• IT-Karriere:
  • Services:

Linux: Kernel-Lockdown soll Ruhezustand unterstützen

Der Ruhezustand des Systems auf der Festplatte (Hibernation) soll mit Hilfe eines TPMs endlich auch im Kernel-Lockdown genutzt werden können.

Artikel veröffentlicht am ,
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen.
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen. (Bild: Pixabay)

Der sogenannte Kernel-Lockdown, also die Trennung von Kernel-Rechten und dem Root-Account, soll künftig auch den Hibernation-Ruhezustand unterstützen. Das schreibt der für die Lockdown-Patches maßgeblich verantwortliche Entwickler Matthew Garrett in seinem Blog. Die dafür notwendigen Patches hat Garrett zur Aufnahme in Linux eingereicht. Wie Garrett schreibt, blockiere der Kernel-Lockdown eigentlich nur einige wenige Nischenfunktionen des Kernels und habe deshalb auf Nutzer wenig direkte Auswirkungen. Was bisher aber eben fehle, sei die Unterstützung für den Hibernation-Ruhezustand, der offenbar vielfach genutzt werde, wie es in der Ankündigung von Garrett heißt.

Stellenmarkt
  1. Stadtverwaltung Bocholt, Bocholt
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg

Anders als beim Suspend-Ruhezustand, in dem der Systemzustand im Arbeitsspeicher abgelegt wird, wird beim Hibernation-Ruhezustand der Systemzustand auf die Festplatte geschrieben, was ein dauerhaftes Abschalten der Stromversorgung des genutzten Rechners ermöglicht. Linux nutzt dafür die Swap-Partition, in die ein Systemabbild geschrieben wird, mit einem speziellen Header, der den Kernel darüber informiert. Beim nächsten Start erkennt der Kernel den Header und stellt das Abbild wieder her.

Bisher gibt es aber keine Möglichkeit festzustellen, dass das so gestartete Abbild tatsächlich von dem eigenen alten und abgesicherten Kernel stammt. So könnten Angreifer mit Root-Rechten das korrekte Schreiben eines Abbilds theoretisch unterbinden, ein eigenes Abbild hinterlegen und so bei einem Neustart ihren eigenen Code in den sogenannten Kernel-Space einschleusen. Diese Veränderung von Kernel-Code durch Root-Nutzer soll der Kernel-Lockdown aber eigentlich verhindern, weshalb die Hibernation-Unterstützung bisher auch fehlt.

TPM zur Lockdown-Unterstützung

Eine einfache Festplattenverschlüsselung helfe hier aber nicht weiter, da das Angriffsszenario ja eben Angreifer mit Root-Rechten sind, die die Inhalte der Swap-Partition eh schon sehen können. Es fehle eine Verifikation dafür, dass das Hibernation-Abbild tatsächlich vom Kernel geschrieben wurde, nicht vom Root-Account, so Garrett.

In seinen Patches greift Garrett dabei auf ein bestimmtes Register im TPM des Rechners zurück, das nur vom Kernel beschrieben werden kann. Die besondere Funktion des TPMs sorge dabei dafür, dass ein verschlüsseltes Abbild nur dann wieder entschlüsselt werden kann, wenn die verschlüsselten Daten mit einem zuvor in dem Register gespeicherten Wert übereinstimmen. Da das dazu genutzte Register aber auch unter Lockdown-Bedingungen nur vom Kernel beschrieben werden kann, nicht jedoch von einem Angreifer mit Root-Rechten, lässt sich damit ein manipulationssicherer Hibernation-Ruhezustand umsetzen.

Umgangen werden könnte das noch durch das Starten einen alten Kernels, so Garrett. Aber auch hier kann mittels Secure Boot im Startprozess auf ein TPM zurückgegriffen werden, das neue Kernel mit der Funktion verifiziert und den Start eines alten Kernels ohne die Schutzfunktion verhindert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 29,90€ + Versand oder kostenlose Marktabholung (Bestpreis!)
  2. (u. a. Anno 1800 für 26,99€, Railway Empire für 14,99€, Code Vein für 16,99€)
  3. 119,90€ (Bestpreis mit Amazon)

Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz

      •  /