Laufwerksverschlüsselung und UEFI Partitionslabels Fragenkatalog

derwunner · 21. Februar 2021

Hallo,

ich hatte vor Kurzem bei der Neuinstallation meines Notebooks, Laufwerksverschlüsselung ausgewählt. Doch allerdings so ganz glücklich, bzw. informiert bin ich in dahingehend noch nicht. Für mich haben sich bisher die nachfolgenden Fragen ergeben, die ich mir nicht durch die openSUSE Dokumentation (oder anderweitig) beantworten konnte:

1. Welche Verschlüsselung, bzw. welcher Algorithmus wird "unter der Haube" verwendet? Das ging im Installer nicht hervor - man kann dort nur Verschlüsselung inform einer Checkbox an- bzw. abwählen.

2. Warum kann man UEFI Partitionen nicht benennen wie man will, wenn es doch der ISO Standard hergibt? Man kann dort nur auswählen "nach uuid benennen" oder nicht. Das sagt mir allerdings als Mensch nichts und man weiß dann trotzdem nicht welche Partition welche ist. Laut dem ISO Standard, so zumindest laut den Microsoft Dokumenten, kann man die Partitionslabels im UTF-8 Zeichensatz (alle bekannten und gängigen Umlaute, einschließlich Symbol-Sonderzeichen, asiatische Schriftzeichen usw.) vergeben bis zu einer gewissen Maximallänge, warum also diese uuid's, die nur Maschinen voneinander unterscheiden können?!

3.Ist die zugrundeliegende Verschlüsselung anfällig für Timing Attacks?

4. Warum kann man nicht generell das komplette Laufwerk verschlüsseln, also nur eine Passwort-Abfrage, anstatt jede Partition einzeln?

5. Wie wäre eine mehrstufige Verschlüsselung zu realisieren?

6. Kann man es beim Booten nicht so einstellen, dass er öfters nach dem Passwort fragt bei falscher Eingabe?

7. Gibt es beim Booten der verschlüsselten /root Partition bei der Eingabe des Passwortes einen Timeout, wo er ohne Eingabe weiter bootet?

8. Kann man es so eisntellen, dass er ohne entschlüsselte /root Partition nicht weiter bootet? Standardmäßig ist es ja so, dass beim Booten nicht entschlüsselte Partitionen ignoriert werden laut Doku, macht aber wenig Sinn, wenn es die /root Partition ist...

9. Warum kann man nicht einfach ein laufendes System verschlüsseln - ohne Datenverlust - BitLocker kann es schließlich auch?

Über die Beantwortung der ein oder anderen Frage würde ich mich sehr freuen.

Vielen Dank im Voraus,

derwunner

Scytale · 21. Februar 2021

1. Wie bei jeder mir bekannten Linux Distribution LUKS. Spezifikationen bitte auf der Projektseite nachschauen.

4. Kann man, aber nur nicht bootfähige Laufwerke. Naturgemäß geht das nur mit einer separaten Boot Partition und dem LVM Container/LUKS Partition. SUSE geht aus Sicherheitsgründen den Weg über 2 Partitionen, die nacheinander entsperrt werden müssen, wobei es für die zweite Eingabe einen Workaround gibt. Laufwerke mit einer Partition können auch mit nur einem Passwort entsperrt werden.

5. Was verstehst du unter mehrstufig?

6. Ja, aber nicht bei der Implementierung, so wie openSUSE es macht. Bei der PW Abfrage beim entsperren des LVM Containers geht das wohl, wenigstens ist das bei Ubuntu das default Verhalten, aber bei SUSE gehts um die Entsperrung des Bootloaders, das ist was ganz anderes. Aber genau genommen macht das Brute Forcing einfacher.

7. Nein. Wie soll das denn gehen?

8. Ohne entsperrtes / kann das OS nicht booten. Nicht OS Partitionen können nach einem Timeout übersprungen werden.

9. Ich vermute anhand des Leitspruchs "Sicherheit geht immer auf Kosten von Komfort", dass Bitlocker da einfach viele Kartenspielertricks macht, bspw. nicht wirklich alles zu verschlüsselt, oder nur Metadaten und Verweise auf die tatsächlichen Speicherorte von Dateien. Ich vermute das, weil: Der Bootloader ist nicht verschlüsselt, man kann mit einem PIN oder Passwort die Festplatte entsperren, obwohl das nicht das Entschlüsselungskennwort ist, man kann sogar Windows völlig ohne PW EIngabe entsperren lassen und obendrauf gibt es noch einen Bitlocker Wiederherstellungskey, der auch nicht das richtige Verschlüsselungspasswort ist (oder doch?). Und bei allem hängen oft diese reudigen TPM Chips mit drin, die voller Lücken sind und niemand weiß, was die machen. Ich denke, Windows pfuscht da einfach, weil eigentlich müsste Windows bei einer richtigen Vollverschlüsselung jeden einzelnen Sektor auf der Platte mit Quatsch überschreiben und dann die verschlüsselten Daten drauf schreiben. Da das meiner Erfahrung nach viel zu schnell geht, wisst ihr, was ich glaube. Hut ab, wenn die das hinkriegen, aber wir reden hier von einem OS, bei dem man mittlerweile 2 mal im Jahr Angst hat, dass einem ein drittel aller Rechner im Unternehmensnetzwerk für mehrere Stunden ausfallen.

derwunner · 22. Februar 2021

Zitat von Scytale

5. Was verstehst du unter mehrstufig?

Eine Verschlüsselung auf die andere. Also in sich mehrfach verschlüsselt. Oder noch anders erklärt: Es gibt einen äußeren Verschlüsselungsalgorithmus und einen inneren. Erst muss der äußere entschlüsselt werden, damit man an den inneren heran kommt. Danach kann man erst den inneren entschlüsseln. Sind also beide Algorithmen entschlüsselt, kann man den Klartext sehen. Im Prinzip wie es Truecrypt gemacht hat: Mehrere ineinandergreifende Schichten von Verschlüsselung (die eine verschlüsselt jeweils die andere).

Zitat von Scytale

Ja, aber nicht bei der Implementierung, so wie openSUSE es macht. Bei der PW Abfrage beim entsperren des LVM Containers geht das wohl, wenigstens ist das bei Ubuntu das default Verhalten, aber bei SUSE gehts um die Entsperrung des Bootloaders, das ist was ganz anderes. Aber genau genommen macht das Brute Forcing einfacher.

Laufwerksverschlüsselung kann man so oder so Brute Forcen, außerdem wenn man so weit ist, dann ist eh schon alles zu spät. "Hardwaremäßiger Zugriff ist immer ein Problem", hatte mein Lehrer gesagt. Ich muss ihm recht geben, denn sobald der gegeben ist, stehen Tür und Tor offen. Natürlich dauert es etwas, bis verschlüsselte Inhalt geknackt werden können, aber möglich ist es im Laufe von ca. 10 Jahren.

Mir geht es dabei eigentlich nur um Komfort, weil ich nach der ersten falschen Eingabe schon so eine blanke GRUB Befehlszeile bekomme, was nicht gut aussieht und ich völlig planlos bin, was man da eingeben soll, um einen erneuten Versuch zu starten. Wie bereits erwähnt, die uuid's habe ich natürlich im Kopf und kann die sofort in GRUB herunterhacken

Aktuell betätige ich einfach den Ausschalter und starte nochmal, ist aber etwas unschön, deswegen hätte ich gerne zumindest einen zweiten Versuch.

Zitat von Scytale

7. Nein. Wie soll das denn gehen?

Nun, ich habe auch schon Pferde kotzen sehen. Gerade in der IT und gerade bei Linux erlebt man es häufig, dass eigentlich unmöglich geglaubte Sachen dann tatsächlich eintreten. Deswegen fragte ich.

Ich meine, bei den ganzen Bastelleien, die man heute immer noch bei Linux machen muss, sobald es etwas komplexer wird als nur Standard-Software, rechne ich da sowieso immer mit allem...

Scytale · 22. Februar 2021

Zitat von derwunner

Eine Verschlüsselung auf die andere. Also in sich mehrfach verschlüsselt. Oder noch anders erklärt: Es gibt einen äußeren Verschlüsselungsalgorithmus und einen inneren. Erst muss der äußere entschlüsselt werden, damit man an den inneren heran kommt. Danach kann man erst den inneren entschlüsseln. Sind also beide Algorithmen entschlüsselt, kann man den Klartext sehen. Im Prinzip wie es Truecrypt gemacht hat: Mehrere ineinandergreifende Schichten von Verschlüsselung (die eine verschlüsselt jeweils die andere).

Nett gedacht, aber die gewonnene Sicherheit kommt allein von der Zunahme der Kennwortkomplexität und nicht, dass zwei Verschlüsselungen auf einander folgen. Im Szenario eines tatsächlichen Angriffs ist die Sicherheit des zweiten Containers kompromittiert, sobald der erste (also Root) fällt, weil dort unvermeidbar Daten hineinbluten, anhand derer man eigentlich verschlüsselte Daten aus dem zweiten Container wiederherstellen kann oder das Entschlüsselungskennwort knacken kann.

Ergo: Benutze bei der Festplattenvollverschlüsselung ein möglichst langes Kennwort, weil damit der Aufwand zum knacken exponentiell steigt. Alles andere ist nur unnötige Komplexitätserhöhung ohne faktischen Sicherheitsgewinn.

Zitat von derwunner

Nun, ich habe auch schon Pferde kotzen sehen. Gerade in der IT und gerade bei Linux erlebt man es häufig, dass eigentlich unmöglich geglaubte Sachen dann tatsächlich eintreten. Deswegen fragte ich.
Ich meine, bei den ganzen Bastelleien, die man heute immer noch bei Linux machen muss, sobald es etwas komplexer wird als nur Standard-Software, rechne ich da sowieso immer mit allem...

Windows Admin/User, oder?

Petert · 22. Februar 2021

moinmoin derwunner ,

Zitat von derwunner

Ich meine, bei den ganzen Bastelleien, die man heute immer noch bei Linux machen muss, sobald es etwas komplexer wird als nur Standard-Software, rechne ich da sowieso immer mit allem...

... könnte es nicht auch sein das Du Dein Systemkaputt "gebastelt" hast und deshalb dieser, sage ich mal "sehr ungewöhnlichen Probleme" nicht mehr Herr wirst ???

derwunner · 22. Februar 2021

Zitat von Scytale

Windows Admin/User, oder?

Sowohl als auch. Aber die beschriebenen "Problemchen" treffen nur auf Linux zu. Und nein, ich habe nichts "verbastelt". Meistens fehlen Berechtigungen, Ordner, oder Konfigurationen müssen umgeschrieben werden, damit es funktioniert. Nicht zu vergessen, von den seltsamen Fehlermeldungen, auf die man manchmal stößt und man sich dann erst einen Wolf im Internet suchen muss, wenn es dafür überhaupt eine Lösung gibt. Solche Dinge eben.

Laufwerksverschlüsselung und UEFI Partitionslabels Fragenkatalog

Veracrypt Einhängepunkt

latex & kpathsea in Betrieb nehmen

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

openSUSE jetzt mit bitidentisch rekonstruierbaren Paketen in der Factory-Codebasis und Tumbleweed (bit-by-bit reproducible builds)

VirtualBox erkennt keine USB-Geräte

Kukulkan

vpn

Nidrnox

hudel

uli11

Teilen