expertenaustausch > comp.os.* > comp.os.unix.linux.misc

Joerg (24.03.2020, 00:04)
Fuer Leute, die Dual-Boot Linux/Windows oder Linux mit Windows in einer
VM benutzen (muessen), gibt es ein Problem bei verschluesselten Daten
oder ganzen verschluesselten Speicherbereichen. Bitlocker
Speicherbereiche koennen zwar mit dem Linux Programm Dislocker gelesen
und auch verschluesselt geschrieben werden, aber das scheint in der
Bedienung, ahem, recht hoelzern zu sein. Directories schaffen, erstmal
alles entschluesseln, dann nach den gewuenschten Files suchen, und alles
ueber das Terminal. Hasleo Bitlocker macht das bequem ueber einen GUI
File Manager, aber das ist kein Open Source.

Was nehmt Ihr da so?
Kay Martinen (24.03.2020, 00:28)
Am 23.03.20 um 23:04 schrieb Joerg:
> Fuer Leute, die Dual-Boot Linux/Windows oder Linux mit Windows in einer
> VM benutzen (muessen), gibt es ein Problem bei verschluesselten Daten
> oder ganzen verschluesselten Speicherbereichen. Bitlocker
> Was nehmt Ihr da so?


Ich verzichte ganz. Entweder auf Windows oder auf Bitlocker. Oder ggf.
auf Dualboot.

Und in einer VM bitlocker... den inhalt einer containerdatei
verschlüsseln wo jeder mit Zugang zum Gerät gleich den ganzen container
klauen und zuhause entpfriemeln könnte... Nutzlos!

Das ist wie ein Kensington-Lock neben den Laptop legen und hoffen das
schon nix passieren wird. :-)

Kay
Joerg (24.03.2020, 00:36)
On 2020-03-23 15:28, Kay Martinen wrote:
> Am 23.03.20 um 23:04 schrieb Joerg:
> Ich verzichte ganz. Entweder auf Windows oder auf Bitlocker. Oder ggf.
> auf Dualboot.


Das kann ich aus beruflichen Gruenden leider nicht.

> Und in einer VM bitlocker... den inhalt einer containerdatei
> verschlüsseln wo jeder mit Zugang zum Gerät gleich den ganzen container
> klauen und zuhause entpfriemeln könnte... Nutzlos!
> Das ist wie ein Kensington-Lock neben den Laptop legen und hoffen das
> schon nix passieren wird. :-)


Man muss dazu schon das Password wissen. Es geht hauptsaechlich um
portable Datentraeger wie SD Cards und USB Sticks. Bei denen besteht die
Gefahr, dass sie unterwegs verloren gehen oder geklaut werden und da
will man nicht, dass Fremde Datenzugang bekommen.
Marcel Mueller (24.03.2020, 08:21)
Am 23.03.20 um 23:04 schrieb Joerg:
> Fuer Leute, die Dual-Boot Linux/Windows oder Linux mit Windows in einer
> VM benutzen (muessen), gibt es ein Problem bei verschluesselten Daten
> oder ganzen verschluesselten Speicherbereichen. Bitlocker
> Speicherbereiche koennen zwar mit dem Linux Programm Dislocker gelesen
> und auch verschluesselt geschrieben werden, aber das scheint in der
> Bedienung, ahem, recht hoelzern zu sein. Directories schaffen, erstmal
> alles entschluesseln, dann nach den gewuenschten Files suchen, und alles
> ueber das Terminal. Hasleo Bitlocker macht das bequem ueber einen GUI
> File Manager, aber das ist kein Open Source.
> Was nehmt Ihr da so?


Das wird nicht sinnvoll funktionieren. Zumindest nicht mit /gemeinsam/
genutzten Dateien in den VMs.

Du kannst aber der VM 2 virtuelle Disks verpassen. Die eine bekommt
Windows, die andere Linux. Damit geht auch Vollverschlüsselung.
Dann kann natürlich jeder nur seine eigenen Daten lesen. Datenaustausch
also nur über Dritte: Fileserver, NAS oder den VM Host (shared folders).

Sinnvoller wären natürlich 2 VMs mit je eigenen VHD. Damit erübrigt sich
dann auch die Frage mit dem Gegenseitig lesen können, denn das erledigt
man dann über's Netzwerk.

Eine andere Option wäre noch Nested Virtualization, also VM in VM. Dann
kann natürlich der innere Gast mit dem mittleren online kommunizieren
(shared folders, Netzwerk). Aber falls es überhaupt geht: schnell ist
anders.

Marcel
Enrik Berkhan (24.03.2020, 09:49)
Joerg <news> wrote:
> Was nehmt Ihr da so?


Veracrypt funktionert ganz gut mit Windows und Linux, auch im dual boot.

Bitlocker wird hier nicht verwendet.

Viele Grüße,
Enrik
Kay Martinen (24.03.2020, 10:49)
Am 23.03.20 um 23:36 schrieb Joerg:
> On 2020-03-23 15:28, Kay Martinen wrote:
> Das kann ich aus beruflichen Gruenden leider nicht.


Immer noch wegen deiner Windows-verdongelten Hardware (Mess &
Prüfgeräte)? Ich erinnere mich an den Monsterthread als du mit Linux
anfingst...

Nicht nur ich riet dir damals dazu für deine Geräte schlicht ein Windows
zu behalten das du einfach nur nicht mehr in dein Netzwerk & Internet
hinein lässt. Und Linux auf einem Zweitgerät daneben zu betreiben.

> Man muss dazu schon das Password wissen. Es geht hauptsaechlich um
> portable Datentraeger wie SD Cards und USB Sticks. Bei denen besteht die
> Gefahr, dass sie unterwegs verloren gehen oder geklaut werden und da
> will man nicht, dass Fremde Datenzugang bekommen.


Ich gehe davon aus das jede Verschlüsselung irgendwann von irgend wem
geknackt werden kann und wird. Das ist nur eine Frage von wenigen
Parametern.

- Wie "wertvoll" sind die zu erlangenden Daten?
- Wie viel HW/SW Einsatz ist deren Erlangung wert?
- Wie "smart" ist der der sie entschlüsseln will?
- Kann man das Kennwort erraten oder "social" raus bekommen?

Und dann ist es völlig Wumpe ob es um einen VHD Container, einen Stick
oder ne SD Card geht. Wer dran kommt und genug Antrieb hat der wird sie
knacken können - irgendwann, irgendwie.

N.B. glaube ich nicht das du so wichtige Daten hast das sie
verschlüsselt sein müssen. SD Card/Stick in Tresor packen wäre einfacher.

Wenn du das Kennwort vergisst kommst du selbst nicht mehr dran und
stehst selbst wie obiger da.

Darum halte ich von Datenträgerverschlüsselung nicht viel.

Vielleicht gibt es einen Graubereich. Welcher ist denn deiner?

Kay
Joerg (24.03.2020, 19:15)
On 2020-03-24 01:49, Kay Martinen wrote:
> Am 23.03.20 um 23:36 schrieb Joerg:
> Immer noch wegen deiner Windows-verdongelten Hardware (Mess &
> Prüfgeräte)? Ich erinnere mich an den Monsterthread als du mit Linux
> anfingst...


Ja, aber auch wegen einiger Software, die nicht WINE- oder VM-faehig ist.

> Nicht nur ich riet dir damals dazu für deine Geräte schlicht ein Windows
> zu behalten das du einfach nur nicht mehr in dein Netzwerk & Internet
> hinein lässt. Und Linux auf einem Zweitgerät daneben zu betreiben.


Das ist leichter gesagt als getan, denn ich kann z.B. aus Platzgruenden
keinen weiteren Monitor anbringen und auch kein weiteres Keyboard/Maus.
Da muesste also staendig umgeschaltet oder gestoepselt werden. Dual-Boot
ist einfacher.

Abgesehen davon wurde das Problem dadurch nicht geloest. Ich muesste ja
weiterhin von Linux und von Windows auf dieselben Speichermedien
zugreifen, wenn ich kein Daten-Chaos moechte.

> Ich gehe davon aus das jede Verschlüsselung irgendwann von irgend wem
> geknackt werden kann und wird. Das ist nur eine Frage von wenigen
> Parametern.


Schon klar.

> - Wie "wertvoll" sind die zu erlangenden Daten?


Teilweise sehr.

> - Wie viel HW/SW Einsatz ist deren Erlangung wert?
> - Wie "smart" ist der der sie entschlüsseln will?


Da besteht wenig Gefahr. Es geht mir nicht darum, Geheimdienste mit fast
unbegrenztem Budget abzuschmettern, sondern nur "normale" Boesewichte.

> - Kann man das Kennwort erraten oder "social" raus bekommen?


Kann man nicht.

> Und dann ist es völlig Wumpe ob es um einen VHD Container, einen Stick
> oder ne SD Card geht. Wer dran kommt und genug Antrieb hat der wird sie
> knacken können - irgendwann, irgendwie.
> N.B. glaube ich nicht das du so wichtige Daten hast das sie
> verschlüsselt sein müssen. SD Card/Stick in Tresor packen wäre einfacher.


Wrangler hat aber noch keine Jeans-Shorts mit integriertem Tresor
rausgebracht :-)

> Wenn du das Kennwort vergisst kommst du selbst nicht mehr dran und
> stehst selbst wie obiger da.


Das ist aufgeschrieben, aber an einer Stelle, wo niemand drauf kommt.

> Darum halte ich von Datenträgerverschlüsselung nicht viel.
> Vielleicht gibt es einen Graubereich. Welcher ist denn deiner?


Ich muss nur "Zufallsfunde" oder einfachen Diebstahl vereiteln. Es ist
einfach so: Eigene Daten sind halb so wild. Kundendaten hingegen
enthalten schonmal vertrauliche Schaltbilder und so weiter und das darf
schon aus Vertragsgruenden nicht in fremde Haende geraten.
Joerg (24.03.2020, 19:20)
On 2020-03-23 23:21, Marcel Mueller wrote:
> Am 23.03.20 um 23:04 schrieb Joerg:
> Das wird nicht sinnvoll funktionieren. Zumindest nicht mit /gemeinsam/
> genutzten Dateien in den VMs.
> Du kannst aber der VM 2 virtuelle Disks verpassen. Die eine bekommt
> Windows, die andere Linux. Damit geht auch Vollverschlüsselung.
> Dann kann natürlich jeder nur seine eigenen Daten lesen. Datenaustausch
> also nur über Dritte: Fileserver, NAS oder den VM Host (shared folders).
> Sinnvoller wären natürlich 2 VMs mit je eigenen VHD. Damit erübrigt sich
> dann auch die Frage mit dem Gegenseitig lesen können, denn das erledigt
> man dann über's Netzwerk.


Hmm, hoert sich zu kompliziert an. Oder ich muesste eben bei Hasleo
Lizenzen kaufen und ein Closed-Source Linux Programm dafuer verwenden.

> Eine andere Option wäre noch Nested Virtualization, also VM in VM. Dann
> kann natürlich der innere Gast mit dem mittleren online kommunizieren
> (shared folders, Netzwerk). Aber falls es überhaupt geht: schnell ist
> anders.


Schnell muss bei mir nichts sein, da es sich um fuer heutige
Verhaeltnisse geringe Datenvolumina handelt. Also keine Spielfilme und
so, die man ja eh nicht verschluesseln muesste.

Das war auch der Grund, warum ich mir mit Arch-Linux ein Winz-NAS aus
einem Pogoplug gebastelt habe.
Joerg (24.03.2020, 19:22)
On 2020-03-24 00:49, Enrik Berkhan wrote:
> Joerg <news> wrote:
>> Was nehmt Ihr da so?

> Veracrypt funktionert ganz gut mit Windows und Linux, auch im dual boot.


Aha, danke! Und sogar mit GUI:



> Bitlocker wird hier nicht verwendet.


Ich bin da voellig offen, nur muss ab jetzt eben auch Linux unterstuetzt
werden.
Marc Haber (24.03.2020, 23:35)
Joerg <news> wrote:
>On 2020-03-24 01:49, Kay Martinen wrote:
>Das ist leichter gesagt als getan, denn ich kann z.B. aus Platzgruenden
>keinen weiteren Monitor anbringen und auch kein weiteres Keyboard/Maus.
>Da muesste also staendig umgeschaltet oder gestoepselt werden. Dual-Boot
>ist einfacher.


RDP auf das Windows willst Du ja nicht.

>Abgesehen davon wurde das Problem dadurch nicht geloest. Ich muesste ja
>weiterhin von Linux und von Windows auf dieselben Speichermedien
>zugreifen, wenn ich kein Daten-Chaos moechte.


Würden beide Systeme gleichzeitig laufen, ginge das.

Grüße
Marc
Joerg (24.03.2020, 23:52)
On 2020-03-24 14:35, Marc Haber wrote:
> Joerg <news> wrote:
> RDP auf das Windows willst Du ja nicht.
> Würden beide Systeme gleichzeitig laufen, ginge das.


Wenn das Linux System Bitlocker nicht aufgedroeselt bekommt, dann nicht.

Wie auch immer, es geht u.a. auch darum, dass ich auch mal unterwegs an
die Files komme, z.B. beim Kunden und da gibt es immer nur Windows
Computer. Also muss das Verfahren mit Linux und mit Windows funktionieren.

Enrik schlug Veracrypt als Alternative vor und das sieht erstmal gut aus.

Derzeit kloppe ich mich aber wieder mit Samba rum. Es will nicht mehr,
in MX Linux oeffnet dessen GUI nicht mehr. Irgendwas ist ja immer ...
Marcus Jodorf (25.03.2020, 01:35)
Joerg <news> schrieb:

> Das ist leichter gesagt als getan, denn ich kann z.B. aus
> Platzgruenden keinen weiteren Monitor anbringen und auch kein weiteres
> Keyboard/Maus. Da muesste also staendig umgeschaltet oder gestoepselt
> werden. Dual-Boot ist einfacher.


Nebenbei: Seit wievielen Jahrzehnten gibt es doch gleich KVM-Switches zu
kaufen?

Gruß,

Marcus
??
Marc Haber (25.03.2020, 18:32)
Joerg <news> wrote:
>On 2020-03-24 14:35, Marc Haber wrote:
>Wenn das Linux System Bitlocker nicht aufgedroeselt bekommt, dann nicht.


Die Idee wäre das Windows als Fileserver zu benutzen, dann merkt das
Linux nichtmal, dass es auf einer verschlüsselten Volume herumrödelt.

Müssen dafür halt beide Systeme gleichzeitig laufen, diese tür hast Du
Dir mit Dualboot nachhaltig zugeworfen. Ist ja nicht so als ob man Dir
nicht von Dualboot abgeraten hätte.

>Derzeit kloppe ich mich aber wieder mit Samba rum. Es will nicht mehr,
>in MX Linux oeffnet dessen GUI nicht mehr. Irgendwas ist ja immer ...


Wenn es unbedingt ein GUI sein muss, selbst gewählter Schmerz.
Marc Haber (25.03.2020, 18:33)
Marcus Jodorf <trap> wrote:
>Joerg <news> schrieb:
>Nebenbei: Seit wievielen Jahrzehnten gibt es doch gleich KVM-Switches zu
>kaufen?


Für HDMI sind die erschreckend teuer, und obendrein muss man auch noch
darauf achten, dass auch die hohen Auflösungen drüber gehen. Wollte
ich vor einem halben Jahr auch kaufen, habe mir dann anders geholfen.

Grüße
Marc
Kay Martinen (25.03.2020, 21:10)
Am 25.03.20 um 17:33 schrieb Marc Haber:
> Marcus Jodorf <trap> wrote:
> Für HDMI sind die erschreckend teuer, und obendrein muss man auch noch
> darauf achten, dass auch die hohen Auflösungen drüber gehen.

Ein Fernseher mit mehreren HDMI ist vermutlich billiger. Für alles
andere reicht mir noch VGA, da hab ich mehrere KVMs für.

Nur K-M umschaltung macht der TV dann nicht... :)

Kay

Ähnliche Themen