Dedicated Server komplett verschlüsseln? Macht das sinn?

[darkside40]

Moin Leute,
mal eine ganz prinzipielle Frage.
Macht es sinn eine Dedicated Server komplett per LUKS etc zu verschlüsseln wenn ich überhaupt keine Kontrolle über die Hardware habe.

Kann der Hoster etc. über direkten Zugriff auf die Hardware während des Betriebs die Verschlüsselung umgehen?

 

[Metal_Warrior]

Komplett macht es keinen Sinn, du solltest zumindest / und /home unverschlüsselt lassen, damit die Maschine allein hochkommt. Später kannst du dir ein LUKS-Drive mounten, etwa in /srv. Das macht schon Sinn. Klar kann der Hoster die Verschlüsselung umgehen, wenn er Root-Zugriff hat - er muss ja nur warten, bis du gemounted hast. Mit Runterfahren und selber rumprobieren allerdings nicht, da ist dann das Laufwerk zu und er schaut in die Röhre.

Also für kritische Daten würde ich es auf jeden Fall machen.

 

[drfuture]

bei einem Dedicated Server (Bei einem Voll-Virtualisierten ebenfalls) hat der Anbieter an sich keinen Root-Zugriff.
Im laufenden Betrieb könnte jemand auf die Console schauen - wenn du dort ausgeloggt bist kann der Anbieter erst mal nur die Festplatte kopieren und sich dann root-rechte holen durch Editieren des passwd-Files z.B.
Das würdest du aber merken und geht an sich glaube ich nicht im laufenden Betrieb.
Selbst wenn der Anbieter dann Root-Rechte hat - kann er das verschlüsselte Laufwerk nicht mounten da ihm das Passwort fehlt...

Ich habe meinen Server Boot-Verschlüsselt - von mir aus muss er nicht automatisch nach dem Reboot wieder laufen - bis ich das pw eingebe.
Dabei fällt mir kein Weg ein wie der Provider das umgehen können sollte ....

 

[darkside40]

@drfuture: Gibts nen Guide nachdem du vorgegangen bist?

 

[drfuture]

nein nicht wirklich - die Vollverschlüsselung ist am Anfang eigentlich recht simpel (jedenfalls bei OpenSuse) habe vom original Installations-Medium installiert und im Installationsvorgang bei der Festplatten-Konfiguration LVM, btfs und das ganze mit Verschlüsselung gewählt

 

[sia]

Die c't hatte dazu in einer der letzten Ausgaben einen Guide.

My Home-Server is my castle – Heim-Server verschlüsseln, ohne sich bei Stromausfällen selbst auszusperren (c't 19/2016, S. 152)

Man munkelt, man könne den Artikel kaufen oder in den Keller gehen und schauen, ob da eine Ausgabe herumliegt.

tl;dr des Artikels: Die machen das mit einem vollverschlüsselten LXC Container und entschlüsseln diesen dann über den unverschlüsselten Rootserver einfach via SSH.

Im Kommentar unter dem Artikel weist ein Nutzer darauf hin, dass man auch Dropbear in das initramfs reinpacken könnte.
Eine Anleitung hat der nette Mensch auch verlinkt: https://www.thomas-krenn.com/de/wiki/Voll-verschlüsseltes-System_via_SSH_freischalten

 

[Metal_Warrior]

Bei Debian ist das auch easy, ob bei der Installation oder nachträglich. Die LUKS-Page vom Ubuntu-Wiki ist da für Anfänger gut geeignet.

 

[virtus]

Bei jedem Server, über den du keine physische Hardware-Kontrolle hast, kann der Betreiber einen Hardware-Beacon einbauen. Dann bringt dir selbst eine Vollverschlüsselung herzlich wenig. Die Annahme allerdings ziemlich unrealistisch, aber rein von der Theorie ausgehend durchaus möglich. Wenn du nicht gerade Top-Ziel der NSA bist, würde ich davon ausgehen, dass niemand jemals den Aufwand und die Kosten auf sich nehmen würde, einen entsprechenden Beacon in deinem Server zu platzieren, aber möglich ist es trotzdem.

 

[darkside40]

Danke erstmal für den ganzen Input, aber was bitte ist ein Hardware Beacon?

 

[sia]

@darkside40: https://duckduckgo.com/?q=Hardware+Beacon+NSA+-NAS&t=ffab&ia=web

 

[darkside40]

Achso die Story wo die NSA Hardware abfängt und modifiziert.
Okay wirklich unwahrscheinlich das die das bei mir machen. Aber wer weiss wieviel Einfluss Hollywood inzwischen hat.

 

[drfuture]

Nur das passiert / kann passieren auch dann wenn du Physikalischen Zugriff hast - siehe Cisco-Switche die auf dem Versandweg umgebaut wurden.. k.a evtl. ist in jeder Fritzbox eine Wanze usw... auf den Level musst du viel weiter Denken ^^

 

[darkside40]

Naja man will ja nicht paranoider werden als man eh schon ist. Sein wir ehrlich, teilt man auf einem Server ein paar Dateien mit 10-12 bekannten geht das im normalen Grundrauschen des Netzes unter.

 

[saddy]

Ja, nur bei entsprechenden Ermittlungen können Server wohl ohne dass sie aus gehen von entsprechenden Behörden aus dem RZ transportiert werden.
Also alles noch an, dann sind die Daten trotzdem verfügbar.
Dem Hoster muss man am Ende einfach vertrauen, wobei da auch fraglich ist, weshalb dort die nicht ganz billige Arbeitskraft für sowas investiert werden sollte.
Und ob das bei deutschen Hostern überhaupt legal wäre.

 

[drfuture]

Hast du dazu eine Quelle?
Computer sind auf Strom Schwankungen extrem empfindlich, um das möglich zu machen bräuchte der Server oder Schrank schon eine extra dafür entwickelte SchnIttstelle die das anbringen einer portablen usv erlaubt und warum sollte ein Hoster das bei aktuellen kostendruck verbauen?
Außerdem bringt wie oben erwähnt der laufende pc nur bedingt etwas, wenn dann keine Schnittstellen vorhanden sind die wie etwa firewire einen direkten Zugriff auf den RAM erlauben und nicht gerade eine offene Konsole den Zugriff erleichtert ... Wie kommen die Ermittler an den mount point?

Nebenbei, bei vollvirtualisierung geht das verschieben im laufenden Betrieb zu den ermittelten aber auch da ist das extrem komplex und bedarf viel Arbeitszeit des Hosters und auch dann wird es schwer an die vm zu kommen

 

[Metal_Warrior]

Computer sind auf Strom Schwankungen extrem empfindlich, um das möglich zu machen bräuchte der Server oder Schrank schon eine extra dafür entwickelte SchnIttstelle die das anbringen einer portablen usv erlaubt...

Schon mal mit Servern gearbeitet? Die sind meist redundant aufgebaut, d. h. redundante Festplatten, redundante Netzteile. Stöpsel eins ab, häng die USV dran, stöpsel das andere ab, Bingo. Also das ist das geringere Problem. Aber wie du schon richtig sagst, bei Vollvirtualisierung wird es etwas schwerer, an den Inhalt des RAMs zu kommen, wenn sie dafür nicht gerade schon im Host vorgesorgt haben. Und ohne RAM kein Mount eines verschlüsselten Drives.

 

[saddy]

@drfuture:
Das hatte ich bezüglich irgendeiner Beschlagnahmung gelesen, ich glaube sogar perfect privacy.
Lieder ich heute Abend wenn ich am Rechner sitze gerne nach.
Oder das war nur irgendein Kommentator, naja jetzt interessierte mich auch noch mal und schau definitiv nochmal, wo ich das gelesen hab.
Weil bzgl perfect privacy wurde ja von denen gesagt, alles wär gut weils eben nur RAM Server sind.

Edit: Ich hab gestern Abend fast ne Stunde gesucht, ich finds nicht mehr (( Ich beschwöre dass ich das irgendwo gelesen hab, ich weiß nur nicht mehr wo.
Vlt auch nach den falschen Begriffen gesucht. Oder es war echt nur irgendein Kommentator dessen Text bei mir hängen geblieben ist.
Bei Netzpolitik schau ich nochmal..

 

[drfuture]

Jep hab ich @Metal - aber an das 2. Netzteil habe ich vorhin in der Tat nicht gedacht... also klar so ist es einfach
Aber trotzdem sollte das nicht sonderlich viel bringen....

 

[Rakorium-M]

Man muss den Server nicht unbedingt mitnehmen, um an die Schlüssel zu kommen. Die Arbeitsspeicher-Riegel runterkühlen (bspw. mit flüssigem Stickstoff), ausbauen und auslesen. Das liegt durchaus im Rahmen des Möglichen, wenn der Hoster / die Polizei mit einem verschlüsselten Server rechnet.

Remote-Gegenmaßnahmen wären mir keine bekannt. Aber vielleicht kann man ein Script nutzen, dass die Temperatursensoren überwacht und bei Bedarf die Schlüssel entsorgt.

 

[Metal_Warrior]

Die Arbeitsspeicher-Riegel runterkühlen (bspw. mit flüssigem Stickstoff), ausbauen und auslesen.

Ich bin mir nicht sicher, ob das jemals in breitem Maßstab getestet wurde. Soweit ich mich erinnern kann, ist das nen Laborversuch gewesen, und selbst wenn es breit gemacht wird: Auf virtuellen Systemen ist das nicht mehr so easy. Da ist dann ziemlich viel Chaos auf den Riegeln...