TPM und Secureboot: Poettering will bessere Verschlüsselung unter Linux

Mit Sicherheitstechniken von Windows, MacOS oder ChromeOS könnten übliche Linux-Distributionen nicht mithalten. Der Systemd-Gründer will das ändern.

Artikel veröffentlicht am ,
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering.
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering. (Bild: Pixabay)

Der langjährige Linux-Entwickler und Gründer des Systemd-Projekts Lennart Poettering befasst sich in einem aktuellen ausführlichen Blogbeitrag mit den verfügbaren Sicherheitstechniken unter Linux und kommt dabei zu einem Schluss: "Tatsächlich sind Daten derzeit wahrscheinlich sicherer, wenn sie auf aktuellen ChromeOS-, Android-, Windows- oder MacOS-Geräten gespeichert sind, als auf typischen Linux-Distributionen."

Diese Erkenntnis mag zunächst überraschend erscheinen. Immerhin bieten Linux-Distributionen seit Jahren die Möglichkeit für eine Festplattenverschlüsselung (Full Disk Encryption). Ebenso setzen die Distributionen zum Beispiel auf UEFI Secureboot und inzwischen auch auf TPMs, um den Bootvorgang sowie weitere Systemkomponenten abzusichern.

Umsetzung der Sicherheitstechniken nicht weit genug

Dazu schreibt Poettering aber: "Die Art und Weise, wie die meisten Distributionen sie einrichten, ist jedoch nicht so sicher, wie sie sein sollte, und in mancher Hinsicht ziemlich seltsam." Insbesondere der derzeit meistgenutzte Aufbau schütze nicht gegen sogenannte Evil-Maid-Angriffe. Dies bezeichnet einen Zugriff durch Angreifer, ohne selbst etwas davon mitzubekommen, etwa durch Hotelangestellte. Dabei könnte zum Beispiel versucht werden, Daten der Festplatte für eine spätere Analyse zu kopieren oder eine Backdoor auf dem Gerät unterzubringen.

Laut Poettering setzen die Distributionen in den meisten Fällen zwar noch darauf, den Kernel selbst über die Secureboot-Kette zu validieren. Mit der Initrd (Initial Ram Disk) sowie dem dann genutzten Root-Dateisystem für das eigentliche Betriebssystem geschehe das aber wenn überhaupt nur unzureichend. Genau hier könnten dann mögliche Angriffe ansetzen. Poettering weist außerdem darauf hin, dass das eigentliche Login aus Sicht der Nutzer eher seltsam sei, da zu diesem Zeitpunkt sämtliche Daten bereits unverschlüsselt vorliegen.

Vorschläge für Verbesserungen

Um all dies zu verbessern, schlägt Poettering vor, dass zumindest die Initrd authentifiziert und überprüft werden müsse. Konfigurationsdateien, etwa in /etc oder /var sollten verschlüsselt werden, Betriebssystem-Komponenten wie /usr sollten vor einem Boot authentifiziert werden und auch die Home-Verzeichnisse von Nutzern sollten verschlüsselt und authentifiziert werden, was an das Nutzer-Passwort gebunden werden sollte.

Wie diese und einige weitere Ideen künftig auch in klassischen Linux-Distributionen umgesetzt werden könnten, führt Poettering dann auch selbst aus: Unter anderem mit einem Rückgriff auf bestehende Arbeiten in Systemd selbst oder auch auf Grundlage der Krypto-Funktionen im Linux-Kernel (DM-Verity, DM-Integrity).

Darüber hinaus heißt es aber, dass dies nicht sofort umgesetzt werden könne, da dazu noch einiges an Integrationsarbeit zu leisten sei. Wann das also in Distributionen wie Fedora oder auch Ubuntu landen werde, ist derzeit noch nicht absehbar. Doch selbst wenn die Vorschläge von Poettering nicht direkt von den Distributionen umgesetzt werden, sollten diese über das Problem nachdenken und entsprechende Lösungen erarbeiten, findet der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elcaron 22. Okt 2021

ZFS läuft super :)

elcaron 22. Okt 2021

Ubuntu macht mit ZFS Vollverschlüsselung. Allerdings soweit ich sehe nur beim...

g0r3 28. Sep 2021

Ich hab mal einen guten Vortrag zu Systemd gesehen. Auf einen Satz heruntergebrochen...

recluce 26. Sep 2021

So ist es. Bringt aber wenigstens wieder einige neue Nutzer zu *BSD.



Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /