TPM und Secureboot: Poettering will bessere Verschlüsselung unter Linux

Der langjährige Linux-Entwickler und Gründer des Systemd-Projekts Lennart Poettering befasst sich in einem aktuellen ausführlichen Blogbeitrag mit den verfügbaren Sicherheitstechniken unter Linux und kommt dabei zu einem Schluss: "Tatsächlich sind Daten derzeit wahrscheinlich sicherer, wenn sie auf aktuellen ChromeOS-, Android-, Windows- oder MacOS-Geräten gespeichert sind, als auf typischen Linux-Distributionen."

Diese Erkenntnis mag zunächst überraschend erscheinen. Immerhin bieten Linux-Distributionen seit Jahren die Möglichkeit für eine Festplattenverschlüsselung (Full Disk Encryption). Ebenso setzen die Distributionen zum Beispiel auf UEFI Secureboot und inzwischen auch auf TPMs, um den Bootvorgang sowie weitere Systemkomponenten abzusichern.

Umsetzung der Sicherheitstechniken nicht weit genug

Dazu schreibt Poettering aber: "Die Art und Weise, wie die meisten Distributionen sie einrichten, ist jedoch nicht so sicher, wie sie sein sollte, und in mancher Hinsicht ziemlich seltsam." Insbesondere der derzeit meistgenutzte Aufbau schütze nicht gegen sogenannte Evil-Maid-Angriffe. Dies bezeichnet einen Zugriff durch Angreifer, ohne selbst etwas davon mitzubekommen, etwa durch Hotelangestellte. Dabei könnte zum Beispiel versucht werden, Daten der Festplatte für eine spätere Analyse zu kopieren oder eine Backdoor auf dem Gerät unterzubringen.

Laut Poettering setzen die Distributionen in den meisten Fällen zwar noch darauf, den Kernel selbst über die Secureboot-Kette zu validieren. Mit der Initrd (Initial Ram Disk) sowie dem dann genutzten Root-Dateisystem für das eigentliche Betriebssystem geschehe das aber wenn überhaupt nur unzureichend. Genau hier könnten dann mögliche Angriffe ansetzen. Poettering weist außerdem darauf hin, dass das eigentliche Login aus Sicht der Nutzer eher seltsam sei, da zu diesem Zeitpunkt sämtliche Daten bereits unverschlüsselt vorliegen.

Vorschläge für Verbesserungen

Um all dies zu verbessern, schlägt Poettering vor, dass zumindest die Initrd authentifiziert und überprüft werden müsse. Konfigurationsdateien, etwa in /etc oder /var sollten verschlüsselt werden, Betriebssystem-Komponenten wie /usr sollten vor einem Boot authentifiziert werden und auch die Home-Verzeichnisse von Nutzern sollten verschlüsselt und authentifiziert werden, was an das Nutzer-Passwort gebunden werden sollte.

Wie diese und einige weitere Ideen künftig auch in klassischen Linux-Distributionen umgesetzt werden könnten, führt Poettering dann auch selbst aus: Unter anderem mit einem Rückgriff auf bestehende Arbeiten in Systemd selbst oder auch auf Grundlage der Krypto-Funktionen im Linux-Kernel (DM-Verity, DM-Integrity).

Darüber hinaus heißt es aber, dass dies nicht sofort umgesetzt werden könne, da dazu noch einiges an Integrationsarbeit zu leisten sei. Wann das also in Distributionen wie Fedora oder auch Ubuntu landen werde, ist derzeit noch nicht absehbar. Doch selbst wenn die Vorschläge von Poettering nicht direkt von den Distributionen umgesetzt werden, sollten diese über das Problem nachdenken und entsprechende Lösungen erarbeiten, findet der Entwickler.