Re: Hilfe wie komme ich wieder an mein LVM
Am Samstag, 24. Oktober 2015, 11:37:36 CEST schrieb Dani Dagio:
Hallo Dani,
> >* Dani Dagio wrote:
> >> ich hab nun mal eine geführte Debian Partionierung mit
> >> Verschlüsselung
> >> durchgeführt. Allerdings scheint boot wieder unverschlüsselt zu sein.
> >> Gibt es außer der Lösung von Ulf mit der Boot Partition auf dem USB
> >> Stick noch eine Möglichkeit?
> >
> > GRUB2 kann auch ein verschlüsseltes /boot lesen (bzw. /boot kann in
> > einem verschlüsseltem rootfs liegen):
> >
> >
> > http://michael-prokop.at/blog/2014/02/28/full-crypto-setup-with-grub2/
>
> interessanter Ansatz, aber letztlich braucht es wohl immer ein kleines
> unverschlüsseltes Stück, das der Theorie nach angreifbar ist.
Ja, Grub selbst.
Und selbst mit Secure Boot: Irgendwo liegt ein Stück unverschlüsselte Closed-
Source UEFI Firmware rum, das die Signaturen prüft. Vielleicht fehlt mir da ja
ein Teil des Puzzles, aber derzeit sehe ich auch nicht, wie Secure Boot
vollständig lückenlos sein kann, es sei den es kommt Hardware-Unterstützung
zum Einsatz, also Schlüssel in einem Chip, der diesen nicht wieder raus gibt.
Natürlich für 100% Vertrauen als offene Hardware.
Ich denke selbst mit Coreboot geht das so ohne weiteres nicht lückenlos.
Aber mit dem ThinkPad T520 mit Intel AMT – ein Mechanismus der unter anderem
Antidiebstahl-Funktionen wie Secure Erase der SSD bei WLAN-Signal bietet – mit
integriertem TCP/IP Stack in der Firmware ist das eh alles Makulatur. Das BIOS
lässt sich mittlerweile durch Coreboot ersetzen. Das Intel AMT braucht es
bislang dennoch.
Was funktionieren, um einen Angriff wenigstens zu entdecken wäre Folgendes:
GPG-Signaturen oder ähnliches von sämtlichen beteiligten Komponenten – CPU
Microcode, Firmware, vielleicht via flashrom ausgelesen, GRUB, Linux-Kernel,
InitRD – und die immer prüfen, bevor ich auf die eigentlichen verschlüsselten
Daten zurückgreife. Dann bekomme ich zumindest mit, wenn jemand dran
rumgeschraubt hat. Natürlich muss der private GPG-Schlüssel extern gespeichert
sein, vielleicht in einer Cryptocard.
Irgendwie will ich an eine Welt glauben, in der ein solcher Aufwand unnötig
ist. Und mich weiterhin dafür einsetzen. Daher schließe ich mit einem Aufruf,
die Verfassungsbeschwerde gegen das neue, im Schnelldurchgang beschlossene
Gesetz zur Vorratsdatenspeicherung zu unterstützen.
http://vorratsdatenspeicherung.de/
https://digitalcourage.de/weg-mit-vds
Ciao,
--
Martin
Reply to: