Debian GNU/Linux – Installationsanleitung - di - Debian
Debian GNU/Linux – Installationsanleitung - di - Debian
Debian GNU/Linux – Installationsanleitung - di - Debian
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 6. Den <strong>Debian</strong>-Installer verwenden<br />
Anmerkung: Bedenken Sie bitte, dass <strong>di</strong>e Performance von verschlüsselten Partitionen geringer<br />
ist als <strong>di</strong>e von unverschlüsselten, da <strong>di</strong>e Daten für jeden Lese- und Schreibvorgang ent- oder verschlüsselt<br />
werden müssen. Der Performance-Unterschied ist abhängig von der Geschwin<strong>di</strong>gkeit<br />
Ihrer CPU, der gewählten Verschlüsselung und der Schlüssellänge.<br />
Um Verschlüsselung zu benutzen, müssen Sie eventuell eine neue Partition erstellen, indem Sie im<br />
Haupt-Partitionierungsmenu freien Speicher auswählen. Eine andere Möglichkeit ist, eine vorhandene<br />
Partition (wie z.B. eine reguläre Partition, ein logisches LVM-Volume oder ein RAID-Volume) zu<br />
verwenden. Im Menü Partitionseinstellungen müssen Sie unter Benutzen als: den Punkt Physikalisches<br />
Volume für Verschlüsselung wählen. Es wird dann in ein anderes Menü gewechselt, das<br />
verschiedene Verschlüsselungsoptionen für <strong>di</strong>e Partition enthält.<br />
debian-installer unterstützt mehrere Verschlüsselungsmethoden. Die Standard-Methode ist dmcrypt<br />
(in neueren <strong>Linux</strong>-Kernels enthalten; hat <strong>di</strong>e Fähigkeit, physikalische Volumes für LVM beherbergen<br />
zu können). Die ältere Methode ist loop-AES (älter; wird separat vom <strong>Linux</strong>-Kernel-Baum<br />
betreut/entwickelt). Wenn Sie keine zwingenden Gründe dagegen haben, wird empfohlen, den Standard<br />
zu verwenden.<br />
Als erstes wollen wir <strong>di</strong>e Optionen betrachten, <strong>di</strong>e verfügbar sind, wenn Sie als Verschlüsselungsmethode<br />
Device-mapper (dm-crypt) wählen. Generell gilt: wenn Sie nicht sicher sind, verwenden<br />
Sie <strong>di</strong>e Standardwerte, da sie unter Berücksichtigung von Sicherheitsaspekten sorgfältig ausgewählt<br />
wurden.<br />
Verschlüsselung: aes<br />
Mit <strong>di</strong>eser Option können Sie den Verschlüsselungsalgorithmus (cipher) wählen, der genutzt<br />
wird, um <strong>di</strong>e Daten auf der Partition zu verschlüsseln. debian-installer unterstützt derzeit<br />
<strong>di</strong>e folgenden Blockverschlüsselungen: aes, blowfish, serpent und twofish. Es ist nicht Ziel <strong>di</strong>eses<br />
Dokuments, <strong>di</strong>e Qualitäten <strong>di</strong>eser verschiedenen Algorithmen zu <strong>di</strong>skutieren, aber vielleicht<br />
hilft es Ihnen bei der Entscheidung, wenn Sie wissen, dass AES im Jahre 2000 vom American<br />
National Institute of Standards and Technology zum Standard-Verschlüsselungsalgorithmus für<br />
den Schutz sensibler Informationen im 21. Jahrhundert gewählt wurde.<br />
Schlüssellänge: 256<br />
Hier können Sie <strong>di</strong>e Länge des Schlüssels festlegen. Mit einem größeren Schlüssel wird generell<br />
<strong>di</strong>e Stärke der Verschlüsselung erhöht. Auf der anderen Seite hat es für gewöhnlich einen<br />
negativen Einfluss auf <strong>di</strong>e Performance, wenn <strong>di</strong>e Länge des Schlüssels vergrößert wird. Die<br />
möglichen Schlüssellängen variieren abhängig vom gewählten Algorithmus.<br />
IV-Algorithmus: cbc-essiv:sha256<br />
Der Initialisierungsvektor oder auch IV-Algorithmus wird in der Kryptographie verwendet, um<br />
sicherzustellen, dass <strong>di</strong>e mehrfache Anwendung einer Verschlüsselung auf den gleichen Klartext<br />
immer unterschiedliche, einzigartige Geheimtexte ergibt. Dem liegt der Gedanke zugrunde, zu<br />
vermeiden, dass der Angreifer aufgrund von sich wiederholenden Mustern in den verschlüsselten<br />
Daten auf <strong>di</strong>e zu schützenden Informationen schließen kann.<br />
Der Standardwert cbc-essiv:sha256 ist unter den auszuwählenden Möglichkeiten derzeit der<br />
gegen bekannte Angriffe am wenigsten verwundbare. Sie sollten <strong>di</strong>e anderen Alternativen nur<br />
verwenden, wenn Sie Kompatibilität zu früher installierten Systemen gewährleisten müssen, <strong>di</strong>e<br />
<strong>di</strong>e neueren Algorithmen nicht nutzen können.<br />
71