Re: Strom sparen / Komfort behalten

To: debian-user-german@lists.debian.org
Subject: Re: Strom sparen / Komfort behalten
From: therealcyclist <therealcyclist@posteo.de>
Date: Sun, 30 Jul 2023 21:28:41 +0000
Message-id: <[🔎] ZMbWCaqTenH3g52a@horus>
In-reply-to: <[🔎] 21987668.EfDdHjke4D@lichtvoll.de>
References: <[🔎] 612c26e4-d864-2e7f-5ffb-c0fd782e3718@cation.de> <ZMa/qWn1yqBHPNuK@horus> <[🔎] 21987668.EfDdHjke4D@lichtvoll.de>

On Sun, Jul 30, 2023 at 11:12:16PM +0200, Martin Steigerwald wrote:
> therealcyclist - 30.07.23, 21:54:41 CEST:
> > Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
> > ist dann unmöglich. Siehe:
> > https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
> 
> Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.
> 
> 1. Daten verschlüsseln.
> 
> 2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann 
> ist es kompromittiert. Secure Boot hin, Secure Boot her.
> 
> Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot 
> ohnehin reichlich sinnlos. Bei Vollverschlüsselung könnte Secure Boot 
> noch einen geringen Gewinn bringen. Ich halte das ganze aber nach wie 
> vor für eine Schnapsidee von Microsoft, um Dinge komplizierter zu machen 
> als sie sein müssten, ohne einen die zusätzliche Komplexität tatsächlich 
> rechtfertigenden Mehrwert zu bieten. Das können die gut bei Microsoft¹.
> 
> Secure Boot in Zusammenhang mit Hardware-Funktionen, die einen 
> physischen Zugriff auf das System verhindern sollen, wie möglicherweise 
> Lenovo ThinkPad Tamper Protection, wobei ich nicht wirklich weiß, ob die 
> auch was bringt… vielleicht… aber möchte ich so ein System dann noch 
> nutzen? Ich glaube eher nicht.
> 
> Zumal so oder so sich ja auch noch die Frage stellt, inwiefern ich der 
> Firmware vertrauen kann. Denn die kann im Betrieb natürlich auch auf an 
> sich verschlüsselte Daten zugreifen.
> 
> Also für echte Sicherheit sind IMHO andere Maßnahmen viel, viel 
> wichtiger als Secure Boot.
> 
> [1] Sicherheit aber eher weniger, wie so einige Vorfälle in Bezug auf 
> Microsoft 365 ja mal wieder gezeigt haben.
> 
> -- 
> Martin
> 
> 

Secure Boot deaktiviert unter debian nicht direkt hibernate. Das macht lockdown=confidentiality.
Debian hat aber per default: wenn secure boot dann auch lockdown=confidentiality.

lockdown=confidentiality hat aber weitere Vorteile wie z.B. das keine unsignierten kernel module geladen werden.
Und unverschlüsselt hibernate zu verhindern ist eben auch ein security feature von lockdown.

Reply to:

References:
- Strom sparen / Komfort behalten
  - From: Boris <boris@cation.de>
- Re: Strom sparen / Komfort behalten
  - From: therealcyclist <therealcyclist@posteo.de>
- Re: Strom sparen / Komfort behalten
  - From: Martin Steigerwald <martin@lichtvoll.de>

Prev by Date: Re: Strom sparen / Komfort behalten
Next by Date: Re: Strom sparen / Komfort behalten
Previous by thread: Re: Strom sparen / Komfort behalten
Next by thread: Re: Strom sparen / Komfort behalten
Index(es):
- Date
- Thread