Aber das verlagert das Problem eh nur eine Stufe nach oben: auf den PBA. Denn irgendwo muß es ja eine Software geben, die das System dann entschlüsselt und hochfährt. Und dort kann ein Angreifer dann ansetzen. Denn diese Software kann nicht verschlüsselt rumliegen, weil sie dann vom BIOS nicht gestartet werden könnte.
Seit Juli 2009 existiert ein Bootkit für alle Windows-Versionen der x86-Architektur, welches die Eingabe des Kennworts für die TrueCrypt Pre-Boot Authentication ausspähen kann[7].
Ok, sowohl eine Loader-Software für PBA oder die /boot Partition bei LVM/LUKS könnte ohne Probleme kompromitiert werden.
Einzige Lösung: Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen, z.B. eine CD-R, SD-Karte oder ein geeigneter USB Stick. Davon bootet man. Verläßt man den Rechner, muss man das Medium irgendwo sicher aufbewahren und vor physischen Zugriffen schützen. Im laufenden Betrieb ist es somit nicht möglich, die Boot-Umgebung zu manipulieren und einen Keylogger zu installieren, es sei denn, das Bios wurde zuvor manipuliert.
Um die Passphrase dann noch auszuspähen, käme nur noch ein Hardware-Keylogger oder eine Kamera in Betracht (andere Geheimdienst Mittel nicht mitgezählt). Befindet sich dagegen eine Loader-Software direkt auf der Boot-Festplatte, könnte Schindluder getrieben werden ohne das man es merkt und die Verschlüsselung wäre nutzlos, weil jemand das die Passphrase geklaut hat.
Fazit: Das ganze Thema 99% oder 100%-PBA ist eigentlich sinnlos. Solange die Systembereiche (bei Linux alles außer /boot) z.B. mittels LVM/LUKS verschlüsselt werden, /, tmp, swap, home, etc., ist man "sicher". Ich brauche in diesem Fall kein Linux-Truecrypt mit PBA (gibt es eh nicht) und die Boardmittel sind ausreichend.
Alles klar, aber kann man PBA derzeit unter Linux 100% realisieren? Ohne CS-Software versteht sich.
Mir ist zumindest kein Weg bekannt.
Aber das verlagert das Problem eh nur eine Stufe nach oben: auf den PBA. Denn irgendwo muß es ja eine Software geben, die das System dann entschlüsselt und hochfährt. Und dort kann ein Angreifer dann ansetzen. Denn diese Software kann nicht verschlüsselt rumliegen, weil sie dann vom BIOS nicht gestartet werden könnte.
Zitat Wikipedia-Artikel über Truecrypt:
Ok, sowohl eine Loader-Software für PBA oder die /boot Partition bei LVM/LUKS könnte ohne Probleme kompromitiert werden.
Einzige Lösung:
Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen, z.B. eine CD-R, SD-Karte oder ein geeigneter USB Stick. Davon bootet man. Verläßt man den Rechner, muss man das Medium irgendwo sicher aufbewahren und vor physischen Zugriffen schützen. Im laufenden Betrieb ist es somit nicht möglich, die Boot-Umgebung zu manipulieren und einen Keylogger zu installieren, es sei denn, das Bios wurde zuvor manipuliert.
Um die Passphrase dann noch auszuspähen, käme nur noch ein Hardware-Keylogger oder eine Kamera in Betracht (andere Geheimdienst Mittel nicht mitgezählt). Befindet sich dagegen eine Loader-Software direkt auf der Boot-Festplatte, könnte Schindluder getrieben werden ohne das man es merkt und die Verschlüsselung wäre nutzlos, weil jemand das die Passphrase geklaut hat.
Fazit: Das ganze Thema 99% oder 100%-PBA ist eigentlich sinnlos. Solange die Systembereiche (bei Linux alles außer /boot) z.B. mittels LVM/LUKS verschlüsselt werden, /, tmp, swap, home, etc., ist man "sicher". Ich brauche in diesem Fall kein Linux-Truecrypt mit PBA (gibt es eh nicht) und die Boardmittel sind ausreichend.
Einzige Lösung:
Die Loader-Software oder die /boot Partition auf ein externes Medium (am besten mit Schreibschutz) packen
Wie ich es weiter oben bereits angeregt hatte. *g*