Diese Komponente wird nach dem Laden des BIOS, jedoch vor dem Starten des Betriebssystems angezeigt. In der PBA werden Zugangsdaten abgefragt, die zum Zugriff auf das verschlüsselte Dateisystem notwendig sind.
Zitat:
Neben der Pre-Boot Authentication kann das Betriebssystem nach dem Systemstart automatisch ein Entschlüsselungsprogramm starten. Bei dieser Variante können aber nur Dateien verschlüsselt werden, die nicht zum eigentlichen Systemstart notwendig sind.
Beispiele für solche Lösungen sind cryptsetup und LUKS unter Linux.
Also:
Bei Pre-Boot geht es darum, dass auch der Systemstart an sich verschlüsselt ist. In /boot liegt aber der Kernel und der wäre bei LVM/LUKS unverschlüsselt. Es spielt dabei keine Rolle, /boot auf einen USB Stick auszulagern. Somit ist diese Konstellation keine 100%tige Pre-Boot-Authentifizierung.
Bitlocker und Truecrypt können eben Pre-Boot-Auth, LVM/LUKS leider nicht.
Gibt es unter Linux denn nun Software, die PBA 100%tig umsetzt?
In /boot liegt aber der Kernel und der wäre bei LVM/LUKS unverschlüsselt.
Korrekt, ich habe auch nichts anderes behauptet.
Es spielt dabei keine Rolle, /boot auf einen USB Stick auszulagern.
Im Zusammenhang mit PBA nicht, nein. Ich habe auch nicht behauptet, daß das dann zu PBA führen würde. Es erschwert aber eine Manipulation des Systems; erschien mir als Anmerkung interessant, hat aber wie gesagt keinen Einfluß auf die eigentliche Fragestellung.
Somit ist diese Konstellation keine 100%tige Pre-Boot-Authentifizierung.
Richtig. Das habe zumindest ich auch nicht behauptet.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 20. Jul 2010 um 18:28.
Aber das verlagert das Problem eh nur eine Stufe nach oben: auf den PBA. Denn irgendwo muß es ja eine Software geben, die das System dann entschlüsselt und hochfährt. Und dort kann ein Angreifer dann ansetzen. Denn diese Software kann nicht verschlüsselt rumliegen, weil sie dann vom BIOS nicht gestartet werden könnte.
Seit Juli 2009 existiert ein Bootkit für alle Windows-Versionen der x86-Architektur, welches die Eingabe des Kennworts für die TrueCrypt Pre-Boot Authentication ausspähen kann[7].
Ok, sowohl eine Loader-Software für PBA oder die /boot Partition bei LVM/LUKS könnte ohne Probleme kompromitiert werden.
Einzige Lösung: Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen, z.B. eine CD-R, SD-Karte oder ein geeigneter USB Stick. Davon bootet man. Verläßt man den Rechner, muss man das Medium irgendwo sicher aufbewahren und vor physischen Zugriffen schützen. Im laufenden Betrieb ist es somit nicht möglich, die Boot-Umgebung zu manipulieren und einen Keylogger zu installieren, es sei denn, das Bios wurde zuvor manipuliert.
Um die Passphrase dann noch auszuspähen, käme nur noch ein Hardware-Keylogger oder eine Kamera in Betracht (andere Geheimdienst Mittel nicht mitgezählt). Befindet sich dagegen eine Loader-Software direkt auf der Boot-Festplatte, könnte Schindluder getrieben werden ohne das man es merkt und die Verschlüsselung wäre nutzlos, weil jemand das die Passphrase geklaut hat.
Fazit: Das ganze Thema 99% oder 100%-PBA ist eigentlich sinnlos. Solange die Systembereiche (bei Linux alles außer /boot) z.B. mittels LVM/LUKS verschlüsselt werden, /, tmp, swap, home, etc., ist man "sicher". Ich brauche in diesem Fall kein Linux-Truecrypt mit PBA (gibt es eh nicht) und die Boardmittel sind ausreichend.
Wenn jemand mal an dem zu überwachenden Rechner war ist es egal ob da ein Witz von PBA ist oder ein Kernel. Um kleine Buben abzuhalten tuts auch mal ein BIOS Passwort bzw. Festplattenpasswort wenn das BIOS das unterstützt.
Wenn jemand soweit kommt, dass er den Kernel manipulieren kann, kann der die Tastatur manipulieren, ne Wanze installieren und sonst was:-)
Ja, das stimmt schon. Ein Tastaturkabel ist fix manipuliert. Einen Tag warten und dann einbrechen und Rechner stehlen. Da nützt dann auch keine Verschlüsselung mehr. Ob PBA oder Kernel ist egal. Schon richtig. Ist aber alles nur trügerische Sicherheit. Wenn Du im Zielkreuz des BKA bist, darfst Du Deine Platte eh nicht mehr entschlüsseln. Dann ein Passwort einzugeben, wo auch immer, wäre viel zu gefährlich. Wer weiß, was die dann vorher wo manipuliert haben. Hmm, hört sich an, als wenn ich was auf dem Kerbholz habe. Ist aber nicht so Ich werde trotzdem meinen Notebook verschlüsseln, auch wenn es nur gegen kleine Buben ist.
Es geht aber um PBA. Und da gibt es keine Bildschirmtastatur womit Du den Key eingeben kannst. Die Software wird ja noch vor dem eigentlichen BS geladen.
Jo, aber da greift noch keinerlei Software, da muss dann wirklich ein Hardwarelogger vor dem Tastenklavier hängen. Dass jemand in deine Wohnung einbricht und dir ein solches Teil installiert - hm, nun gut. Hat man diese Bedenken, dann kann man dann auch seinen Rechner so platzieren, dass man vor jeder Entschlüsselung einen kleinen Blick auf seinen Keyboardstecker wirft. Wenn schon paranoid, dann bitte auch konsequent.
Okay, ich kam über eine Suchmaschine auf die Seite und habe das vor deinen Beitrag, auf den ich geantwortet habe, gar nicht gelesen. Ignorier mein Statement einfach, löschen kann ich's nicht mehr.
Hat man diese Bedenken, dann kann man dann auch seinen Rechner so platzieren, dass man vor jeder Entschlüsselung einen kleinen Blick auf seinen Keyboardstecker wirft.
Baut es Dir einer halt intern ein. Fertig ist die Laube.
Naja, also ich schaue eh bei jedem Rechnerstart in meine Tastatur, ob jemand mir da was eingelötet hat. Ist doch aber normal, denke ich. Oder macht ihr das etwa nicht? oO
Naja okay, ich hab mal neugierig geschaut, ob es sowas gibt und [url=http://www.keelog.com/de/hardware_keyboard_logger.html]das hier[/url] gefunden, das kriege ich jetzt natürlich so einfach nicht wegargumentiert. Aber wenn ich so weit bin, dass ich angst haben muss, dass mir jemand SOWAS in den Rechner baut, dann habe ich auch einen Elektromagneten auf der Platte, den ich schnell einschalten kann, wenn jemand bestimmtes vor der Tür steht...
Gibt es unter Linux denn nun Software, die PBA 100%tig umsetzt?
Was genau soll das denn für einen Vorteil bieten gegenüber nur /boot unverschlüsselt? Bei PBA (ohne TPM) kann man durch Manipulation des Bootloaders das Passwort genauso ausspionieren wie man es bei LUKS durch Manipulation des Kernels könnte, siehe z.B. http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
Und wozu das ganze? Was will der Angreifer mit deinem Kernel-Image anfangen? Er kann bestensfalls die Infos aus menu.lst nutzen, wenn Grub drauf ist aber das wird ihm auch nicht viel weiter helfen - die Partitionstabelle kann er auch so auslesen.
Also einige Kommentare kann ich nicht so ganz nachvollziehen.
Vielleicht ist es ja nicht ganz klar was Pre-Boot-Authentication bedeutet. Vielleicht liege ich ja auch falsch. Aber:
Quelle:
http://de.wikipedia.org/wiki/Pre-Boot_Authentication
Also:
Bei Pre-Boot geht es darum, dass auch der Systemstart an sich verschlüsselt ist. In /boot liegt aber der Kernel und der wäre bei LVM/LUKS unverschlüsselt. Es spielt dabei keine Rolle, /boot auf einen USB Stick auszulagern. Somit ist diese Konstellation keine 100%tige Pre-Boot-Authentifizierung.
Bitlocker und Truecrypt können eben Pre-Boot-Auth, LVM/LUKS leider nicht.
Gibt es unter Linux denn nun Software, die PBA 100%tig umsetzt?
In /boot liegt aber der Kernel und der wäre bei LVM/LUKS unverschlüsselt.
Korrekt, ich habe auch nichts anderes behauptet.
Es spielt dabei keine Rolle, /boot auf einen USB Stick auszulagern.
Im Zusammenhang mit PBA nicht, nein. Ich habe auch nicht behauptet, daß das dann zu PBA führen würde. Es erschwert aber eine Manipulation des Systems; erschien mir als Anmerkung interessant, hat aber wie gesagt keinen Einfluß auf die eigentliche Fragestellung.
Somit ist diese Konstellation keine 100%tige Pre-Boot-Authentifizierung.
Richtig. Das habe zumindest ich auch nicht behauptet.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 20. Jul 2010 um 18:28.Alles klar, aber kann man PBA derzeit unter Linux 100% realisieren? Ohne CS-Software versteht sich.
Mir ist zumindest kein Weg bekannt.
Aber das verlagert das Problem eh nur eine Stufe nach oben: auf den PBA. Denn irgendwo muß es ja eine Software geben, die das System dann entschlüsselt und hochfährt. Und dort kann ein Angreifer dann ansetzen. Denn diese Software kann nicht verschlüsselt rumliegen, weil sie dann vom BIOS nicht gestartet werden könnte.
Zitat Wikipedia-Artikel über Truecrypt:
Ok, sowohl eine Loader-Software für PBA oder die /boot Partition bei LVM/LUKS könnte ohne Probleme kompromitiert werden.
Einzige Lösung:
Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen, z.B. eine CD-R, SD-Karte oder ein geeigneter USB Stick. Davon bootet man. Verläßt man den Rechner, muss man das Medium irgendwo sicher aufbewahren und vor physischen Zugriffen schützen. Im laufenden Betrieb ist es somit nicht möglich, die Boot-Umgebung zu manipulieren und einen Keylogger zu installieren, es sei denn, das Bios wurde zuvor manipuliert.
Um die Passphrase dann noch auszuspähen, käme nur noch ein Hardware-Keylogger oder eine Kamera in Betracht (andere Geheimdienst Mittel nicht mitgezählt). Befindet sich dagegen eine Loader-Software direkt auf der Boot-Festplatte, könnte Schindluder getrieben werden ohne das man es merkt und die Verschlüsselung wäre nutzlos, weil jemand das die Passphrase geklaut hat.
Fazit: Das ganze Thema 99% oder 100%-PBA ist eigentlich sinnlos. Solange die Systembereiche (bei Linux alles außer /boot) z.B. mittels LVM/LUKS verschlüsselt werden, /, tmp, swap, home, etc., ist man "sicher". Ich brauche in diesem Fall kein Linux-Truecrypt mit PBA (gibt es eh nicht) und die Boardmittel sind ausreichend.
Einzige Lösung:
Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen
Wie ich es weiter oben bereits angeregt hatte. *g*
Und was soll diese pseudo Erschwerung bringen?
Wenn jemand mal an dem zu überwachenden Rechner war ist es egal ob da ein Witz von PBA ist oder ein Kernel. Um kleine Buben abzuhalten tuts auch mal ein BIOS Passwort bzw. Festplattenpasswort wenn das BIOS das unterstützt.
Wenn jemand soweit kommt, dass er den Kernel manipulieren kann, kann der die Tastatur manipulieren, ne Wanze installieren und sonst was:-)
Ja, das stimmt schon. Ein Tastaturkabel ist fix manipuliert. Einen Tag warten und dann einbrechen und Rechner stehlen. Da nützt dann auch keine Verschlüsselung mehr. Ob PBA oder Kernel ist egal. Schon richtig. Ist aber alles nur trügerische Sicherheit. Wenn Du im Zielkreuz des BKA bist, darfst Du Deine Platte eh nicht mehr entschlüsseln. Dann ein Passwort einzugeben, wo auch immer, wäre viel zu gefährlich. Wer weiß, was die dann vorher wo manipuliert haben. Hmm, hört sich an, als wenn ich was auf dem Kerbholz habe. Ist aber nicht so
Ich werde trotzdem meinen Notebook verschlüsseln, auch wenn es nur gegen kleine Buben ist.
Nutze doch einfach die Bildschirmtastatur in Kombination mit Truecrypt. Sowas hat jedes BS. Da werden dann auch keine Keys mehr geloggt.
Es geht aber um PBA. Und da gibt es keine Bildschirmtastatur womit Du den Key eingeben kannst. Die Software wird ja noch vor dem eigentlichen BS geladen.
Jo, aber da greift noch keinerlei Software, da muss dann wirklich ein Hardwarelogger vor dem Tastenklavier hängen. Dass jemand in deine Wohnung einbricht und dir ein solches Teil installiert - hm, nun gut.
Hat man diese Bedenken, dann kann man dann auch seinen Rechner so platzieren, dass man vor jeder Entschlüsselung einen kleinen Blick auf seinen Keyboardstecker wirft.
Wenn schon paranoid, dann bitte auch konsequent.
Liebe Grüße =)
Okay, ich kam über eine Suchmaschine auf die Seite und habe das vor deinen Beitrag, auf den ich geantwortet habe, gar nicht gelesen.
Ignorier mein Statement einfach, löschen kann ich's nicht mehr.
Hat man diese Bedenken, dann kann man dann auch seinen Rechner so platzieren, dass man vor jeder Entschlüsselung einen kleinen Blick auf seinen Keyboardstecker wirft.
Baut es Dir einer halt intern ein. Fertig ist die Laube.
Naja, also ich schaue eh bei jedem Rechnerstart in meine Tastatur, ob jemand mir da was eingelötet hat. Ist doch aber normal, denke ich. Oder macht ihr das etwa nicht? oO
Naja okay, ich hab mal neugierig geschaut, ob es sowas gibt und [url=http://www.keelog.com/de/hardware_keyboard_logger.html]das hier[/url] gefunden, das kriege ich jetzt natürlich so einfach nicht wegargumentiert. Aber wenn ich so weit bin, dass ich angst haben muss, dass mir jemand SOWAS in den Rechner baut, dann habe ich auch einen Elektromagneten auf der Platte, den ich schnell einschalten kann, wenn jemand bestimmtes vor der Tür steht...
Denke ich... =)
Was genau soll das denn für einen Vorteil bieten gegenüber nur /boot unverschlüsselt? Bei PBA (ohne TPM) kann man durch Manipulation des Bootloaders das Passwort genauso ausspionieren wie man es bei LUKS durch Manipulation des Kernels könnte, siehe z.B. http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
Und wozu das ganze? Was will der Angreifer mit deinem Kernel-Image anfangen? Er kann bestensfalls die Infos aus menu.lst nutzen, wenn Grub drauf ist aber das wird ihm auch nicht viel weiter helfen - die Partitionstabelle kann er auch so auslesen.