Verschlüsselungseinstellungen möglich? (FreeNAS 9.10)

[en.ko]

Hallo zusammen,

ich habe gestern mein erstes FreeNAS System aufgebaut und installiert. Bei der Einrichtung des Volumes habe ich erwartet zwischen verschiedenen Verschlüsselungsmethoden und Schlüssellängen wählen zu können. Verschiedenen Aussagen zufolge wird ein AES-256 Verschlüsselungssystem verwendet. Das anscheinend verwendete GELI-System bietet, seiner Dokumentation zufolge, verschiedene Möglichkeiten an.

Jetzt zu meinen Fragen: wie ist die Verschlüsselung im aktuellen System realisiert und (wie) ist es möglich die Standardeinstellungen der Verschlüsselung zu ändern?

Vielen Dank im Voraus!

 

[en.ko]

Diese Sache ist noch immer wichtig für mich. Hat keiner Informationen über das Verschlüsselungssystem von FreeNAS oder interessiert das keinen?

 

[MrToddsFriends]

Jetzt zu meinen Fragen: wie ist die Verschlüsselung im aktuellen System realisiert und (wie) ist es möglich die Standardeinstellungen der Verschlüsselung zu ändern?

Soweit ich sehe nutzt FreeNAS die geli Standardvorgaben AES-XTS mit keylen=128, die man in praktikabler Weise nicht ändern kann. Siehst Du darin ein Problem?
https://bugs.freenas.org/issues/2393

 

[en.ko]

Ich sehe zwei Probleme.

Erstens, ein längerer Schlüssel (bei gleichem System) bietet eine höhere Sicherheit. Durch das feste Einstellen der Schlüssellänge wird dem Administrator die Freiheit genommen selbst darüber zu entscheiden wie hoch er verschlüsselt.

Zweitens, die Kenntnis über das verwendete Krypto-System verschafft einem Angreifer den Vorteil möglicherweise existierende Sicherheitslücken des Systems zu nutzen oder den Angriff auf das System abstimmen zu können.

Oder sehe ich das falsch?

 

[MrToddsFriends]

Zweitens, die Kenntnis über das verwendete Krypto-System verschafft einem Angreifer den Vorteil möglicherweise existierende Sicherheitslücken des Systems zu nutzen oder den Angriff auf das System abstimmen zu können.

Man sollte das Ziel der geli-Verschlüsselung nicht aus den Augen verlieren (Blauer Kasten in 8.1.1.1. Encryption im User Guide):

The encryption facility used by FreeNAS® is designed to protect against physical theft of the disks. It is not designed to protect against unauthorized software access.

Wenn ein Angreifer physikalischen Zugriff auf die Platten hat, dann hat er typischerweise auch genügend Zeit, um das Verschlüsselungsverfahren herauszufinden (Beispiel an einer Swap-Partition):

Code:

:~ % geli list ada0p1.eli | head -6
Geom name: ada0p1.eli
State: ACTIVE
EncryptionAlgorithm: AES-XTS
KeyLength: 128
Crypto: hardware
Version: 7

Wenn Dein Ziel eine Zugriffssperre im Laufenden Betrieb sein sollte (Angreifer hat Accountdaten), dann solltest Du über andere Verschlüsselungslösungen nachdenken, wie z.B. Speichern von VeraCrypt-Containern auf Freigaben.

 

[en.ko]

Man sollte das Ziel der geli-Verschlüsselung nicht aus den Augen verlieren (Blauer Kasten in 8.1.1.1. Encryption im User Guide)

Ich hatte das schon darauf bezogen. Das gleiche gilt doch auch beim Diebstahl eines physikalischen Datenträgers. Wenn ich weiß wie ein Datenträger verschlüsselt wurde, fällt es mir doch leichter diesen zu entschlüsseln.

Um auf das ursprüngliche Thema zurückzukommen, dem Bug-Report zufolge ist es möglich die Verschlüsselungseinstellungen über die Voreinstellungen von GELI zu ändern. Wikipedia zufolge ist allerdings AES-256 aufgrund eines Konstruktionsfehlers unsicherer als AES-128. Ich werde mich also mal intensiver mit dem Thema auseinandersetzen müssen. Aber vielleicht hat doch noch jemand etwas dazu beizutragen. Bis dahin Danke an MrToddsFriend.