Truecrypt für USB-Datenträger / Passphrase per Web-UI-Abfrage

Hm, ok.
Ich bin ja am meisten interessiert an dem Szenario "Razzia".

Wie ist denn so die Performance auf einer 7270? Waren ja schon ohne Verschlüsselung nur 3 Mbyte/s, wie wenig isses denn mit Truecrypt-Blowfish?
 
encfs für FB7270 und NAS

Hi,

also bei uns in der WG läuft das ganz gut mit encFS....die infrastruktur sieht folgendermaßen aus: es existiert ein zentraler NAS mit ner ganz normalen partitionierung....auf diesem NAS befindet sich ne Ordnerstruktur welche mittels encfs verschlüsselt ist.....ist zwar nicht ganz so sicher wie ne ganze partition zu verschlüsseln, erlaubt es aber ganz einfach in einem Client-NAS-Netzwerk, dass verschiedene clients gleichzeitig auf die gleichen daten zugreifen....

die clients verwenden alle entweder linux direkt um die NAS partition mit NFS zu mounten und danach mit encfs zu entschlüsseln bzw. verwenden unsere WINDOOF nutzer ne vm in der ein minimallinux samt encfs und NFS läuft....vm an....zeug rüber auf die windows share gezogen....fertig....

die FB hat ne eigene encfs-version spendiert bekommen.....und übernimmt bei uns den zentralen teil der arbeit wenn es um so sachen wie radiosender aufnehmen etc geht....die FB mountet den NAS per NFS und öffnet dann den verschlüsselten FS ordner per encfs, identisch zu den linux clients im netz.....einziger schwachpunkt ist die tatsache, dass sich die FB den key vorher per downloader-gui (freetz-paket) von nem entfernten ftp-server zieht....natürlich verschlüsselt per ssl :)....

wenn mal die paranoia wieder rum geht, wird der schlüssel auf dem ftp gelöscht....und alles ist dicht....

vorteil von encfs ist client struktur....bei truecrypt oder cryptsetup ist der große nachteil, dass wenn die fb nen container per truecrypt bzw. cryptsetup gemountet hat....was eigentlich immer der fall ist, dann kann kein anderer client den container gleichzeitig mounten....natürlich kann man einfach nen container auf den nas legen und jeder mountet ihn nach belieben....aber eben niemals gleichzeitig.....

truecrypt bzw. cryptsetup funzt folglich also nur, wenn der komplette datenverkehr dann über die FB läuft....sprich container auf FB oder NAS....FB mounted den container....und der ganze traffic geht über die FB....d.h. alle ziehn über die samba bzw. NFS share der FB welche dann auch die ganze entschlüsslung übernimmt....der obige ansatz hat dagegen den vorteil, dass die entschlüsslung und der traffic vom client PC übernommen wird....die FB muss nur verschlüsseln, wenn daten von ihr dort abgelegt werden.....ziehen können alle gleichzeitig vom NAS....der nur die verschlüsselten daten übers lan sendet....die entschlüsslung findet dann direkt am client pc statt....

Grüße,
Kontr-Olli
 
Zuletzt bearbeitet:
Danke für den ausfürlichen Beitrag, klingt echt interessant. Ich möchte kein dediziertes NAS und würde es erstmal mit den NAS der FB versuchen wollen. An die kommt dann eine Notebook-Platte. Dass mehrere Clients gleichzeitig auf die Daten zugreifen wollen, kann auch bei mir passieren, daher hast Du Recht, dass die Container-Lösung nicht optimal ist.

Da meine Clients allerdings teilweise Windows-Kisten sind und mir das Gefummel mit VMs zu umständlich ist, wäre die TrueCrypt-Variante vielleicht doch der bessere Weg. Ethernetleitungen und WLAN sollte bei mir sicher genug sein.

Dann brauch ich nur noch eine Rufnummer, mit der ich per DECT-Telefon die verschlüsselte Platte zwangsunmounten kann ;-), bzw. automatisch, wenn die FB die WLAN-Verbindung zu meinem Handy verliert :cool:.
 
Dann brauch ich nur noch eine Rufnummer, mit der ich per DECT-Telefon die verschlüsselte Platte zwangsunmounten kann ;-), bzw. automatisch, wenn die FB die WLAN-Verbindung zu meinem Handy verliert :cool:.

#990*15901590* startet die Fritz komplett neu, vernichtet damit also auch die Keys, die nur im RAM liegen

#991*15901590* überschreibt sogar alle AVM-Konfigurationsdateien (Also besser nicht verwechseln)
 
Hallo,
gibt es das auch für FritzBox 7390? Also mips?

p.s. auf der 7270 läuft es wunderbar
allerdings wenn ich in den gemounteten container schreibe regiert die box
nicht mehr und muss neu gestartet werden
beim mounten warnt truecrypt auch:

Warning: Your system uses an old version of the Linux kernel.
Due to a bug in the Linux kernel, your system may stop responding when writing data to a TrueCrypt volume. This problem can be solved by upgrading the kernel to version 2.6.24 or later.

uname -a zeigt auf der 7270 mit aktueller FW: Linux fritz.fonwlan.box 2.6.19.2
 
Zuletzt bearbeitet:
Hallo,
habe mal mit qemu-mips und qemu-mipsel Image die neuste truecrypt 7.0a
kompiliert. Leider funktioniert diese Version aber nicht auf fritzbox.
Er vermisst beim Starten can't load library 'librt.so.1
Habe mal etwas gegoogelt und für Freetz soll man so kompilieren, daß er die
uClibc benutzt. Wie macht man das?

edit:
wenn ich alle Libraries aus dem qemu Image und per LD_LIBRARY_PATH mitreinnehme kommt am Ende
/var/media/ftp/uStor01/truecrypt7.0a_mipsel: can't handle reloc type 0x2f

Grüße
 
Zuletzt bearbeitet:
habe versucht genau wie Whoopie unter einem qemu image für mipsel (und auch für mips) truecrypt7 zu kompilieren
qemu deshalb da es Whoopie mit der freetz Umgebung nicht geschafft hatte zu kompilieren
dachte ich stelle daß dann hier für 7270 und 7390 bereit ;)
 
Wenn es unter Freetz nicht kompiliert werden kann, dann wird es vermutlich unter Freetz auch nicht laufen.
Du kannst es ja dann unter qemu laufen lassen.
 
Whoopies Versionen truecrypt 6.0 und 6.3 die er unter qemu kompiliert hat
liefen ja auch
den Fehler mit dem reloc kenne ich von oscam evtl. kriege ich das noch hin
vielleicht schaut ja auch Whoopie selbst nochmal rein
evtl. versuche ich es auch mal unter freetz zu bauen
 
Kannst du mal ein "ldd /var/media/ftp/uStor01/truecrypt7.0a_mipsel" zeigen? Wo genau war das Problem mit truecrypt? Ich meine, dass ich mich auch schon mal versucht hatte aber gescheitert bin...

Gruß
Oliver
 
Code:
root@fritz:/var/media/ftp/uStor01/truecrypt7# ldd truecrypt7.0a_mipsel
ldd: can't open cache 'etc/ld-uClibc.so.cache'
        libfuse.so.2 => not found
        librt.so.1 => not found
        libdl.so.2 => not found
        libstdc++.so.6 => not found
        libm.so.6 => not found
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x2aabe000)
        libpthread.so.0 => /lib/libpthread.so.0 (0x2aadc000)
        libc.so.6 => not found
        libc.so.0 => /lib/libc.so.0 (0x2aaff000)
        ld.so.1 => /lib/ld.so.1 (0x2aaa8000)

die libs kann man alle aus dem qemu mipsel image kopieren und den LD_LIBRARY_PATH
setzen -> dann kommt die Fehlermeldung can't handle reloc type 0x2f
 
Was hast Du denn angestellt, dass sowohl libc.so.0 als auch libc.so.6 genutzt werden sollen? Selbst wenn beide gefunden werden, und wenn es nicht an irgendwelchen Relocation Einträgen scheitern würde, da werden im Wesentlichen die gleichen Funktionen definiert, aber unterschiedlich, das kann nicht funktionieren.
 
habe direkt nach Anleitung kompiliert
wxWidgets + FUSE source heruntergeladen, PKCS Header Files heruntergeladen
PKCS11_INC Variable gesetzt
configure; make; make install im Fuse Verzeichnis
make NOGUI = 1 WX_ROOT=wxWidgetDir wxbuild
make NOGUI = 1 WXSTATIC =1

das so erstellte truecrypt Binary funktioniert auch innerhalb des Qemu Mips Images (und auch das mit/für Qemu Mipsel erstellte)

edit: ist in der Tat seltsam denn unter qemu sieht ldd wie folgt aus
Code:
debian-mips:~# ldd truecrypt
	libfuse.so.2 => /lib/libfuse.so.2 (0x2aada000)
	librt.so.1 => /lib/librt.so.1 (0x2ab18000)
	libdl.so.2 => /lib/libdl.so.2 (0x2ab31000)
	libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x2ab45000)
	libm.so.6 => /lib/libm.so.6 (0x2ac65000)
	libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x2acfa000)
	libpthread.so.0 => /lib/libpthread.so.0 (0x2ad35000)
	libc.so.6 => /lib/libc.so.6 (0x2ad60000)
	/lib/ld.so.1 (0x2aaa8000)
 
Zuletzt bearbeitet:
Anbei statisch gegen libstdc++ gelinkte Binaries für mipsel und mips. Bitte ein paar Tage testen. Sollten sie funktionieren, so überlegen wir uns, wie wir automatisiert gegen libstdc++ linken können. Mit uClibc++ wird es wahrscheinlich nicht funktionieren.
 

Anhänge

  • truecrypt-7.0a-mips-static.tar.bz2
    814.9 KB · Aufrufe: 23
  • truecrypt-7.0a-mipsel-static.tar.bz2
    828.1 KB · Aufrufe: 31
Hallo Olistudent und er13
schön daß ihr es hinbekommen habt!
Die Binaries laufen auf 7270 und 7390, nach wie vor stürzt aber beim Schreiben in den Container die Box ab und hängt dann
nach einer Weile kommt man wieder mit ssh rauf, dann ist der Mount aber wieder weg (getestet mit 7270).
Lesezugriff auf den Container klappt aber!
Grüße
edit: manchmal scheint truecrypt -d zu hängen
Ctrl-C und dann nochmaliges truecrypt -d hilft
 
Zuletzt bearbeitet:
Hast du eine Anleitung zur Hand? Dann probier ich das mal aus.

Gruß
Oliver
 
Code:
root@fritz:/var/media/ftp/uStor01# ./truecrypt -t -c
Volume type:
Select [1]: 1 Normal
Enter volume path: /var/media/ftp/uStor01/testcon
Enter volume size (sizeK/size[M]/sizeG): 5M
Encryption algorithm:
Select [1]: 1 AES
Hash algorithm:
Select [1]: 1 RIPEMD-160
Filesystem:
Select [2]: 2 FAT
Enter password:
Enter keyfile path [none]:
Please type at least 320 randomly chosen characters and then press Enter:

mkdir /var/media/ftp/uStor01/mnt
/var/media/ftp/uStor01/truecrypt /var/media/ftp/uStor01 testcon /var/media/ftp/uStor01/mnt

Warning: Your system uses an old version of the Linux kernel.

Due to a bug in the Linux kernel, your system may stop responding when writing data to a TrueCrypt volume. This problem can be solved by upgrading the kernel to version 2.6.24 or later.
Enter password for /var/media/ftp/uStor01/testcon:
Enter keyfile [none]:
Protect hidden volume (if any)? (y=Yes/n=No) [No]:

cp /var/media/ftp/uStor01/truecrypt /var/media/ftp/uStor01/mnt/

Liegt wohl am zu alten Kernel...
edit: einmal hat das Schreiben sogar geklappt, da hatte ich als Option für Hash SHA-512 gewählt
danach reagierte die Box nach truecrypt -d nicht mehr und das putty bekam Connection Abort
beim nächsten Login war der Container nicht gemountet und nach dem Mounten wieder leer
 
Zuletzt bearbeitet:
Er hängt beim mounten des Containers mit "Error: No such file or directory: dmsetup". Was fehlt?

Gruß
Oliver
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,206
Beiträge
2,248,029
Mitglieder
373,770
Neuestes Mitglied
TomTom55
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.