
>
warum verschlüsseln eigentlich soviele linux nutzer swap mit einem extra schlüssel? Warumnicht einfach die variante. Luks Container, dadrin ein LVM2 und in dem LVM2 root, home und swap. So funktioniert auch suspend to disk und alles ist mit dem selben schlüssel verschlüsselt.

Azz schrieb:
--------------------------------------------------------------------------------
> Hat hier jemand so eine Kombination laufen? Also Komplettverschlüsselung
> von Win & Linux (bis auf /boot).

Ich hatte sowas früher, als meine Windows Systeme noch nicht virtualisiert waren.

> Kann man das mittlerweile einfach so installieren, oder geht das nur von
> hinten durch die Brust ins Auge, so dass man sich ein Wochenende Zeit
> nehmen muss?

Wenn dein Rechner von einem USB-Stick booten kann, ist es am einfachsten zunächst Windows zu installieren und mit Truecrypt zu verschlüsseln. Die Truecrypt MBR ist dann auf der internen Festplatte.
Danach wird Linux installiert. Hierbei wird die /boot Partition aber auf dem USB-Stick erstellt und die Linux MBR dort gespeichert.
Im BIOS tragst du den USB-Stick als 1. Boot-Gerät ein und die interne Festplatte als 2. Boot-Gerät.
Wenn du nun von Linux booten willst steckst du zuvor den Stick ein. Ansonsten wird von Windows gebootet.

> Gibts Nebenwirkungen? Z.B. kein Suspend to Disk oder RAM mehr möglich
> (/swap würde ich auch verschlüsseln)?

Ich nutze kein Suspend auf meinem Laptop. Wenn aber die Swap-Partition nicht beim Booten mit einem neuen Schlüssel verschlüsselt wird, sollte Suspend kein Problem bereiten

> Muss man beim MBR/Bootmanager irgendwas besonderes beachten? Und wie läuft
> der Bootvorgang überhaupt ab? Startet z.B. erst GRUB, das dann entweder den
> TC Loader oder direkt Linux lädt, und der TC Loader lädt dann Windows?

Wenn du die Truecrypt-MBR auf der internen Festplatte unberührt lässt und die /boot-Partition + Linux-MBR auf dem USB-Stick ist, sollten keine großen Änderungen nötig sein.

> Bitte keine RTFM Antworten. Ich R ja T F M sobald ich Zeit habe, aber wenn
> hier _zufällig_ jemand alles kurz beantworten kann, wäre das sehr nett.

Erstmal besten Dank an Marco G. für die vorbildliche Antwort (und das im Golem Forum!), und an alle die sonst noch on-topic geantwortet haben.
Zu den anderen 3: Ich wüsste mit meinen Ferien was besseres anzufangen! Meldet euch bei Facebook und Twitter an, oder macht ein Blog auf. Da habt ihr ein dankbares Publikum...


Noch kurz zum Szenario und den Gründen:
Bei mir gehts um ein Core-i Notebook (dank AES-NI geht die Verschlüsselung also NOCH weniger auf die Performance), und hauptsächlich darum, die Dateien und Datenspuren auf dem _ausgeschalteten_ Gerät vor Dieben, Einbrechern und Findern zu schützen (sowohl vor den Auslesen, als auch vor Manipulation). Und vor der Polizei, falls die mal bei mir ne Hausdurchsuchung machen, weil irgendjemand behauptet ich würde irgendwas illegales machen. Das ist zugegeben sehr unwahrscheinlich, aber man weiß ja nie ob man nicht plötzlich einen "Feind" hat. Spinner gibts genug. Und wenn ich schon dabei bin, kann ich es doch auch gleich so sicher wie möglich machen, solange es keine großen Nachteile hat oder einfach zu kompliziert ist.
Illegal ist da nichts. Aber privat (z.B. Browserhistory, spoolfiles), oder sensibel (z.B. diverse Zertifikate, Keyfiles etc. für VPN & Co).


Weiß jemand, ob man bei SSDs noch was beachten muß? Eigentlich doch nur das Übliche z.B. bzgl. Partitionierung und Alignment der Sektoren, Clustergröße etc.

Mit GRUB2 funktioniert das Sichern des TrueCrypt-MBR in eine Datei und anschließendes chainload nicht mehr, da GRUB2 selbst mehr als den MBR nutzt und somit den TrueCrypt-Loader in den nachfolgenden Sektoren überbügelt. Den Stress hab ich mir daher nicht angetan.

Ich hab im MBR TrueCrypt installiert und GRUB2 einfach mit in der /boot-Partition (/dev/sda[2-xx]). Diese muss das boot-Flag gesetzt haben, dann erkennt der TrueCrypt-Bootloader diese auch und man mit Escape einfach vom TrueCrypt-Bootloader zu GRUB2 springen. Zurückspringen habe ich auf die Schnelle nicht hinbekommen, aber das soll mir egal sein. Notfalls muss man kurz Neustarten, wenn man aus Versehen in GRUB2 gelandet ist.

Mit TrueCrypt wird dann nur Windows gestartet oder in GRUB2 gesprungen. In GRUB2 wird nur Linux gestartet oder gar nichts. Sauber getrennt, alles kann einzeln aktualisiert werden ohne irgendwas überzubügeln. Fertig aus die Maus.

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> Welchen Sinn macht bitte eine Systemverschluesselung, wenn man das System
> an jeder Ecke kaufen oder kostenlos aus dem Netz runterladen kann??? Man
> lege einfach die sensiblen (eigenen) Dateien auf einer verschluesselten
> Partition ab und gut. Erleichert a) die Datensicherung und macht b) das
> Gesamtsystem schneller, da nicht beim Laden jeder dll/lib entschluesselt
> werden muss.

Sinn „macht“ es erstmal gar keinen, da diese Floskel im Deutschen nämlich gar nicht existiert. Ganz ohne Anglizismus könnte es höchstens einen Sinn „ergeben“. Allerdings nur dann, wenn man bedenkt, dass auf der Systempartition auch sensible Daten gelagert werden, an die man zunächst gar nicht denkt. Z. B. temporäre Dateien vom Browser, Office oder anderen Anwendungen und auch die ganzen Verlaufsinformationen, die man in vielen Anwendungen sieht. Mitunter findet man auch in der Registry äußerst interessante Infos, wie z. B. Registrierungsinformationen oder andere persönliche Einträge. Dies kann für manch einen durchaus interresant sein.

> > an jeder Ecke kaufen oder kostenlos aus dem Netz runterladen kann??? Man
> > lege einfach die sensiblen (eigenen) Dateien auf einer verschluesselten
> > Partition ab und gut. Erleichert a) die Datensicherung und macht b) das
> > Gesamtsystem schneller, da nicht beim Laden jeder dll/lib entschluesselt
> > werden muss.
>
> Sinn „macht“ es erstmal gar keinen, da diese Floskel im Deutschen nämlich
> gar nicht existiert. Ganz ohne Anglizismus könnte es höchstens einen Sinn
> „ergeben“. Allerdings nur dann, wenn man bedenkt, dass auf der

Daran, dass Der Kommunist sie verwendet hat und von sehr vielen Menschen verstanden wurde, sieht man sehr gut, dass diese "Floskel" sehr wohl "im Deutschen existiert". Die Erstbelege für dieses Nomen-Verb-Gefüge sind im übrigen Jahrhunderte alt. Bitte im Sprachpfleger-Forum trollen!