TPM und Secureboot: Poettering will bessere Verschlüsselung unter Linux

Mit Sicherheitstechniken von Windows, MacOS oder ChromeOS könnten übliche Linux-Distributionen nicht mithalten. Der Systemd-Gründer will das ändern.

Artikel veröffentlicht am ,
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering.
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering. (Bild: Pixabay)

Der langjährige Linux-Entwickler und Gründer des Systemd-Projekts Lennart Poettering befasst sich in einem aktuellen ausführlichen Blogbeitrag mit den verfügbaren Sicherheitstechniken unter Linux und kommt dabei zu einem Schluss: "Tatsächlich sind Daten derzeit wahrscheinlich sicherer, wenn sie auf aktuellen ChromeOS-, Android-, Windows- oder MacOS-Geräten gespeichert sind, als auf typischen Linux-Distributionen."

Stellenmarkt
  1. React Frontend Entwickler (m/w/d)
    Hays AG, Hamburg
  2. IT-Servicemitarbeiter/in Support (m/w/d)
    BYTEC Bodry Technology GmbH, Friedrichshafen
Detailsuche

Diese Erkenntnis mag zunächst überraschend erscheinen. Immerhin bieten Linux-Distributionen seit Jahren die Möglichkeit für eine Festplattenverschlüsselung (Full Disk Encryption). Ebenso setzen die Distributionen zum Beispiel auf UEFI Secureboot und inzwischen auch auf TPMs, um den Bootvorgang sowie weitere Systemkomponenten abzusichern.

Umsetzung der Sicherheitstechniken nicht weit genug

Dazu schreibt Poettering aber: "Die Art und Weise, wie die meisten Distributionen sie einrichten, ist jedoch nicht so sicher, wie sie sein sollte, und in mancher Hinsicht ziemlich seltsam." Insbesondere der derzeit meistgenutzte Aufbau schütze nicht gegen sogenannte Evil-Maid-Angriffe. Dies bezeichnet einen Zugriff durch Angreifer, ohne selbst etwas davon mitzubekommen, etwa durch Hotelangestellte. Dabei könnte zum Beispiel versucht werden, Daten der Festplatte für eine spätere Analyse zu kopieren oder eine Backdoor auf dem Gerät unterzubringen.

Laut Poettering setzen die Distributionen in den meisten Fällen zwar noch darauf, den Kernel selbst über die Secureboot-Kette zu validieren. Mit der Initrd (Initial Ram Disk) sowie dem dann genutzten Root-Dateisystem für das eigentliche Betriebssystem geschehe das aber wenn überhaupt nur unzureichend. Genau hier könnten dann mögliche Angriffe ansetzen. Poettering weist außerdem darauf hin, dass das eigentliche Login aus Sicht der Nutzer eher seltsam sei, da zu diesem Zeitpunkt sämtliche Daten bereits unverschlüsselt vorliegen.

Vorschläge für Verbesserungen

Golem Akademie
  1. Linux-Systemadministration Grundlagen
    25.-29. Oktober 2021, online
  2. Linux-Shellprogrammierung
    2.-5. November 2021, online
  3. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Um all dies zu verbessern, schlägt Poettering vor, dass zumindest die Initrd authentifiziert und überprüft werden müsse. Konfigurationsdateien, etwa in /etc oder /var sollten verschlüsselt werden, Betriebssystem-Komponenten wie /usr sollten vor einem Boot authentifiziert werden und auch die Home-Verzeichnisse von Nutzern sollten verschlüsselt und authentifiziert werden, was an das Nutzer-Passwort gebunden werden sollte.

Wie diese und einige weitere Ideen künftig auch in klassischen Linux-Distributionen umgesetzt werden könnten, führt Poettering dann auch selbst aus: Unter anderem mit einem Rückgriff auf bestehende Arbeiten in Systemd selbst oder auch auf Grundlage der Krypto-Funktionen im Linux-Kernel (DM-Verity, DM-Integrity).

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Darüber hinaus heißt es aber, dass dies nicht sofort umgesetzt werden könne, da dazu noch einiges an Integrationsarbeit zu leisten sei. Wann das also in Distributionen wie Fedora oder auch Ubuntu landen werde, ist derzeit noch nicht absehbar. Doch selbst wenn die Vorschläge von Poettering nicht direkt von den Distributionen umgesetzt werden, sollten diese über das Problem nachdenken und entsprechende Lösungen erarbeiten, findet der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


g0r3 28. Sep 2021 / Themenstart

Ich hab mal einen guten Vortrag zu Systemd gesehen. Auf einen Satz heruntergebrochen...

Steffo 26. Sep 2021 / Themenstart

Kann dem nur beipflichten. Ich kenne noch die Zeiten zu Anfang der 2000er: - Jede...

recluce 26. Sep 2021 / Themenstart

So ist es. Bringt aber wenigstens wieder einige neue Nutzer zu *BSD.

robinx999 25. Sep 2021 / Themenstart

Wenn man im EFI eigene Schlüssel ablegen kann, dann könnte das sogar sehr sicher sein. Da...

43rtgfj5 24. Sep 2021 / Themenstart

Ich mag Poettering aufgrund seiner Einstellung "It's not a bug, it's a feature" nicht...

Kommentieren



Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /