Re: UEFI Secure Boot => Kernel Lockdown => kein Tiefschlaf. Warum?
Stefan Baur - 06.03.21, 15:52:54 CET:
> Am 06.03.21 um 15:51 schrieb Martin Steigerwald:
> > Oder bei Systemen, die Software aus wenig vertrauenswürdigen
> > Quellen ausführen.
>
> Du meinst, so wie jede Webseite mit JavaScript? ;)
Grundsätzlich ja. Aber auch hier:
Was bringt mir in diesem Fall der Kernel Lockdown?
Vom Browser geht es erst mal auf die Benutzersitzung… dann sind meine
Daten bereits kompromittiert. Dann ginge es auf die Root-Ebene und erst
dann zum Kernel… was am Kernel ist so schützenswert, dass ich das extra
zu riegeln muss? Meine Argumentation ist: wenn jemand bis zum Kernel
vordringt, dann ist es ohnehin bereits egal. Dann hat er meine Daten,
dann hat er den LUKS-Schlüssel, dann hat er alles, was auf dem Laptop
schützenswert ist. Daher würde ich mich eher darauf fokussieren, genau
das zu schützen. Begrenzt kann es für mich Sinn machen, den Bootvorgang
so abzusichern, dass ich einigermaßen ausschließen kann, dass jemand das
LUKS-Passwort, das ich beim Booten angebe, abgreift… darüber hinaus sehe
ich derzeit nicht, was zusätzliche Maßnahmen wie Kernel Lockdown bringen
sollen… außer alles viel, viel komplizierter zu machen und ein Teil der
Kontrolle über das eigene System abzugeben, indem ich den
Sicherheitsmechanismen in einem proprietären Firmware-Blob vertraue.
Abgesehen davon lässt mein Browser Javascript von Drittseiten zunächst
einmal gar nicht zu.
Meine Frage bleibt: Vor welchem konkreten Angriffs-Szenario schützt
Kernel Lockdown? Und inwiefern ist das für Anwender mit Linux-Laptops
oder Linux-PCs relevant? Ich hab bislang immer noch keine schlüssige
dafür bekommen.
Ciao,
--
Martin
Reply to: