ubuntuusers.de

Hallo,

welche Art der Vollverschlüsselung ist denn am sichersten:

a) ein SED in Verbindung mit einem UEFI/BIOS Hard Disk Passwort b) VeraCrypt c) dm-crypt/LUKS (in Ubuntu integriert)

Was sind die Vor- und Nachteile der verschiedenen Lösungen, wo sind die Unterschiede? Warum ist welche Lösung sicherer als andere?

Danke! ☺ hori

horiko schrieb:

a) ein SED in Verbindung mit einem UEFI/BIOS Hard Disk Passwort

Du vertraust der Hardware, ergo einer Black Box.

Wichtig ist das Passwort dann auch mit dem BIOS zu setzen und nicht mit hdparm oder so. Ansonsten hast du vielleicht den Fall, daß du das Passwort im BIOS gar nicht eingeben kannst (zu lang, falsche Sonderzeichen, etc.) und dich effektiv ausgesperrt hast.

b) VeraCrypt

Du vertraust einer auf Windowsuser zugeschnittenen Software.

c) dm-crypt/LUKS (in Ubuntu integriert)

Du vertraust der auf Linuxuser zugeschnittenen Software.

Die Verschlüsselung selbst kommt bei b) und c) vom Kernel, der Unterschied liegt da mehr im drum herum, in welcher Form Schlüsseldaten gespeichert sind usw. also im Falle von LUKS der LUKS-Header und Verycrypt eben denen jener Metadaten.

Warum ist welche Lösung sicherer als andere?

Sicher sind sie alle, vorausgesetzt richtig implementiert.

LUKS ist für Linux die gängigste Lösung.

dm-crypt/LUKS ist also in keiner Weise unsicherer als VeraCrypt oder eine SED, im Zweifelsfall sogar eher noch sicherer (weil auf Linux zugeschnitten)?

Macht es Sinn, bei dm-crypt/LUKS zusätzlich noch im BIOS ein Hard Disk Passwort oder ein Power-on Passwort zu setzen?

horiko schrieb:

dm-crypt/LUKS ist also in keiner Weise unsicherer als VeraCrypt oder eine SED, im Zweifelsfall sogar eher noch sicherer (weil auf Linux zugeschnitten)?

Ein self-encrypting device ist, wie schon gesagt wurde, in der Regel proprietäre Hardware und die ist häufig schlecht implementiert. Insofern ist aus dieser Liste sicherlich die "unsicherste" Lösung.

VeryCrypt ist ein Fork von TrueCrypt, das unter einer komischen Lizenz steht, das aber ein Sicherheitsaudit bestanden hat. VeraCrypt schickt sich an, die dennoch gefundenen Schwächen zu tilgen. Allerdings geht der Entwickler, wie ich finde, ein bisschen sehr weit, wenn er die Passphrase standardmäßig 50.000x hasht. Sicher, das hilft gegen Brute-Force-Attacken, aber nur eine weitere Stelle an einem ordentlichen Passwort hat faktisch denselben Effekt auf die Brute-Force-Angreifbarkeit, lastet einen älteren Rechner aber nicht 1:30 Minuten vollständig aus beim Booten.

LUKS ist schlichtweg die Empfehlung für Linux, weil es seit Jahren Standard ist, vollständig integriert, mit vielen Userspace-Tools, sich direkt bei der Installation auswählen lässt.

Macht es Sinn, bei dm-crypt/LUKS zusätzlich noch im BIOS ein Hard Disk Passwort oder ein Power-on Passwort zu setzen?

Du schützt dich damit gegen die Evil-Maid-Attacke:

Disk encryption keeps data confidential when a computer gets lost or stolen and provides good security against opportunistic attacks. Encryption leaves, however, attack vectors open for targeted attacks, particularly if the attacker can gain physical access to the computer. The term evil maid attack concisely describes the scenario: if the owner leaves a computer unattended in a hotel room, an evil maid, or any one else with access to the room, could tamper with this computer. Tampering with the computer means to compromise the platform that executes the encryption and decryption functions and thus necessarily has access to keys and plaintext data. The attacker could modify software on the computer, or even its hardware, for instance by installing a hardware key logger to obtain passwords. This way the attacker could gain access to confidential data or even compromise the entire operating system.

Ein BIOS-Passwort zu setzen hilft gegen böse Zimmermädchen, die keinen Schraubendreher dabei haben. 😉

unbuntuS12 schrieb:

LUKS ist schlichtweg die Empfehlung für Linux, weil es seit Jahren Standard ist, vollständig integriert, mit vielen Userspace-Tools, sich direkt bei der Installation auswählen lässt.

Aber ist eine Verschlüsselung via dm-crypt/LUKS (oder VeraCrypt) nicht anfälliger für ein Rootkit/Bootkit als eine SED?

Ein BIOS-Passwort zu setzen hilft gegen böse Zimmermädchen, die keinen Schraubendreher dabei haben. 😉

Dagegen "hilft" (vermutlich auch nicht wirklich 😉) ein Power-on Passwort, aber das Hard Disk Passwort (im BIOS) hat da doch überhaupt keinen Sinn...?

Btw, was wären denn so Userspace-Tools für LUKS?

horiko schrieb:

Aber ist eine Verschlüsselung via dm-crypt/LUKS (oder VeraCrypt) nicht anfälliger für ein Rootkit/Bootkit als eine SED?

Da hast du so oder so verloren.

Btw, was wären denn so Userspace-Tools für LUKS?

cryptsetup

frostschutz schrieb:

horiko schrieb:

Aber ist eine Verschlüsselung via dm-crypt/LUKS (oder VeraCrypt) nicht anfälliger für ein Rootkit/Bootkit als eine SED?

Da hast du so oder so verloren.

Kannst du das genauer ausführen?

Lohnt es sich denn, zusätzlich zu dm-crypt/LUKS im BIOS noch ein Power-on Passwort und/oder ein Hard Disk Passwort zu setzen (und wenn ja: welches oder beide?) und warum ist das gegebenenfalls so? Immerhin muss man dann ja beim STart jedes Mal 2 oder 3 Passwörter in Folge eingeben. Steht der eventuelle Sicherheitsgewinn (?) da denn in der Relation zum Komfortverlust?

Kurz: Was ist denn eine für den Alltag möglichst sichere, aber trotzdem noch sinnvolle Konfiguration? Einfach nur dm-crypt/LUKS, reicht das? Zusätzlich ein Power-on Passwort? Zusätzlich ein Hard Disk Passwort? Zusätzlich ein BIOS-/Supervisor-Passwort?

horiko schrieb:

Kannst du das genauer ausführen?

https://xkcd.com/538/

Kurz: Was ist denn eine für den Alltag möglichst sichere, aber trotzdem noch sinnvolle Konfiguration?

Einfach nur dm-crypt/LUKS, reicht das? Zusätzlich ein Power-on Passwort? Zusätzlich ein Hard Disk Passwort? Zusätzlich ein BIOS-/Supervisor-Passwort?

Alles Geschmackssache.

Ich boote z.B. von einem USB-Stick und darauf sind verschlüsselte Keyfiles. Das Passwort das ich eingebe entschlüsselt nur das Keyfile, und das wiederum entschlüsselt die Festplatte.

Ein simpler Keylogger fällt damit raus und /boot Modifizieren in meiner Abwesenheit auch (weil der /boot USB Stick an meinem Schlüsselbund immer bei mir ist).

frostschutz schrieb:

https://xkcd.com/538/

Naja, zwischen einer Evil-Maid-Attacke bzw. einem Rootkit/Bootkit und "Rubber-hose cryptanalysis" ist dann doch nochmal ein deutlicher Unterschied. Wenn es zu letzterem kommt, hast du sowieso ganz andere Probleme, während die ersteren Dinge je nachdem auch für einen normalen Menschen durchaus relevant sein könnten (z.B. im Geschäftsleben, bei Firmengeheimnissen, Industriespionage...). Und hätte da eine SED nicht wirklich Vorteile gegenüber dm-crypt/LUKS (oder VeraCrypt), da es hier überhaupt keine unverschlüsselte Boot-Partition gibt. Allerdings hat so eine SED-Blackbox dafür natürlich andere Nachteile, das ist keine Frage.

Alles Geschmackssache.

Ich boote z.B. von einem USB-Stick und darauf sind verschlüsselte Keyfiles. Das Passwort das ich eingebe entschlüsselt nur das Keyfile, und das wiederum entschlüsselt die Festplatte.

Ein simpler Keylogger fällt damit raus und /boot Modifizieren in meiner Abwesenheit auch (weil der /boot USB Stick an meinem Schlüsselbund immer bei mir ist).

Und gegen welche Art von Angreifer willst/musst du dich schützen? ☺ Oder ist das eher ein Hobby von dir? Demnach hast du auch kein Power-on Passwort oder Hard Disk Passwort gesetzt, nehme ich an? Die Stick-Variante ist natürlich ziemlich sicher, wäre mir im Alltag ohne wirklichen Grund aber zu umständlich.

Noch eine andere Frage: Wie sicher sind Power-on Passwort und Hard Disk Passwort überhaupt? Man liest häufig, dass man die relativ einfach deaktivieren oder umgehen kann.

horiko schrieb:

Und gegen welche Art von Angreifer willst/musst du dich schützen? ☺

Ein Freund, ein guter Freund, ...

Demnach hast du auch kein Power-on Passwort oder Hard Disk Passwort gesetzt, nehme ich an?

Das BIOS-Passwort ist sowieso ein schlechter Witz (Batterie raus, rein und weg ist es).

HDD Passwörter mag ich allgemein überhaupt nicht. Das macht nur Ärger, man kann sich ausschließen... Davon abgesehen, werd ich da mit meinen 8 Festplatten im System alt.

Mal davon abgesehen daß man die bei Festplatten mit Herstellerbefehlen umgehen kann, gibt Anbieter die für den Service 50$ verlangen. Bei SED hoffentlich nicht der Fall aber wie prüft man das nach?

Die Stick-Variante ist natürlich ziemlich sicher, wäre mir im Alltag ohne wirklichen Grund aber zu umständlich.

Im Alltag ist das ganz genauso wie eine 0815 LUKS Installation. Die Kiste bootet, fragt nach einem Passwort, und weiter gehts.

Der Stick ist unterwegs auch sehr praktisch, habe noch div. Live-CDs drauf, da ist man immer gerüstet.

Und das ist so das maximale auf das zu gehen ich bereit bin, bevor es letztlich unkomfortabel wird. Irgendwo muss man aufhören. Wenn ich ein Initramfs schütze das ich selber knacken könnte, ist eine Sache, aber tausend andere Hürden und weitere Eingaben... irgendwo will man den PC ja auch noch normal verwenden können.

frostschutz schrieb:

Ein Freund, ein guter Freund, ...

Der gute Freund und Helfer? ☺

Das BIOS-Passwort ist sowieso ein schlechter Witz (Batterie raus, rein und weg ist es).

HDD Passwörter mag ich allgemein überhaupt nicht. Das macht nur Ärger, man kann sich ausschließen... Davon abgesehen, werd ich da mit meinen 8 Festplatten im System alt.

Mal davon abgesehen daß man die bei Festplatten mit Herstellerbefehlen umgehen kann, gibt Anbieter die für den Service 50$ verlangen. Bei SED hoffentlich nicht der Fall aber wie prüft man das nach?

Nachvollziehbar.

Im Alltag ist das ganz genauso wie eine 0815 LUKS Installation. Die Kiste bootet, fragt nach einem Passwort, und weiter gehts.

Der Stick ist unterwegs auch sehr praktisch, habe noch div. Live-CDs drauf, da ist man immer gerüstet.

Und das ist so das maximale auf das zu gehen ich bereit bin, bevor es letztlich unkomfortabel wird. Irgendwo muss man aufhören. Wenn ich ein Initramfs schütze das ich selber knacken könnte, ist eine Sache, aber tausend andere Hürden und weitere Eingaben... irgendwo will man den PC ja auch noch normal verwenden können.

Ja, da gebe ich dir recht. Irgendwo muss man die Grenze ziehen. Mir wäre das mit dem USB-Stick - zumindest zur Zeit - schon eine Stufe zu "umständlich" (dann geht er kaputt, ich vergesse ihn, er wird geklaut... und das merke ich womöglich erst genau dann, wenn ich ihn gerade dringend brauche). Einfach ein zweites Teil zu benötigen, ist ja auch schon irgendwie wieder eine Möglichkeit, um sich selbst auszuschließen. Wobei es natürlich zweifellos einen deutlichen Sicherheitsgewinn bei einem noch vertretbaren Komfortverlust liefert, das stimmt schon.

Mit /boot auf einem Stick stellt sich die Frage natürlich gar nicht erst, aber wenn /boot normal auf der HDD liegt: Sehe ich das richtig, dass für eine Evil-Maid-Attacke bzw. ein Rootkit/Bootkit immer physischer Zugriff auf das Gerät benötigt wird und das Opfer das nicht bemerken darf bzw. das Gerät nach der Manipulation wieder benutzen muss, damit der Angriff erfolgreich sein kann? Oder funktioniert das auch remote z.B. über LAN oder Internet, wie ein 0815-Virus?

horiko schrieb:

Einfach ein zweites Teil zu benötigen, ist ja auch schon irgendwie wieder eine Möglichkeit, um sich selbst auszuschließen.

LUKS unterstützt bis zu 8 Passwörter/Keys. Man macht das natürlich dann so, daß man im Falle des kaputten Sticks, immer noch reinkommt.

Das ganze soll auch keine Empfehlung sein, so mache ich es halt - Geschmackssache eben.

Man kann ja davon ausgehen daß die Verschlüsselung für 99% der Anwender keine Rolle spielt weil ... sich ja eh keiner wirklich für deinen belanglosen Sch...otter interessiert.

Sehe ich das richtig, dass für eine Evil-Maid-Attacke bzw. ein Rootkit/Bootkit immer physischer Zugriff auf das Gerät benötigt wird

Das ist der Idealfall.

Wenn jemand durch eine Sicherheitslücke auf den laufenden Rechner kommt, greift die ganze Verschlüsselung ja sowieso nicht. Das ist dann ja schon offen.