Re: Vollverschlüsselung für Laptop
Am Friday 23 January 2009 16:22:45 schrieb Heinz Diehl:
> On Fri, Jan 23, 2009 at 02:56:16PM +0100, Frank Störzer wrote:
> > der einzige Grund ist die Manipulation von Kernel und initrd bzw
> > das damit Mögliche einschleusen von Schadprogrammen zu verhindern
> > (Keylogger z.B.). Sonst fällt mir auch kein Grund ein.
>
> Man belaesst /boot auf der Festplatte, und erstellt mittels rsync
> eine Kopie auf einen Memorystick, zusammen mit den Pruefsummen der
> einzelnen Dateien (sha, md5, aide, was auch immer). Sollte dann was
> veraendert worden sein, dann wird man das entdecken.
Eine Möglichkeit um hier Sicherheit zu verschaffen, die andere ist die
schon angesprochene, ohne externen boot-Stick oder -Karte geht nichts.
Anstelle der Prüfsumme könnte man auch eine GPG-Signatur jeder Datei
nehmen, wenn man hier eine Art Livemedium vorschaltet, welches dann
erst das eigentliche System bootet. Vielleicht ist es irgendwann einmal
möglich, diesen Prozess vom "BIOS" übernehmen zu lassen. BIOS meint
hier TPM mit EFI oder so etwas die Art. Ein LinuxBIOS könnte dies
natürlich auch machen.
Gruß
Frank
Reply to: