1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › TPM und Secureboot: Poettering…

OpenSUSE macht vollständige FDE?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. OpenSUSE macht vollständige FDE?

    Autor: DarkSpir 24.09.21 - 17:54

    Ich versteh nicht was der Mann will. Ich hab erst letztens eine VM mit OpenSUSE 15 SP3 aufgesetzt. Dabei ist mir dann aufgefallen, dass ich das Passwort für die FDE zweimal eingeben muss: Einmal für grub2 was dann damit /boot entschlüsselt und die nächste Stage nachlädt und dann nochmal in der Initrd wenn das System bootet. Im ersten Moment war das nervig aber letztendlich ist damit das System komplett verschlüsselt.

    Kann man noch besser machen indem grub das Passwort an die initrd übergibt... aber will ich das? Ja, ich kann ansich noch das TPM dazwischen hängen... Das will aber auch ne Pin, die man übergeben oder zweimal eingeben muss. Ich sehe nicht wo systemd da irgendwas zu suchen hat.

  2. Re: OpenSUSE macht vollständige FDE?

    Autor: Vanger 24.09.21 - 19:24

    DarkSpir schrieb:
    --------------------------------------------------------------------------------
    > Ich versteh nicht was der Mann will.

    Hast du den Artikel überhaupt gelesen?

    Nur mit Verschlüsselung alleine löst du das Evil Maid Problem nicht, dazu muss auch die Datenauthentizität sichergestellt werden. Grundsätzlich können die Daten in einem LUKS Device ohne Kenntnis des Schlüssels manipuliert werden - trivial ist das zwar nicht, aber möglich. Die Funktion von LUKS zur Sicherstellung der Datenauthentizität ist noch experimentell und üblicherweise nicht aktiviert.

    Anyway, ein Evil Maid Angriff gewinnt nochmal deutlich an Relevanz wenn dein System aufgesperrt und unbeaufsichtigt ist (bspw. beim Gang auf's Klo) - dann ist Verschlüsselung alleine prinzipiell wertlos. Ein Angreifer kann nicht nur die Daten stehlen (was je nach Abwesenheitsdauer ggf. zeitlich schwierig ist), sondern auch dein System manipulieren. Da wir aktuell üblicherweise nur das EFI Shim, GRUB und den Kernel signieren, nicht aber initrd und /usr, fällt das auch nicht auf. Poettering möchte das ändern indem zukünftig auch initrd und /usr signiert werden soll. Das ist eine Aufgabe die nur PID 1 übernehmen kann.

    Die Full Disk Encryption hat für Multi-User-Systeme noch ein weiteres Problem: Die Daten aller Nutzer werden mit einem Schlüssel entschlüsselt. Auch dem möchte sich Poettering annehmen indem /home benutzerspezifisch verschlüsselt wird. Für Single-User-Systeme ist das irrelevant und neu ist das auch nicht, Ubuntu hat das lange Zeit (vielleicht noch immer? Weiß nicht...) direkt im Installer angeboten. Das war technisch aber eine ziemliche Krücke. Zukünftig könnte man das gut mit Poetterings Projekt für portable Home-Verzeichnisse verknüpfen.

  3. Re: OpenSUSE macht vollständige FDE?

    Autor: robinx999 25.09.21 - 19:39

    Wenn man im EFI eigene Schlüssel ablegen kann, dann könnte das sogar sehr sicher sein. Da man alle löschen könnte und dann Grub und auch den Kernel passend Signieren kann, so dass kein anderer Ausgeführt wird. Wenn jetzt noch jemand in der Lage ist das Bios (bzw. UEFI) zurück zu setzen hat man fast bei jedem System verloren welches man nicht von einem externen Medium welches man immer am Körper trägt bootet

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Roadmap Manager (m/w/d)
    Vodafone GmbH, Düsseldorf
  2. IT-Referent (m/w/d)
    BfS Bundesamt für Strahlenschutz, Oberschleißheim
  3. Windows Applikationsentwickler (m/w/d)
    KOSTAL Industrie Elektrik GmbH, Hagen
  4. JavaScript-Entwickler (m/w/d)
    tangro software components GmbH, Heidelberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499€
  2. 499,99€
  3. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de