staging.inyokaproject.org

via DuckDuckGo

Systemverschlüsselung inklusive /boot

Status: Ungelöst | Ubuntu-Version: Kein Ubuntu
Antworten |

Capatcha

Anmeldungsdatum:
12. Dezember 2010

Beiträge: 151
Zitieren
16. November 2016 15:25

Im Wiki dieser Seite ist bis jetzt nur die Option der Systemverschlüsselung exklusive /boot aufgezeigt.

Ich hatte vor ca. einem eine Anleitung zur Verschlüsselung inklusive /boot gefunden. Aus Neugier Einfach mal eine VM entsprechend verschlüsselt. Es funktioniert immer noch ohne Probleme.

Man muss das Passwort zum entschlüsseln der Festplatte zwei mal eingeben. Das erste mal, damit GRUB die Festplatte entschlüsseln kann und somit Kernel + Ramdisk laden kann und das zweite Mal, wenn der Kernel auf die Festplatte zugreifen möchte.

Das kann man umgehen, in dem man (nach Anleitung) eine Keyfile auf der verschlüsselten Festplatte liegen hat (wird dann auch in die Ramdisk übernommen), mit der das System sich dann selbst entschlüsselt.

Zur Sicherheit wurde folgendes geschrieben:

Security considerations

While the computer is off, the keyfile is stored inside the encrypted drive, so it is secure. When the computer is on, however, the keyfile is unencrypted, with a copy on the ramdisk. So, you should probably make sure only root can access these files:

1
2
chmod 000 /crypto_keyfile.bin  # actually, even root doesn't need to access this
chmod -R g-rwx,o-rwx /boot     # just to be safe

The keyfile will probably also be retained in memory, but so is the LUKS master key. If the attacker has enough access to your system for that to be a problem, encryption is moot. So long as there are no copies of the keyfile anywhere else, you should be fine. In other words, don’t back it up or reuse it elsewhere.

Kann einer etwas bezüglich der Sicherheit sagen?

Hier sind noch die Quellen:

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7795
Zitieren
16. November 2016 15:44

Ob du jetzt einen unverschlüsselten Bootloader oder unverschlüsseltes /boot hast, das nimmt sich nicht viel. Das Problem bleibt das gleiche, ist nur verlagert.

Kann natürlich sein daß du mit UEFI Secure Boot auch noch den Bootloader selbst vor Modifikationen schützen kannst. Wobei das auch mehr Schein als sein ist...

Aber wozu das alles? Wie sieht das Szenario aus wo das einen Nutzen hat?

Wenn jemand dem System so nahe kommt, dann reicht auch ein USB-Keylogger-Gnubbel. Mit doppelter Passworteingabe dann auch doppelt zuverlässig. 😉

Und sowas wie verschlüsselte Keyfiles auf USB-Stick [damit der Keylogger alleine nicht reicht] kannst du damit nicht machen. Dafür ist Grub dann halt auch schon wieder zu doof.
Antworten |