Du bist nicht angemeldet.

#1 25.11.2020 00:46:54

aspbones
Mitglied

Grundlegende Frage zur Sicherheit

Hallo,
Ich hätte eine einfache Frage zur Sicherheit von Arch Linux.

Bei einem unverschlüsselten Arch kann ich jederzeit mit einem Arch Live USB Stick ganz einfach u.a mit arch-chroot vollen zugriff auf das System bekommen, und bei einer Verschlüsselung mit LVM immerhin noch zugriff auf die Boot Partition.
Gibt es vielleicht eine möglichkeit das zu unterbinden?, das System zu sperren für eine Veränderung von ausen?
Wäre schön wenn mir da jemand was zu erzählen könnte.

Grüße, aspbones

Offline

#2 25.11.2020 01:27:12

schard
Moderator

Re: Grundlegende Frage zur Sicherheit

Um auch /boot zu verschlüsseln kannst du z.B. einen Bootloader wie GRUB verwenden:
https://wiki.archlinux.org/index.php/Dm … ion_(GRUB)
Allerdings ist dann natürlich immer noch der Bootloader selbst nicht gegen Veränderung geschützt.
Da gibt es ein Henne-Ei Problem. Um eine Software zu starten, muss diese gelesen werden können.
Wenn sie allerdings gelesen werden kann, können die Daten extrahiert werden.
Eine Lösung dafür wären TPM und Secure Boot. Diese sind unter Linux allerdings recht frickelig aufzusetzen und fordern viel Wartung.

Offline

#3 25.11.2020 11:38:36

frostschutz
Mitglied

Re: Grundlegende Frage zur Sicherheit

Es ist verdammt schwer sich gegen Angriffe zu wehren, wenn der Angreifer direkt Hand anlegen kann. TPM und Secure Boot hilft immer noch nicht gegen einen einfachen Keylogger. Und selbst dann kann ein Angreifer die verschlüsselten Daten zumindest verändern. Die Festplatten haben durch die Verschlüsselung ja keinen Schreibschutz. Bei Ubuntu wo durch einheitlichen Installer trotz Verschlüsselung bekannt ist, welche Datei wo liegt, gab es da mal einen Proof of Concept ( https://www.jakoblell.com/blog/2013/12/ … artitions/ ). Dort wurde allerdings auch ein unsicherer Cipher genutzt.

Ich habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick. Den kann man abstecken sobald die Kiste läuft und am Schlüsselbund mitnehmen. Zusätzliche Sicherheit gibts durch verschlüsselte Keyfiles, das eingegebene Passwort ist nicht das LUKS-Passwort der Festplatte sondern das zum Entschlüsseln der Keyfiles. Nebenbei sind auf dem USB-Stick dann noch ein paar Linux-Live-CDs drauf und für FreeDOS/Windows eine normale Datenpartition. Somit ein Multifunktionsstick a la Schweizer Taschenmesser. Sonst würde ich auch einfach drauf verzichten, für Otto Normaluser wird das normale Verschlüsselungs-Passwort schon reichen. *schulterzuck*

Offline

#4 25.11.2020 15:11:25

Gerry_Ghetto
Mitglied

Re: Grundlegende Frage zur Sicherheit

schard schrieb:

Allerdings ist dann natürlich immer noch der Bootloader selbst nicht gegen Veränderung geschützt.
Da gibt es ein Henne-Ei Problem. Um eine Software zu starten, muss diese gelesen werden können.
Wenn sie allerdings gelesen werden kann, können die Daten extrahiert werden.

Eine Verschlüsselung schützt generell nicht vor Veränderung. Eine Verschlüsselung bietet keine Integrität, sondern garantiert nur Vertraulichkeit.

Eine Lösung dafür wären TPM und Secure Boot. Diese sind unter Linux allerdings recht frickelig aufzusetzen und fordern viel Wartung.

TPM braucht es eigentlich nicht, es reicht Secure Boot. Ausserdem ist Secure Boot unter Linux überhaupt nicht frickelig. Frickelig wird es erst dann, wenn du eigene Schlüssel verwalten und Software signieren willst. Aber das ist und bleibt betriebssystemunabhängig eine diffizile Angelegenheit.

Im Übrigen wird der TPM-Chip (zum Beispiel bei Laptops) sehr häufig einfach mitgestohlen.


frostschutz schrieb:

Es ist verdammt schwer sich gegen Angriffe zu wehren, wenn der Angreifer direkt Hand anlegen kann.

Kommt wohl auch etwas auf den Angreifer an, oder nicht?

TPM und Secure Boot hilft immer noch nicht gegen einen einfachen Keylogger.

Kannst du dieses Szenario etwas genauer ausführen? Hardware-Keylogger? Software-Keylogger? Wie werden die Tastatureingaben übermittelt?

Zusätzliche Sicherheit gibts durch verschlüsselte Keyfiles, das eingegebene Passwort ist nicht das LUKS-Passwort der Festplatte sondern das zum Entschlüsseln der Keyfiles.

Inwiefern unterscheidet sich die kryptographische Stärke eines Passwortes zum Entschlüsseln der Schlüsseldatei von der der LUKS-Passphrase, sodass man von zusätzlicher Sicherheit sprechen könnte?

Offline

#5 30.11.2020 19:04:19

aspbones
Mitglied

Re: Grundlegende Frage zur Sicherheit

Danke mal bis dahin.
Das "Schweizer Taschenmesser" hatte Ich mal im Kopf aber habs verworfen.
Secureboot hab ich beerdigt, aber TPM hört sich gut an, da werde ich mal bischen googeln.

Offline

#6 13.12.2020 19:42:22

PackageCreator
Gast

Re: Grundlegende Frage zur Sicherheit

frostschutz schrieb:

Ich habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick.

Das finde ich interessant. Da fällt mit bloß einwas auf:
Ich habe meine EFI-Partition bisher immer unter /boot/efi eingehängt, aber wenn die dann auch auf dem USB Stick ist, ist das blöd.
Muss man die EFI-Partition dann unter /efi mounten?

#7 14.12.2020 14:37:36

Gerry_Ghetto
Mitglied

Re: Grundlegende Frage zur Sicherheit

PackageCreator schrieb:
frostschutz schrieb:

Ich habe mich für die einfache Lösung entschieden. Mein /boot ist ein USB-Stick.

Das finde ich interessant. Da fällt mit bloß einwas auf:
Ich habe meine EFI-Partition bisher immer unter /boot/efi eingehängt, aber wenn die dann auch auf dem USB Stick ist, ist das blöd.
Muss man die EFI-Partition dann unter /efi mounten?

Wieso sollte man etwas daran ändern? Es reicht ja, wenn du die /etc/fstab entsprechend anpasst und jede Partition an den entsprechenden Einhängepunkt einbindest. Wenn du also eine zusätzliche /boot-Partition hast, dann musst du also auch einen Eintrag dafür in /etc/fstab haben.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums