Verständnisfrage rund um Systemverschlüsselung: Zwei Passphraseabfragen bei einer Verschlüsselung

Hinweis: In dem Thema Verständnisfrage rund um Systemverschlüsselung: Zwei Passphraseabfragen bei einer Verschlüsselung gibt es 3 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Guten Tag Sauerland, sehr geehrte Forum Mitglieder,


    gestern habe ich mein openSUSE Tumbleweed auf meinem Laptop neu aufgesetzt. Da ich viel unterwegs bin, habe ich die Systemverschlüsselung aktiviert. Dies funktioniert auch prinzipiell.

    Ich habe aber folgendes lästiges Problem: Der Passphraseabfrage vor dem Eintritt ins BIOS dauert ewig. Es sieht ungefähr wie folgt aus:

    Code
    Welcome to Grub!
Deine Passphrase bitte: ... ich geb die Passphrase ein ...
... 10 Sekunden pause ...
... Systemauswahl ...


    Aber das wars noch nicht. Obwohl mir der YaST Partitionierer sagt, die Systempartition sei die einzige, die verschlüsselt ist (die EFI Partition also nicht), fragt er während des Bootvorgangs *nochmal* nach der Passphrase. Da geht es allerdings flott.


    Meine Frage:

    Warum fragt der zwei mal, und warum dauert es beim ersten Mal so lange?


    Liebe Grüße

    li2vi

    Für den Inhalt des Beitrages 301078 haftet ausdrücklich der jeweilige Autor: li2vi

    Zitat von li2vi

    Warum fragt der zwei mal...

    Erst braucht der Grub das PW ... sonst kann er nicht feststellen, welche Betriebssysteme gebootet werden könnten. Das kann ja jedes beliebige Betriebssystem sein und der Grub kann nicht wissen, wie man dem ausgewählten System das PW durchreichen könnte. Das gewählte System muss das PW aber natürlich auch bekommen.


    Im Fall "Linux" kann man die Abfrage beim zweiten Mal vermeiden, wenn man im initramfs bastelt. Das hab ich schon sehr lange nicht mehr gemacht und gebe daher dazu lieber keine Ratschläge. Suchstichwort wäre "grub password twice".


    Vielleicht brauchst Du aber auch garnicht soviel Verschlüsselung. Das Verschlüsseln der Systemdateien schützt davor, dass jemand Deinen Rechner unauffällig manipuliert aber nicht klaut und so künftig an Daten kommt. Als Schutz gegen Datenlecks beim Klauen des Laptops reicht aber gewöhnlich das Verschlüsseln der Home-Partition.


    Und in beiden Fällen muss man dran denken, dass nur ein wirklich runtergefahrener Rechner durch Verschlüsselung gut geschützt ist ... der Sleep-Modus beseitigt m.W. die automatische Entschlüsselung im Hintergrund nicht.

    Für den Inhalt des Beitrages 301104 haftet ausdrücklich der jeweilige Autor: Welm

    Du wirst anscheinend die Boot-Partition verschlüsselt haben.....


    LUKS – Betriebssystem verschlüsseln | [Mer]Curius


    Dort steht auch:

    Zitat

    Der Linux Bootloader GRUB unterstützt in neueren Versionen den Start verschlüsselter Partitionen, weshalb eine unverschlüsselte Boot-Partition nicht mehr unbedingt notwendig ist. Obwohl hinsichtlich der Sicherheit eine solche vollständige Verschlüsselung Vorteile bringt, führt der Start aus einer verschlüsselten Boot-Partition oft zu starken Verzögerungen beim Systemstart. Aus diesem Grund basieren die folgenden Vorschläge immer noch auf einer unverschlüsselten Boot-Partition.


    Für den Inhalt des Beitrages 301105 haftet ausdrücklich der jeweilige Autor: Sauerland

    Danke für eure Antworten, nun finde ich es schlüssig, weshalb zwei mal nach der Passphrase gefragt wird. Da ich keine Lust und Zeit habe, den initramfs neu zu konfigurieren, akzeptiere ich auch die doppelte Passphraseeingabe - es ist ja auch logisch konzipiert. Warum das allerdings so lange dauert GRUB zu betreten, nachdem man die Passphrase eingegeben hat, ist mir immernoch unschlüssig. Andere Forenthreads zu dem Thema, die ich beim googlen gefunden habe endeten auch eher in einer Grundsatzdiskussion über Paranoia, Wahrscheinlichkeiten und Full-Disk Encryption als einer fundierten Problemanalyse. Vielleicht gibt es ja tatsächlich eine Lösung, dass das nicht soo lange dauert.

    Für den Inhalt des Beitrages 301155 haftet ausdrücklich der jeweilige Autor: li2vi