LUKS-Verschlüsselung am Desktop - sinnvoll oder unsinnig?

    Hallo zusammen,

    was meint ihr, macht es Sinn, auch auf einem stationären Desktop-PC eine Vollverschlüsselung mittels LUKS einzusetzen? Ich habe bisher alle meine Rechner mit LUKS verschlüsselt, vor allem bei meinen Notebooks erachte ich das als wichtig, weil ich sie mitnehmen muss, wenn ich unterwegs bin. Da ist ein entsprechendes Sicherheitskonzept schon alleine für den Diebstahlsfall sinnvoll.

    Meine beiden Desktop-Rechner werden hingegen nicht an andere Orte mitgenommen und es gibt auch keinen Zugriff durch Fremde, eben nur durch meine Familie. Aus Gewohnheit und zusätzlichen Sicherheitsbedenken habe ich jedoch auch hier die LUKS-Verschlüsselung eingerichtet. Da ich aber bei meinen Desktop-PCs Wert auf Performance lege, frage ich mich, ob es überhaupt Sinn macht, hier eine Vollverschlüsselung zu verwenden. Einbruchsgefahr sehe ich bei mir zu Hause auch nicht wirklich, jedoch sind Daten auf meinem Computer, die u. a. beruflich sehr wichtig sind. Ein Großteil davon wird außerdem mit einer selbst aufgesetzten Nextcloud-Instanz auf einem Raspberry Pi 4B synchronisiert. Was meint ihr, LUKS-Verschlüsselung am Desktop, ja oder nein? Wie handhabt ihr das?

    Herzliche Grüße

    Schadet es denn, es zu machen? So rein von der Geschwindigkeit her macht es doch keinen Unterschied. Was hast du also zu verlieren, wenn du es machst und dann nie benötigst?

    Auf der anderen Seite - auch wenn es vielleicht unwahrscheinlich ist - was passiert, wenn jemand an deine Festplatten kommt? Jemand bricht bei dir ein und bedient sich. Oder irgendjemand macht was mit deiner IP und es kommt zu einer Durchsuchung. Oder du verkaufst eine ausgetauschte Platte und willst ganz ganz sicher sein, dass diese leer ist, ohne sie zig-mal zu überschreiben.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

    Guten Morgen, Stardenver
    danke erstmal für Deine Antwort! :) Ich habe einfach mal testweise einen Desktop-PC ohne LUKS installiert und ich muss im Nachhinein einen gefühlt sehr deutlichen Zugewinn an Performance feststellen. Das Booten geht mit Manjaro Linux (Xfce) ohne LUKS erheblich schneller, gefühlt habe ich auch den Eindruck, dass Anwendungen, insb. der Firefox, schneller starten. Das ist möglicherweise aber eher subjektiv. Was ich auch für nicht ganz unerheblich halte, ist die TRIM-Funktion bei SSDs, die bei vorhandener LUKS-Verschlüsselung standardmäßig deaktiviert ist - eben aus Sicherheitsgründen. Hier stellt sich dann die Frage, ob eine Einrichtung von LUKS sinnvoll ist, wenn man ohnehin wieder einen Teil von dessen Sicherheitsmechanismen quasi aushebeln muss (allow discards), um Langlebigkeit und Performance der SSD so gut wie möglich sicherzustellen. Davon, dass ich meine SSD verkaufen werde, gehe ich derzeit nicht aus. Es ist scheinbar eine Frage von Kompromissen, und gar nicht so ohne weiteres zu beantworten. Was nutzt Du denn?

    Zitat von LinKostik

    Guten Morgen, Stardenver
    danke erstmal für Deine Antwort! :) Ich habe einfach mal testweise einen Desktop-PC ohne LUKS installiert und ich muss im Nachhinein einen gefühlt sehr deutlichen Zugewinn an Performance feststellen. Das Booten geht mit Manjaro Linux (Xfce) ohne LUKS erheblich schneller, gefühlt habe ich auch den Eindruck, dass Anwendungen, insb. der Firefox, schneller starten. Das ist möglicherweise aber eher subjektiv. Was ich auch für nicht ganz unerheblich halte, ist die TRIM-Funktion bei SSDs, die bei vorhandener LUKS-Verschlüsselung standardmäßig deaktiviert ist - eben aus Sicherheitsgründen. Hier stellt sich dann die Frage, ob eine Einrichtung von LUKS sinnvoll ist, wenn man ohnehin wieder einen Teil von dessen Sicherheitsmechanismen quasi aushebeln muss (allow discards), um Langlebigkeit und Performance der SSD so gut wie möglich sicherzustellen. Davon, dass ich meine SSD verkaufen werde, gehe ich derzeit nicht aus. Es ist scheinbar eine Frage von Kompromissen, und gar nicht so ohne weiteres zu beantworten. Was nutzt Du denn?

    Wundert mich ehrlich gesagt. Ich habe so viele Distros und Systeme getestet und ehrlich gesagt nie einen Unterschied festgestellt. Fair enough.. ich habe natürlich auch nie gemessen, ob FF jetzt in 1 sec oder 2 sec startet. Aber gerade da Verschlüsselung heutzutage schon hardwareseitig verbaut ist, würden mich große Geschwindigkeitseinbußen echt wundern.

    Mein ganz persönlicher Anwendungsfall ist übrigens der Laptop. Also bis auf meine Server habe ich aktuell nur mobilde Geräte im Betrieb (auch "stationär") und schon deshalb verschlüssel ich.

    Ich habe heute - wenn es denn zeitlich passt - geplant, ein System neu aufzusetzen. Wenn das heute noch fertig wird, lasse ich gerne mal ein paar Disk-Benchmarks laufen und veröffentliche die.

    Ich muss allerdings sagen, dass meine Hardware auch relativ performant ist. Wenn du jetzt Linux auf einem 10 Jahre alten Laptop mit SATA-SSD installierst, macht es vielleicht wirklich einen Unterschied.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

    Mittlerweile muss ich sagen, dass meine subjektive Einschätzung schnelleren Programmstarts von heute Morgen sich etwas "gelegt" hat. Einen Performance-Gain sehe ich nunmehr eigentlich nur beim Bootvorgang. Hierbei kann ich aber bislang auch nicht sagen, ob das an Manjaro liegt (verschlüsselte /boot ?) und ob sich das bei anderen Distris anders zeigen würde. Andere Distris installiere ich eigentlich derzeit nur in VMs, Manjaro Xfce ist mein Produktivsystem.

    Gesetzt dem Falle, irgendeiner würde meine IP missbrauchen, sich in mein Netzwerk hacken (was ich für ziemlich unwahrscheinlich halte) und es dann zu einer Durchsuchung aufgrund falscher Spur käme, würde man auf meinem System ohnehin keine Inhalte finden, die für deutsche Behörden unter normalen Umständen irgendwie von Interesse wären, zumindest gehe ich nicht davon aus. Gleichwohl habe ich beruflich wichtige Daten auf allen Computern, da diese sich mit meiner Nextcloud synchronisieren. Aus der einen Ecke hört man, dass es besser sei, alle Geräte zu verschlüsseln, andere sagen, dass das nur bei Notebooks einen entscheidenden Sicherheitsfaktor ausmache, der so bei Desktops nicht gegeben sei. Notebooks sind bei mir natürlich grundsätzlich vollverschlüsselt. Ich bin etwas am Schwanken. Wie sieht das denn mit dem TRIM der SSD aus im Falle einer Vollverschlüsselung? Ist letztere dann noch sicher, wenn das Kernel-Parameter "allow discards" gesetzt ist, was hierbei für TRIM erforderlich ist, oder ist die Verschlüsselung dann einfach nur noch "besser als nichts"?

    Zitat von LinKostik

    Gesetzt dem Falle, irgendeiner würde meine IP missbrauchen, sich in mein Netzwerk hacken (was ich für ziemlich unwahrscheinlich halte) und es dann zu einer Durchsuchung aufgrund falscher Spur käme, würde man auf meinem System ohnehin keine Inhalte finden, die für deutsche Behörden unter normalen Umständen irgendwie von Interesse wären, zumindest gehe ich nicht davon aus

    Eine Verschlüsselung verhindert aber auch, dass die Festplatte nach der Hausdurchsuchung "verändert" wird. Ich möchte den Behörden nichts unterstellen, aber es wäre zumindest theoretisch möglich.

    Wie gesagt - was hat man zu verlieren? Man hat mehr Sicherheit für den Fall der Fälle, auch wenn man jetzt noch nicht absehen kann, wie ein solcher Fall aussehen würde.

    Bezüglich Trim kopiere ich einfach mal eine Anleitung rein. Habe ich selbst noch nicht umgesetzt und weiß daher nicht, ob das aktuell nicht sogar schon in Distros integriert ist.

    1. Make a backup of all your data. You're messing with your file system so having a backup is simply a good idea.
    2. Make sure you have the required kernel and cryptsetup versions (3.1 & 1.4, e.g. in Ubuntu 12.04, beware though, at time of writing 12.04 is still beta).
    3. Add discard parameter to the file system options of the encrypted LVM volume(s) in your /etc/fstab file. This makes the file system of your LVM partition aware that you want to use TRIM.
      Code
      /dev/mapper/volumegroup-root    /    ext4    discard,noatime,nodiratime,errors=remount-ro    0    1
    4. The last step is not enough though. As long as LUKS is not aware that you want to use TRIM it will effectively block all TRIM operations coming from the LVM partition's file system, for security reasons. Add discard parameter to the cryptdevice options in /etc/crypttab to make LUKS accept the discard behavior of the LVM partition.
      Code
      sda5_crypt UUID=e364d03f-[...]6cd7e none luks,discard
    5. Rebuild your initramfs. The crypttab options are stored there and used on boot.
      Code
      sudo update-initramfs -c -k all
    6. Reboot.
    7. Check if TRIM is now active.
      Code
      sudo dmsetup table /dev/mapper/sda5_crypt --showkeys
    8. If the last command shows a result like this (1 allow_discards at the end) you're all set.
      Code
      0  77656056  crypt  aes-cbc-essiv:sha256  abc[...]c7a0c  0  8:5  2056  1  allow_discards

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

    Stardenver
    Danke für die Anleitung, aber wie man TRIM bei vorhandener LUKS-Verschlüsselung umsetzt, ist mir bekannt, meine Frage war eher, ob nach aktiviertem TRIM durch "allow discards" die LUKS-Verschlüsselung überhaupt noch Sinn macht. Dennoch habe ich mich dafür entschieden, weiterhin auf allen meinen Geräten eine Vollverschlüsselung mit LUKS einzusetzen.

    Hier habe ich allerdings eine neue Frage. Da man ja beim Start ohnehin das Entschlüsselungs-Passwort eingibt, mag ein Autologin des Users sinnvoll sein, um das nicht jedes Mal doppelt eingeben zu müssen. Bei Manjaro Xfce würde mich aber dann der Gnome-Keyring nerven, da ich bei jedem Start den Nextcloud Desktop Client mitstarte, dessen Passwort entsprechend im Keyring hinterlegt ist. Damit hier auch nicht immer eine Passwort-Abfrage kommt, muss man das Passwort des Keyrings blank lassen, wenn man Autologin nutzt. Ansonsten würde dieser nämlich einfach beim User-Login mit entsperrt. Hier die Frage: Ist es sinnvoll, doch auf das Autologin bei vorhandener LUKS-FDE zu verzichten, um den Keyring gesichert zu halten, oder ist das unter den Umständen gleichgültig?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden