TPM und Secureboot: Poettering will bessere Verschlüsselung unter Linux

Mit Sicherheitstechniken von Windows, MacOS oder ChromeOS könnten übliche Linux-Distributionen nicht mithalten. Der Systemd-Gründer will das ändern.

Artikel veröffentlicht am ,
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering.
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering. (Bild: Pixabay)

Der langjährige Linux-Entwickler und Gründer des Systemd-Projekts Lennart Poettering befasst sich in einem aktuellen ausführlichen Blogbeitrag mit den verfügbaren Sicherheitstechniken unter Linux und kommt dabei zu einem Schluss: "Tatsächlich sind Daten derzeit wahrscheinlich sicherer, wenn sie auf aktuellen ChromeOS-, Android-, Windows- oder MacOS-Geräten gespeichert sind, als auf typischen Linux-Distributionen."

Stellenmarkt
  1. IT-Projektmanager ERP (m/w/d)
    Deutsche See GmbH, Bremerhaven
  2. Akademische Softwareentwicklerin / Akademischer Softwareentwickler (w/m/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
Detailsuche

Diese Erkenntnis mag zunächst überraschend erscheinen. Immerhin bieten Linux-Distributionen seit Jahren die Möglichkeit für eine Festplattenverschlüsselung (Full Disk Encryption). Ebenso setzen die Distributionen zum Beispiel auf UEFI Secureboot und inzwischen auch auf TPMs, um den Bootvorgang sowie weitere Systemkomponenten abzusichern.

Umsetzung der Sicherheitstechniken nicht weit genug

Dazu schreibt Poettering aber: "Die Art und Weise, wie die meisten Distributionen sie einrichten, ist jedoch nicht so sicher, wie sie sein sollte, und in mancher Hinsicht ziemlich seltsam." Insbesondere der derzeit meistgenutzte Aufbau schütze nicht gegen sogenannte Evil-Maid-Angriffe. Dies bezeichnet einen Zugriff durch Angreifer, ohne selbst etwas davon mitzubekommen, etwa durch Hotelangestellte. Dabei könnte zum Beispiel versucht werden, Daten der Festplatte für eine spätere Analyse zu kopieren oder eine Backdoor auf dem Gerät unterzubringen.

Laut Poettering setzen die Distributionen in den meisten Fällen zwar noch darauf, den Kernel selbst über die Secureboot-Kette zu validieren. Mit der Initrd (Initial Ram Disk) sowie dem dann genutzten Root-Dateisystem für das eigentliche Betriebssystem geschehe das aber wenn überhaupt nur unzureichend. Genau hier könnten dann mögliche Angriffe ansetzen. Poettering weist außerdem darauf hin, dass das eigentliche Login aus Sicht der Nutzer eher seltsam sei, da zu diesem Zeitpunkt sämtliche Daten bereits unverschlüsselt vorliegen.

Vorschläge für Verbesserungen

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    26. November 2021, Virtuell
Weitere IT-Trainings

Um all dies zu verbessern, schlägt Poettering vor, dass zumindest die Initrd authentifiziert und überprüft werden müsse. Konfigurationsdateien, etwa in /etc oder /var sollten verschlüsselt werden, Betriebssystem-Komponenten wie /usr sollten vor einem Boot authentifiziert werden und auch die Home-Verzeichnisse von Nutzern sollten verschlüsselt und authentifiziert werden, was an das Nutzer-Passwort gebunden werden sollte.

Wie diese und einige weitere Ideen künftig auch in klassischen Linux-Distributionen umgesetzt werden könnten, führt Poettering dann auch selbst aus: Unter anderem mit einem Rückgriff auf bestehende Arbeiten in Systemd selbst oder auch auf Grundlage der Krypto-Funktionen im Linux-Kernel (DM-Verity, DM-Integrity).

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Darüber hinaus heißt es aber, dass dies nicht sofort umgesetzt werden könne, da dazu noch einiges an Integrationsarbeit zu leisten sei. Wann das also in Distributionen wie Fedora oder auch Ubuntu landen werde, ist derzeit noch nicht absehbar. Doch selbst wenn die Vorschläge von Poettering nicht direkt von den Distributionen umgesetzt werden, sollten diese über das Problem nachdenken und entsprechende Lösungen erarbeiten, findet der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elcaron 22. Okt 2021 / Themenstart

ZFS läuft super :)

elcaron 22. Okt 2021 / Themenstart

Ubuntu macht mit ZFS Vollverschlüsselung. Allerdings soweit ich sehe nur beim...

g0r3 28. Sep 2021 / Themenstart

Ich hab mal einen guten Vortrag zu Systemd gesehen. Auf einen Satz heruntergebrochen...

recluce 26. Sep 2021 / Themenstart

So ist es. Bringt aber wenigstens wieder einige neue Nutzer zu *BSD.

robinx999 25. Sep 2021 / Themenstart

Wenn man im EFI eigene Schlüssel ablegen kann, dann könnte das sogar sehr sicher sein. Da...

Kommentieren



Aktuell auf der Startseite von Golem.de
Rockstar Games
Neue GTA Trilogy läuft auch auf älterer PC-Hardware

Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
Artikel
  1. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  2. Europol: 150 Festnahmen bei Schlag gegen Darknet-Kriminalität
    Europol
    150 Festnahmen bei Schlag gegen Darknet-Kriminalität

    Allein in Deutschland wurden 47 Kunden und Händler der ehemals größten illegalen Handelsplattform im Darknet, Darkmarket, festgenommen.

  3. Satechi: USB-C-Hub integriert eine externe SSD gleich mit
    Satechi
    USB-C-Hub integriert eine externe SSD gleich mit

    Der Hybrid Multiport Adapter kann per USB-C ein Notebook aufladen und weitere Geräte verbinden. Außerdem ist Platz für eine M.2-SSD.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /