schard schriebAllerdings ist dann natürlich immer noch der Bootloader selbst nicht gegen Veränderung geschützt.
Da gibt es ein Henne-Ei Problem. Um eine Software zu starten, muss diese gelesen werden können.
Wenn sie allerdings gelesen werden kann, können die Daten extrahiert werden.
Eine Verschlüsselung schützt generell nicht vor Veränderung. Eine Verschlüsselung bietet keine Integrität, sondern garantiert nur Vertraulichkeit.
Eine Lösung dafür wären TPM und Secure Boot. Diese sind unter Linux allerdings recht frickelig aufzusetzen und fordern viel Wartung.
TPM braucht es eigentlich nicht, es reicht Secure Boot. Ausserdem ist Secure Boot unter Linux überhaupt nicht frickelig. Frickelig wird es erst dann, wenn du
eigene Schlüssel verwalten und Software signieren willst. Aber das ist und bleibt betriebssystemunabhängig eine diffizile Angelegenheit.
Im Übrigen wird der TPM-Chip (zum Beispiel bei Laptops) sehr häufig einfach mitgestohlen.
frostschutz schriebEs ist verdammt schwer sich gegen Angriffe zu wehren, wenn der Angreifer direkt Hand anlegen kann.
Kommt wohl auch etwas auf den Angreifer an, oder nicht?
TPM und Secure Boot hilft immer noch nicht gegen einen einfachen Keylogger.
Kannst du dieses Szenario etwas genauer ausführen? Hardware-Keylogger? Software-Keylogger? Wie werden die Tastatureingaben übermittelt?
Zusätzliche Sicherheit gibts durch verschlüsselte Keyfiles, das eingegebene Passwort ist nicht das LUKS-Passwort der Festplatte sondern das zum Entschlüsseln der Keyfiles.
Inwiefern unterscheidet sich die kryptographische Stärke eines Passwortes zum Entschlüsseln der Schlüsseldatei von der der LUKS-Passphrase, sodass man von zusätzlicher Sicherheit sprechen könnte?