Re: Literaturempfehlung: Sicherheit beim Booten?

[Jan Bruns <ebay@abnuto.de>]

Hallo Marco,

ich denke, Du hast diese Zusammenhänge bereits korrekt durchanalysiert, 
so daß die Frage nach weitergehenden Literatur möglicherweise ins Leere 
schlägt.

Sinnvoll und praktikabel erschiene mir, wenn die einzelnen 
Bootloader-Ebenen jeweils eine Funktion hätten, vorm Start von Code 
zunächst mal eine Checksumme davon mit einem zuvor gespeicherten Wert 
vergleichen würden, um dann im Falle fehlender Übereinstimmung beim User 
rückzufragen, ob er sich die Änderung erklären kann.

k.A., vllt. bin ich ja nur zu desinteressiert (kann wirklich ohne 
weiteres sein!), aber ich weiss jedenfalls nichts von solchen Rückfragen 
vom BIOS.

Gruss

Jan Bruns

On 11.06.21 22:00, Marco Möller wrote:
> Hallo!
> Ich habe Debian auf einem USB-Stick installiert und zur Sicherheit die 
> Partitionen voll verschlüsselt, außer denen die bisher nicht 
> verschlüsselt werden konnten da Linux sonst nicht hätte booten können. 
> Anlässlich der Veröffentlichung der neuen Grub2 Version, wodurch auch 
> die boot Partition verschlüsselt eingerichtet werden kann, finde ich 
> mich mal wieder grundsätzlich daran erinnert, dass ich da einiges rund 
> um die Sicherheit, um die Vertrauenswürdigkeit beim gesamten 
> Startvorgang grundsätzlich noch nicht verstehe. Vielleicht kann mir 
> jemand eine Literaturempfehlung (gedrucktes Buch, oder Webseite, 
> deutsch oder englisch) zu einer Quelle geben, die das auch für einen 
> nicht studierten Informatiker oder Sicherheitsexperten hinsichtlich 
> der vorhandenen Sicherheit und der vorhandenen Unsicherheiten in 
> relativ einfachen Worten erklärt?
>
> So weit ich es überblicke gibt es da eine UEFI Code der den Grub2 
> bootloader startet, und letzterer startet dann mein Linux 
> Betriebssystem. Wenn mein Linux verschlüsselt ist kann da erstmal 
> keiner in die darin enthaltenen Daten schauen, falls mein USB-Stick 
> mal verloren gehen würde und den jemand findet.
> Meine Sorge war aber immer, aus Prinzip, nicht weil ich da für mich 
> ein reales Angriffsrisiko befürchtete, dass jemand den Code in der 
> Boot Partition austauschen könnte, an den er ja ohne superuser Rechte 
> und sonstige Passworte einfach dran kommen können sollte, da die 
> Partition unverschlüsselt und damit von einem anderen laufenden System 
> aus einfach zugänglich sein würde. Somit könnte man mir da etwas 
> unterschieben, was dann die Passwortabfrage zur Entschlüsselung der 
> schützenswerten Daten enthaltenen root Partition belauschen könnte.
>
> Ich könnte mir vorstellen, daß die findigen Linux Entwickler da nun 
> vielleicht irgendetwas mit Signaturen versehen könnten, und beim 
> Booten dann vielleicht den Startvorgang abbrechen könnten wenn der zum 
> Booten benutzte Code nicht mehr den erwarteten Signaturen entspricht.
> Aber wo würden die Signaturen hinterlegt sein? Immerhin kann ich ja 
> auch selbst mit apt einen neueren Kernel nachinstallieren lassen und 
> die Signaturen müssten also austauschbar sein, und zwar so dass die 
> schon gelesen werden können bevor meine root Partition entschlüsselt 
> wird?
>
> Weiß jemand wo das üblicherweise umgesetzte Sicherheitskonzept zur 
> Absicherung des Bootvorgangs so in vereinfachter Form gut und richtig 
> beschrieben ist, damit ein interessierter Laie da um einige Sorgen im 
> Kopf erleichtert wird, aber auch deutlich aufgezeigt bekommt wo 
> während des Bootvorgangs jemand z.B. meinen gefundenen USB-Stick (oder 
> an einem Computer zu dem physikalischer Zugang besteht) manipulieren 
> würde, und ob ich so eine Manipulation vielleicht noch relativ einfach 
> erkennen könnte wenn ich denn mal danach ausschauen würde?
> Klar, der UEFI Code selbst, der, wenn ich es richtig verstanden habe, 
> irgendwo in einem Chip der Hardware hinterlegt ist, dem bin ich zu 
> Vertrauen als normaler Benutzer erstmal ausgeliefert. Aber dann gibt 
> es da ja manchmal auch eine UEFI Partition, und eben auch die boot 
> Partition. Was dort liegt, wie wird sichergestellt dass das jenes ist, 
> was mir die Debian Distribution zu meiner Sicherheit da eigentlich hat 
> hinschreiben wollen und vielleicht bei der Erstinstallation auch 
> hingeschrieben hatte?
>
> Hat dazu jemand eine gute Quelle zum Nachlesen zu empfehlen, 
> allerdings eine die es schafft das noch in einfache Worte für einen 
> Nicht-Sicherheitsexperten zu packen?
>
> Gruß und Dank, Marco.