Re: Strom sparen / Komfort behalten
On Sun, Jul 30, 2023 at 11:12:16PM +0200, Martin Steigerwald wrote:
> therealcyclist - 30.07.23, 21:54:41 CEST:
> > Wenn du Secure Boot nutzt ist lockdown=confidentiality an. Hibernate
> > ist dann unmöglich. Siehe:
> > https://lkml.iu.edu/hypermail/linux/kernel/1804.0/01607.html
>
> Das ist dann auch ein Grund, warum ich kein Secure Boot benutze.
>
> 1. Daten verschlüsseln.
>
> 2. Wenn jemand, der das nicht soll, Zugriff auf das Laptop hatte, dann
> ist es kompromittiert. Secure Boot hin, Secure Boot her.
>
> Sind die Daten nicht verschlüsselt ist aus meiner Sicht Secure Boot
> ohnehin reichlich sinnlos. Bei Vollverschlüsselung könnte Secure Boot
> noch einen geringen Gewinn bringen. Ich halte das ganze aber nach wie
> vor für eine Schnapsidee von Microsoft, um Dinge komplizierter zu machen
> als sie sein müssten, ohne einen die zusätzliche Komplexität tatsächlich
> rechtfertigenden Mehrwert zu bieten. Das können die gut bei Microsoft¹.
>
> Secure Boot in Zusammenhang mit Hardware-Funktionen, die einen
> physischen Zugriff auf das System verhindern sollen, wie möglicherweise
> Lenovo ThinkPad Tamper Protection, wobei ich nicht wirklich weiß, ob die
> auch was bringt… vielleicht… aber möchte ich so ein System dann noch
> nutzen? Ich glaube eher nicht.
>
> Zumal so oder so sich ja auch noch die Frage stellt, inwiefern ich der
> Firmware vertrauen kann. Denn die kann im Betrieb natürlich auch auf an
> sich verschlüsselte Daten zugreifen.
>
> Also für echte Sicherheit sind IMHO andere Maßnahmen viel, viel
> wichtiger als Secure Boot.
>
> [1] Sicherheit aber eher weniger, wie so einige Vorfälle in Bezug auf
> Microsoft 365 ja mal wieder gezeigt haben.
>
> --
> Martin
>
>
Secure Boot deaktiviert unter debian nicht direkt hibernate. Das macht lockdown=confidentiality.
Debian hat aber per default: wenn secure boot dann auch lockdown=confidentiality.
lockdown=confidentiality hat aber weitere Vorteile wie z.B. das keine unsignierten kernel module geladen werden.
Und unverschlüsselt hibernate zu verhindern ist eben auch ein security feature von lockdown.
Reply to: