Re: Literaturempfehlung: Sicherheit beim Booten?

To: debian-user-german@lists.debian.org
Subject: Re: Literaturempfehlung: Sicherheit beim Booten?
From: Christoph Schmees <cjws@gmx.net>
Date: Sat, 12 Jun 2021 06:25:45 +0200
Message-id: <[🔎] 96911969-da59-e3fb-141a-7fef9b06fb94@gmx.net>
In-reply-to: <[🔎] 98507814-6579-0fd4-e00a-3a240e2284ad@debianlists.mobilxpress.net>
References: <[🔎] 98507814-6579-0fd4-e00a-3a240e2284ad@debianlists.mobilxpress.net>

Am 11.06.21 um 22:00 schrieb Marco Möller:
> ...
> So weit ich es überblicke gibt es da eine UEFI Code der den Grub2
> bootloader startet, und letzterer startet dann mein Linux
> Betriebssystem. Wenn mein Linux verschlüsselt ist kann da erstmal keiner
> in die darin enthaltenen Daten schauen, falls mein USB-Stick mal
> verloren gehen würde und den jemand findet.
> Meine Sorge war aber immer, aus Prinzip, nicht weil ich da für mich ein
> reales Angriffsrisiko befürchtete, dass jemand den Code in der Boot
> Partition austauschen könnte, an den er ja ohne superuser Rechte und
> sonstige Passworte einfach dran kommen können sollte, da die Partition
> unverschlüsselt und damit von einem anderen laufenden System aus einfach
> zugänglich sein würde. Somit könnte man mir da etwas unterschieben, was
> dann die Passwortabfrage zur Entschlüsselung der schützenswerten Daten
> enthaltenen root Partition belauschen könnte.
> ...
ja, natürlich sind Angriffe auf UEFI denkbar.

Über das schwache Konzept hinaus werden auch immer wieder fehlerhafte
Implementierungen entdeckt, die Schwachstellen enthalten (hat da jemand
"Hintertür!" gerufen?). Das Ding ist halt übermäßig komplex, keine Spur
von KISS.

Bei lokalem Zugang, also für einen Innentäter (oder bei der
"Grenzkontrolle"), sind Manipulationen jedenfalls möglich. Über Angriffe
/remote/ wurde schon viel spekuliert; nach meiner Kenntnis ist noch
keiner *bekannt* ;-) geworden.

Hier möchte ich mal Konfuzius zitieren: Nur weil du paranoid bist, heißt
das nicht, dass "sie" *nicht* hinter dir her sind. :-)
TL;DR: Wenn du ein derart hohes Sicherheitsbedürfnis hast, dann solltest
du UEFI komplett vergessen und dich mit Coreboot befassen. Das könnte
zur Folge haben, dass du geeignete HW einsetzen musst. Die Auswahl ist
leider (noch) nicht überwältigend. Aber es *gibt* Geräte.
<https://www.startpage.com/sp/search?query=coreboot+hersteller>

Ansonsten müsstest du dein MB, sofern geeignet
<https://doc.coreboot.org/mainboard/index.html>, selber auf Coreboot
umflashen <https://doc.coreboot.org/flash_tutorial/index.html>.

hth
Christoph

--
Bitte keine Mails von USA-Providern wie AOL, me.com/icloud (Apple),
gmail (Google), hotmail/outlook.com (Microsoft) oder yahoo.
Solche Mails werden ohne Rückmeldung gelöscht.

Reply to:

References:
- Literaturempfehlung: Sicherheit beim Booten?
  - From: Marco Möller <talby@debianlists.mobilxpress.net>

Prev by Date: Literaturempfehlung: Sicherheit beim Booten?
Next by Date: Re: Literaturempfehlung: Sicherheit beim Booten?
Previous by thread: Literaturempfehlung: Sicherheit beim Booten?
Next by thread: Re: Literaturempfehlung: Sicherheit beim Booten?
Index(es):
- Date
- Thread