Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Welchen Header sichern, wenn Luks encrypted vorliegt?  (Read 1720 times)

Offline Lanzi

  • User
  • Posts: 1.781
[DE] Welchen Header sichern, wenn Luks encrypted vorliegt?
« on: 2011/06/17, 23:37:37 »
IN der vorletzen ct war ein HInweis des Authors eines Artikels zur Verschlüsselung (und daraufhin auch eines der Beteiligten beim Luks/ cryptsetup-forums), dass der häufigste Grund für eine nichtresataurierbarkeit der verschlüsselten Daten ein defekter Header ist.

Sie empfehlen daraufhin ein backup des headers nach:
http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions

nun gibt es da aber zwei Optionen:


Während die ct zu folgendem rät:
Quote

cryptsetup luksHeaderBackup --header-backup-file <file> <device>


rät die FAQ zu:
Quote

cryptsetup luksHeaderBackup --header-backup-file h /dev/mapper/c1


Das scheint sich erstmal nicht zu widersprechen... ABER:

blkid zeigt:
Quote

/dev/sda1: UUID="1f5d0a89-c3a6-4553-a842-b82b776ed494" TYPE="crypto_LUKS"

sowie

/dev/mapper/disk2: UUID="f52b1391-7b70-4138-af17-d15fe3674632" TYPE="ext4"



also hat meine verschllüssetle Platte zwei uuids enmal als device sda1 (von dem ich auch den Header sichern kann) und einmal eingetragen in den mapper als /dev/mapper/disk2 von dem sich aber nicht der header sichern lässt (obwohl es ja so in der oben verlinkten FAQ steht!)

ich erhalöte folgende Fehlermeldung:
Quote

root@Sid:~# cryptsetup luksHeaderBackup --header-backup-file /home/h/luks-header-disk2b /dev/mapper/disk2
Device /dev/mapper/disk2 is not a valid LUKS device.


Also, ist die FAQ falsch oder mache ich was falsch?

Danke für alle Antworten!

hefee

  • Guest
Welchen Header sichern, wenn Luks encrypted vorliegt?
« Reply #1 on: 2011/06/18, 00:15:30 »
Also du hast von jedem verschlüsselten Partitionen zwei Devices. Einmal das verschlüsselte, das ist das physikalische Device - in deinem Fall /dev/sda1 und einmal der Inhalt des verschlüsselten Containers der in deinem Fall in /dev/mapper/disk2 abgelegt ist. Das Device /dev/mapper/disk2 weiß gar nichts, das es verschlüsselt auf eine Platte abgelegt wird, deswegen kannst du dieses Device ja auch normal mounten etc.

-> du kannst nur den LUKS Header auf dem physikalischen Device sehen desweiten machen alle Befehle mit cryptsetup nur Sinn auf dem physikalischen Device (auch zu erkennen an TYPE="crypto_LUKS"):

Code: [Select]

cryptsetup luksHeaderBackup --header-backup-file /home/h/luks-header-sda1 /dev/sda1


Quote

...
nun gibt es da aber zwei Optionen:


Während die ct zu folgendem rät:
...


Wo siehst du einen Unterschied zwischen ct und FAQ? außer das die ct halt kein Beispiel gibt, sondern den Syntax des Befehls schreibt... Oder meinst du luksDump? Ja stimmt, damit kannst du auch deinen Header sichern, aber dieser ist dan UNVERSCHLÜSSELT, also jeder der an die Datei drankommt hat vollen Zugriff auf die Platte.

Quote

also hat meine verschllüssetle Platte zwei uuids enmal als device sda1 (von dem ich auch den Header sichern kann) und einmal eingetragen in den mapper als /dev/mapper/disk2 von dem sich aber nicht der header sichern lässt (obwohl es ja so in der oben verlinkten FAQ steht!)

im FAQ steht /dev/mapper/c1, weil vmtl der entwischler unter dem verschlüsselten device noch ein LVM o.ä. am laufen hat... LVM legt die Partitionen z.B. auch in /dev/mapper...

Offline Lanzi

  • User
  • Posts: 1.781
Welchen Header sichern, wenn Luks encrypted vorliegt?
« Reply #2 on: 2011/06/18, 00:20:07 »
danke hefee!
Ich hatte auch vermutet, dass esquark ist den mapper zu sichern, denn logischerwiese muss ich ja den Header der Partition sichern. Ich war nur verwundert, dass dann in der FAQ, welche ja doch eine zentrale Auskunft geben sollte genau der mapper dafür verwendet wird.
Die Erklärung mit dem LVM leuchtet zumindest ein - verwirrend, aber einleuchtend :-)

Danke!