Re: Hilfe wie komme ich wieder an mein LVM

To: debian-user-german@lists.debian.org
Subject: Re: Hilfe wie komme ich wieder an mein LVM
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Sat, 24 Oct 2015 14:52:56 +0200
Message-id: <[🔎] 2745196.55ymc2ETxM@merkaba>
In-reply-to: <[🔎] 7FA5483402FA4C2981E05C9BF1282BAF@dsb.local>
References: <[🔎] CD22850DD0324C0F83958C20CA4A7628@dsb.local> <[🔎] 2015-10-23T21-41-35@devnull.michael-prokop.at> <[🔎] 7FA5483402FA4C2981E05C9BF1282BAF@dsb.local>

Am Samstag, 24. Oktober 2015, 11:37:36 CEST schrieb Dani Dagio:

Hallo Dani,

> >* Dani Dagio wrote:
> >> ich hab nun mal eine geführte Debian Partionierung mit
> >> Verschlüsselung
> >> durchgeführt. Allerdings scheint boot wieder unverschlüsselt zu sein.
> >> Gibt es außer der Lösung von Ulf mit der Boot Partition auf dem USB
> >> Stick noch eine Möglichkeit?
> > 
> > GRUB2 kann auch ein verschlüsseltes /boot lesen (bzw. /boot kann in
> > einem verschlüsseltem rootfs liegen):
> > 
> > 
> > http://michael-prokop.at/blog/2014/02/28/full-crypto-setup-with-grub2/
> 
> interessanter Ansatz, aber letztlich braucht es wohl immer ein kleines
> unverschlüsseltes Stück, das der Theorie nach angreifbar ist.

Ja, Grub selbst.

Und selbst mit Secure Boot: Irgendwo liegt ein Stück unverschlüsselte Closed-
Source UEFI Firmware rum, das die Signaturen prüft. Vielleicht fehlt mir da ja 
ein Teil des Puzzles, aber derzeit sehe ich auch nicht, wie Secure Boot 
vollständig lückenlos sein kann, es sei den es kommt Hardware-Unterstützung 
zum Einsatz, also Schlüssel in einem Chip, der diesen nicht wieder raus gibt. 
Natürlich für 100% Vertrauen als offene Hardware.

Ich denke selbst mit Coreboot geht das so ohne weiteres nicht lückenlos.

Aber mit dem ThinkPad T520 mit Intel AMT – ein Mechanismus der unter anderem 
Antidiebstahl-Funktionen wie Secure Erase der SSD bei WLAN-Signal bietet – mit 
integriertem TCP/IP Stack in der Firmware ist das eh alles Makulatur. Das BIOS 
lässt sich mittlerweile durch Coreboot ersetzen. Das Intel AMT braucht  es 
bislang dennoch.

Was funktionieren, um einen Angriff wenigstens zu entdecken wäre Folgendes:

GPG-Signaturen oder ähnliches von sämtlichen beteiligten Komponenten – CPU 
Microcode, Firmware, vielleicht via flashrom ausgelesen, GRUB, Linux-Kernel, 
InitRD – und die immer prüfen, bevor ich auf die eigentlichen verschlüsselten 
Daten zurückgreife. Dann bekomme ich zumindest mit, wenn jemand dran 
rumgeschraubt hat. Natürlich muss der private GPG-Schlüssel extern gespeichert 
sein, vielleicht in einer Cryptocard.

Irgendwie will ich an eine Welt glauben, in der ein solcher Aufwand unnötig 
ist. Und mich weiterhin dafür einsetzen. Daher schließe ich mit einem Aufruf, 
die Verfassungsbeschwerde gegen das neue, im Schnelldurchgang beschlossene 
Gesetz zur Vorratsdatenspeicherung zu unterstützen. 

http://vorratsdatenspeicherung.de/

https://digitalcourage.de/weg-mit-vds

Ciao,
-- 
Martin

Reply to:

References:
- Hilfe wie komme ich wieder an mein LVM
  - From: "Dani Dagio" <dagdan69@googlemail.com>
- Re: Hilfe wie komme ich wieder an mein LVM
  - From: Michael Prokop <devnull@michael-prokop.at>
- Re: Hilfe wie komme ich wieder an mein LVM
  - From: "Dani Dagio" <dagdan69@googlemail.com>

Prev by Date: Re: OT: langsame USB-Sticks
Next by Date: Re: Multimedia-Repository für Debian
Previous by thread: Re: Hilfe wie komme ich wieder an mein LVM
Next by thread: Re: Hilfe wie komme ich wieder an mein LVM
Index(es):
- Date
- Thread