Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
On Sat, 23 Mar 2019 21:55:13 +0100, Uwe Kleine-König
<uwe@kleine-koenig.org> wrote:
>On 3/23/19 11:48 AM, Marc Haber wrote:
>> Was übrigens auch geht, ist das TPM als Keystore für LUKS zu
>> verwenden. Damit wird die Platte quasi mit dem Mainboard verheiratet.
>> Für den Fall des Hardwareversagens hat man dann in einem zweiten
>> LUKS-Keyslot einen ganz ekelhaften Key.
>
>Ich hatte schon vor, eine Mail in diesem Thread zu schreiben und das mit
>dem TPM anzumerken. Ich hätte das aber als "theoretische Möglichkeit"
>bezeichnet, bei Dir klingt das eher so, als sei das schon heute möglich.
Ein Mitarbeiter eines Ex-Kunden macht das schon eine Weile so.
>Hast Du einen guten Doku-Link dazu an der Hand?
Keinen, den ich selbst bestätigen könnte, aber "tpm luks" führt zu
etlichen sinnvoll aussehenden stackexchange-Diskussionen und einem
github-Projekt.
>Die Passphrase braucht man dann wohl auch, wenn der Bootloader oder der
>Kernel upgedatet wird,
Warum? /boot ist doch aufgeschlossen wenn das System läuft?
>aber praktischer als heute, wo ich bei jedem Boot
>meine Passphrase eingeben muss, ist das allemal.
Es ist halt auch unsicherer, weil das System beim Booten die Platte
automatisch aufschließen kann. Das dürfte auch ein Angreifer können.
Das Verfahren schützt IMO nur, wenn jemand die Platte ohne das
Notebook klaut oder gegen den Fall "SSD kaputt und man möchte die alte
SSD entsorgen ohne die Gefahr des Datenreichtums zu erzeugen".
Die Platte mit dem TPM aufzuschließen, schützt halt gegen ein ganz
anderes Bedrohungsszenario.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: