Viel Spass beim TrueCrypt und Luks Testen und Euch Allen ein Prosit 2009 !
Hi !
Nachdem ich mir versprochen habe über die Feiertage meinen Vorsatz treu zu bleiben und fürs enigma2 nichts zu machen bis endlich meine 8k da ist, musste ich mir mit den diversen Filesystemen halt ein anderes Gebiet zum Forschen suchen.
Leider war das nicht so ergiebig wie ich dachte (die laufen einfach wenn man sich alles zusammensucht - praktisch ohne Gegenwehr), es ist eigentlich nur mehr die Frage nach einen encrypteten Filesystem über geblieben, und dabei ist am Schluss halt erst wieder ein kleines Plugin zum Testen rausgekommen.
Nachdem ja eigentlich die ganzen Voraussetzungen (fuse, crypt libs,..) schon im OE sind und auch zu funktionieren scheinen (wie ich in den letzten Tagen eben an den Tests mit den anderen Filesystemen herausgefunden habe) bin ich halt hergegangen und habe mal das TrueCrypt und jetzt auch das Luks auf der Dreambox zum Laufen gebracht.
Jetzt stellt sich halt die Frage wie man TrueTrypt oder Luks auf einer Dreambox überhaupt sinnvol benutzen kann ?
Erstellen und Mounten von verschlüsselten USB sticks, USB Harddisken, CF Karten oder ein verschlüsselter Bereich auf der interne Harddisk, ist zwar nett und auch im Plugin schon enthalten - aber nicht gerade der grosse Mehrwert - oder ?
Auch wenn man damit schon 'geheime' Daten über USB Stick austauschen kann, oder 'gewissen' Filme verstecken.
Aber wie soll man darauf zugreifen - Passwörter nur mit der Fernbedienung eingeben ist irgendwie doof (und 8-12 stellige PINSs eigentlich auch, aber irgend etwas musste ich mal implementieren).
Keyfiles ohne die man in der Box die devices nicht öffnen kann - sind wir wirklich so paranoid ?
Insofern sind jetzt Eure Wünsche, und Verbesserungsvorschläge gefragt !
Bitte daher das TrueCrypt oder das Luks Plugin aus dem Anhang testen und Feedback zu geben.
Und ja, man kann natürlich auch in ein verschlüsseltes Containerfile wenn es gemountet ist hin aufnehmen, auf der 7025 frisst das TrueCrypt dann aber rund 50% der CPU, ob man damit dann schafft live aufnehmen und vieleicht gleichzeitig verzögert anzusehen musst Ihr selbst rausfinden (nur aufnehmen geht definitiv - und Timeshift hat dort eh nichts zu suchen), und ich denke auf 800/8000 wird das noch besser gehen weil diese mehr CPU/Memory haben.
TrueCrypt und Luks sind zwar dafür geschrieben en- und decryption on the fly zu machen, aber die CPU der Dreamboxen sind leider nicht ideal dafür geeignet, um Verschlüsselungsalgorithem abzuarbeiten (wie wir ja leider von den Video Komprimierungsalgorithmen wissen die teilweise ähnlich aufgebaut sind, bzw. ähnliche Anforderungen an die Rechenleistung haben)
Insofern ist das dann auch eine Art Elchtest für die Dreamboxen.
Ausserdem ist der Linux Kernel den DMM verwendet eigentlich schon zu alt weswegen TrueCrypt auch immer brav eine Warnung ausgibt, und es daher auch Eure Testaufgabe ist rauszufinden ob man wirklich durch heavy IO auf das entcryptd device die Dreambox zum hängen bringen kann. Das Luks ist da etwas genügsamer und beklagt sich nicht.
Es ist also 2009 noch viel zu tun, zu testen und zu überlegen, ob und wie es gehen könnte das TrueCrypt oder Luks auf der Dreambox unter enigma2 nutzbar zu machen !
Die nötigen ipk Kits zum testen wie üblich auf /tmp FTPen und dann mit BP oder manual install installieren intelnet:
ipkg install /tmp/*.ipk
Wenn Ihr Luks UND TrueCrypt gleichzeitig testen wollt müsst Ihr ipkg install -force-overwrite benutzen weil teilweise die gleichen libs in den ipks stecken (normal wird man ja nur ein Verschlüsselungssystem benutzen und dann ist es egal)
Das Plugin installiert sich je nachdem was es als device vorfindet auf das Barry Allen Device, CF, USB oder die Harddisk (in dieser Reihenfolge).
Wenn Ihr auf einem dieser devices vorher dort ein TrueCrypt oder Luks directory anlegt wird das genommen.
Das Plugin funktioniert auch in einer Multiboot Umgebung (es wird dann auf /media/ba landen), allerdings muss man es wenn man es in mehreren Images verwenden will auch merhmals installieren - vieleicht gibt es ja images die absichtlich keinen TrueCrypt oder Luks support haben sollen.
Wenn Ihr das default device auf der Hardddisk ausprobieren wollt, macht es zuerst mal mit der Default Größe von 4GB, ausser Ihr habt eine Menge Zeit zum initialisieren, weil schneller als rund 2MB/sec wird das container file bei mir nicht erstellt.
Das TrueCrypt Filesystem wird dabei in einem hidden.ts File im movie folder der Harddisk 'versteckt' beim Luks heist es luks.ts
Wenn man dieses default device mit dem TrueCrypt Plugin mountet hat man das verschlüsselte Filesystem auf /media/hdd/movie/hidden gemountet, beim Luks dann auf /media/hdd/movie/luks
Einfach dort mit 2xVideotaste hinbrowsen und eine Bookmark setzen dann kann man dorthin relativ einfach aufnehmen und von dort abspielen.
Das geht aber halt nur nach PIN Eingabe im Plugin für das manuelle mounten mit dem TrueCrypt oder Luks Plugin, insofern kann man auch keine Aufnahmen aus dem Deepstandby dorthin machen, normaler Standby geht natürlich. Und wenn man es unmountet ist es halt wieder weg.
Wenn man den Pin nicht weis und das keyfile beim TrueCrypt nicht hat sind die daten auch auf Dauer weg ! Daher auch brav die Sicherungsfunktion für das keyfile im Plugin benutzen und ggf. auch auf den PC FTPen falls man einen USB stick oder eine CF Karte dort mit TrueCrypt mounten will braucht man es sowieso.
Und Aufpassen, wenn das TrueCrypt oder Luks device nicht gemountet wird dann wird dort natürlich ins directory normal aufgenommen wie in jedes andere subdirectory auch.
Und keine Angst, die Harddisk wird nicht erased, sondern jeweils nur das TrueCrypt oder Luks Container File, bei USB Stick/Hardddisk und CF Karte wird aber immer das ganze device genommen und daher beim encrypten dieses auch formatiert. Und wenn Ihr auf der Harddisk einen wirklich großen Container machen wollt müsst Ihr halt geduld haben, man kann dabei dem container file im telnet beim wachsen zusehen mit:
ls -alh /media/hdd/movie/hidden.ts
oder:
ls -alh /media/hdd/movie/luks.ts.
Beim Luks was ich auch schon faul und habe den FAT support im Moment nicht imlementiert, und auch die verwendung von Keyfiles ist dort noch nicht dabei. Mit dem cryptsetup binary kann man das aber alles auch von hand selber machen.
LG
gutemine
EDIT: Luks Plugin und die dafür nötigen ipks sind jetzt in meiner ersten reply hier imThread damit wir nicht durcheinander kommen.