Wie /boot auf verschlüsseltem System vor Manipulation schützen?

03/02/2012 - 08:58 von Stefan Märkle | Report spam
Hi,

ich habe mir ein 'portables' ubuntu System auf USB Stick eingerichtet, das ein
verschlüsseltes Dateisystem beinhaltet. Ich gehe sorgsam mit dem Stick um,
durch die Verschlüsselung hàtte ich aber bei Verlust oder unbeaufsichtigtem
Zugriff auch keine grossen Sorgen um meine Daten.

Aber leider muss /boot ja unverschlüsselt zur Verfügung stehen. Wie verhindere
ich, dass mir an der Stelle jemand einen Keylogger einbaut? Oder wie merke
ich das wenigstens?

Gruß
Stefan

P.S.: Mir ist klar, dass es noch ganz andere Quellen von Unsicherheit gibt
und dass ich beispielsweise der Hardwaretastatur vertrauen muss, auf der ich
meinen Schlüssel eintippe oder dem Rechner, dass er mein System nicht in
einer überwachten Sandbox ablaufen làsst. Finde ich aber alle weniger
bedrohlich in einem unbeobachtenten Moment meinen USB-Stick manipuliert zu
bekommen.

Stefan Màrkle <stefan-nospam08@maerkle.de>
 

Lesen sie die antworten

#1 Christian Thaeter
03/02/2012 - 09:52 | Warnen spam
Am Fri, 3 Feb 2012 07:58:42 +0000 (UTC)
schrieb Stefan Màrkle :

Hi,

ich habe mir ein 'portables' ubuntu System auf USB Stick
eingerichtet, das ein verschlüsseltes Dateisystem beinhaltet. Ich
gehe sorgsam mit dem Stick um, durch die Verschlüsselung hàtte ich
aber bei Verlust oder unbeaufsichtigtem Zugriff auch keine grossen
Sorgen um meine Daten.

Aber leider muss /boot ja unverschlüsselt zur Verfügung stehen. Wie
verhindere ich, dass mir an der Stelle jemand einen Keylogger
einbaut? Oder wie merke ich das wenigstens?



http://www.arlt.com/Hardware/PC-Kom...ck-II.html

die Frage ist natürlich gegen welche Angriffe du dich schützen willst,
z.b. könntest du über /boot ein Manifest machen und das GPG-signieren.
Ein schlauer Angreifer müsste dir dann schon ein System untermogeln das
die Validierung hackt. Letztendlich làuft das da drauf hinaus das die
Sicherheit immer von dem schwàchsten Glied bestimmt wird und wenn Du da
auch nur eine Sache nicht 100%tig nachvollziehbar kryptographisch
abgesichert hast ist das ein Angriffspunkt.

Mit einigen Aufwand làsst sich auch mit Linux ein secure-boot mit dem
TPM machen, ich weiss das aber nur in der Theorie und das wirklich
einzurichten ist sicher den Stress nicht wert, abgesehen davon das ich
mir nicht sicher ob man der ganzen Sache wirklich trauen kann (was bei
dem Corsair-Stick ja eigentlich auch nicht 100% gegeben ist, wer
weiß wer da alles nen Zweitschlüssel hat).

Christian


Gruß
Stefan

P.S.: Mir ist klar, dass es noch ganz andere Quellen von Unsicherheit
gibt und dass ich beispielsweise der Hardwaretastatur vertrauen muss,
auf der ich meinen Schlüssel eintippe oder dem Rechner, dass er mein
System nicht in einer überwachten Sandbox ablaufen làsst. Finde ich
aber alle weniger bedrohlich in einem unbeobachtenten Moment meinen
USB-Stick manipuliert zu bekommen.

Ähnliche fragen