TPM und Secureboot: Poettering will bessere Verschlüsselung unter Linux

Mit Sicherheitstechniken von Windows, MacOS oder ChromeOS könnten übliche Linux-Distributionen nicht mithalten. Der Systemd-Gründer will das ändern.

Artikel veröffentlicht am ,
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering.
Die Sicherheit von Linux-Systemen ist im Vergleich schlechter als unter Windows oder MacOS, glaubt Lennart Poettering. (Bild: Pixabay)

Der langjährige Linux-Entwickler und Gründer des Systemd-Projekts Lennart Poettering befasst sich in einem aktuellen ausführlichen Blogbeitrag mit den verfügbaren Sicherheitstechniken unter Linux und kommt dabei zu einem Schluss: "Tatsächlich sind Daten derzeit wahrscheinlich sicherer, wenn sie auf aktuellen ChromeOS-, Android-, Windows- oder MacOS-Geräten gespeichert sind, als auf typischen Linux-Distributionen."

Stellenmarkt
  1. Softwarearchitekt / -entwickler Functional Safety (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Leitung der Abteilung Schul-IT (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
Detailsuche

Diese Erkenntnis mag zunächst überraschend erscheinen. Immerhin bieten Linux-Distributionen seit Jahren die Möglichkeit für eine Festplattenverschlüsselung (Full Disk Encryption). Ebenso setzen die Distributionen zum Beispiel auf UEFI Secureboot und inzwischen auch auf TPMs, um den Bootvorgang sowie weitere Systemkomponenten abzusichern.

Umsetzung der Sicherheitstechniken nicht weit genug

Dazu schreibt Poettering aber: "Die Art und Weise, wie die meisten Distributionen sie einrichten, ist jedoch nicht so sicher, wie sie sein sollte, und in mancher Hinsicht ziemlich seltsam." Insbesondere der derzeit meistgenutzte Aufbau schütze nicht gegen sogenannte Evil-Maid-Angriffe. Dies bezeichnet einen Zugriff durch Angreifer, ohne selbst etwas davon mitzubekommen, etwa durch Hotelangestellte. Dabei könnte zum Beispiel versucht werden, Daten der Festplatte für eine spätere Analyse zu kopieren oder eine Backdoor auf dem Gerät unterzubringen.

Laut Poettering setzen die Distributionen in den meisten Fällen zwar noch darauf, den Kernel selbst über die Secureboot-Kette zu validieren. Mit der Initrd (Initial Ram Disk) sowie dem dann genutzten Root-Dateisystem für das eigentliche Betriebssystem geschehe das aber wenn überhaupt nur unzureichend. Genau hier könnten dann mögliche Angriffe ansetzen. Poettering weist außerdem darauf hin, dass das eigentliche Login aus Sicht der Nutzer eher seltsam sei, da zu diesem Zeitpunkt sämtliche Daten bereits unverschlüsselt vorliegen.

Vorschläge für Verbesserungen

Golem Akademie
  1. Linux-Shellprogrammierung
    2.-5. November 2021, online
  2. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Um all dies zu verbessern, schlägt Poettering vor, dass zumindest die Initrd authentifiziert und überprüft werden müsse. Konfigurationsdateien, etwa in /etc oder /var sollten verschlüsselt werden, Betriebssystem-Komponenten wie /usr sollten vor einem Boot authentifiziert werden und auch die Home-Verzeichnisse von Nutzern sollten verschlüsselt und authentifiziert werden, was an das Nutzer-Passwort gebunden werden sollte.

Wie diese und einige weitere Ideen künftig auch in klassischen Linux-Distributionen umgesetzt werden könnten, führt Poettering dann auch selbst aus: Unter anderem mit einem Rückgriff auf bestehende Arbeiten in Systemd selbst oder auch auf Grundlage der Krypto-Funktionen im Linux-Kernel (DM-Verity, DM-Integrity).

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

Darüber hinaus heißt es aber, dass dies nicht sofort umgesetzt werden könne, da dazu noch einiges an Integrationsarbeit zu leisten sei. Wann das also in Distributionen wie Fedora oder auch Ubuntu landen werde, ist derzeit noch nicht absehbar. Doch selbst wenn die Vorschläge von Poettering nicht direkt von den Distributionen umgesetzt werden, sollten diese über das Problem nachdenken und entsprechende Lösungen erarbeiten, findet der Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elcaron 10:31 / Themenstart

ZFS läuft super :)

elcaron 10:23 / Themenstart

Ubuntu macht mit ZFS Vollverschlüsselung. Allerdings soweit ich sehe nur beim...

g0r3 28. Sep 2021 / Themenstart

Ich hab mal einen guten Vortrag zu Systemd gesehen. Auf einen Satz heruntergebrochen...

recluce 26. Sep 2021 / Themenstart

So ist es. Bringt aber wenigstens wieder einige neue Nutzer zu *BSD.

robinx999 25. Sep 2021 / Themenstart

Wenn man im EFI eigene Schlüssel ablegen kann, dann könnte das sogar sehr sicher sein. Da...

Kommentieren



Aktuell auf der Startseite von Golem.de
20 Jahre GTA 3
Neuer Ausflug ins alte Liberty City

Vor 20 Jahren hat GTA 3 Open World in 3D salonfähig gemacht. Überzeugt die Originalversion noch - oder sollte man die Neuauflage abwarten?
Von Benedikt Plass-Fleßenkämper

20 Jahre GTA 3: Neuer Ausflug ins alte Liberty City
Artikel
  1. Weihnachtsgeschäft: DHL erwartet etwas höhere Paketmengen als im Vorjahr
    Weihnachtsgeschäft
    DHL erwartet etwas höhere Paketmengen als im Vorjahr

    Deutsche Post DHL bereitet sich auch technisch vor und kann jetzt kleine Pakete erheblich schneller sortieren.

  2. Stella Vita: Solarflügel-Camper tourt 2.000 km ohne Steckdose
    Stella Vita
    Solarflügel-Camper tourt 2.000 km ohne Steckdose

    Das elektrische Wohnmobil Stella Vita mit ausfahrbarem Solarzellen-Dach ist ohne Steckdosen zum Akkuladen 2.000 km durch Europa gefahren.

  3. New State: Neues Pubg für Smartphones mit Überläufern und Cheat-Schutz
    New State
    Neues Pubg für Smartphones mit Überläufern und Cheat-Schutz

    Erangel und andere Elemente aus Battlegrounds plus neue Ideen: Das Entwicklerstudio Pubg Studios bereitet den Start von New State vor.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /