Autor Thema: FullDisk Encryption inkl. /boot  (Gelesen 2336 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline ralle77

  • Neuling
  • *
  • Beiträge: 3
  • Karma: +0/-0
  • Skill: Anfänger
FullDisk Encryption inkl. /boot
« am: 11. Januar 2018, 23:29:46 »
Nabend zusammen,

Habe mir gerade die i3 Edition angeschaut und war begeistert.
Jetzt würde ich am liebsten direkt loslegen und bräuchte Hilfe, was die Verschlüsselung angeht.
Ich würde gerne die komplette SSD inklusive Boot-Partition verschlüsseln.

Wäre jemand so lieb mir das anfängerfreundlich zu erklären?
Bei mir scheitert es schon daran, ob ich nun am besten im Legacy oder UEFI Mode installiere..
Wenn mir das jemand mit partitionieren und allem drum und dran erklären könnte wäre spitze.

Gruß Ralle

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 2082
  • Dankeschön: 418 mal
  • Karma: +0/-0
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #1 am: 12. Januar 2018, 15:42:40 »
Hallo Ralle,
Ich würde gerne die komplette SSD inklusive Boot-Partition verschlüsseln.
Soviel ich weiss bleibt die boot-Partition unverschlüsselt, weil Grub keine verschlüsselte Partition booten kann. Lasse mich aber gern eines anderen belehren  ;)

Wäre jemand so lieb mir das anfängerfreundlich zu erklären?
Also, um irgendwo anzufangen, schlage ich diese Anleitung vor
https://wiki.archlinux.de/title/Systemverschl%C3%BCsselung_mit_dm-crypt
Probiere das aus. Wenn es Probleme gibt und Du was nicht verstehst, dann melde dich einfach nochmal.
Bei mir scheitert es schon daran, ob ich nun am besten im Legacy oder UEFI Mode installiere..
"am besten" ist relativ. Ich habe z.B. das ganze UEFI-Zeugs abgeschaltet und runtergeschmissen. Aber wenn Du z.B. ein neueres Windows noch nebenbei brauchst, dann geht es wohl nicht ohne UEFI ab. Es gibt ja noch das nicht von der Hand zu weisende Argument, daß UEFI nun mal die Zukunft und nicht mehr wegzudenken ist, so daß man sich am besten damit vertraut macht. Ich gebe dazu keinen Rat, mach was Du denkst, beides ist möglich und machbar.
Wenn mir das jemand mit partitionieren und allem drum und dran erklären könnte wäre spitze.
Vielleicht findet sich ja jemand, der sich die Arbeit "mit allem drum und dran" macht. Ein wenig "drum und dran" steht aber schon hier
https://wiki.manjaro.org/index.php?title=Installation_Guides

Viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung
Folgende Mitglieder bedankten sich: ralle77

Offline FTtk

  • Vollwertiges Mitglied
  • ***
  • Beiträge: 105
  • Dankeschön: 4 mal
  • Karma: +0/-0
  • Desktop: XFCE 64-bit
  • Grafikkarte: Intel Mobile 4 Series Integrated Graphics Controller
  • Prozessor: Pentium Dual-Core CPU T4300 @ 2.10GHz,
  • Skill: Anfänger
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #2 am: 12. Januar 2018, 18:11:39 »
Kenn jetzt die neuen i3 Versionen nicht, aber geht das nicht mit dem grafischen Installer und dort die verschlüsselte Installation auswählen?
So hab ich mir zumindest die xfce-Version am Laptop installiert. Ich muss das Passwort eingeben, bevor Grub geladen wird. Denke mal /boot ist mitverschlüsselt.
Wollte ich eigentlich nicht, da ich das Passwort jetzt einmal mehr eingeben muss, aber gibt schlimmeres :D
Folgende Mitglieder bedankten sich: ralle77

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 604
  • Dankeschön: 32 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03); Mali T860MP4 gpu
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz; Rockchip RK3399 (2×ARM Cortex CPU @ 4× 1.4GHz + 2× 1.8GHz)
  • Skill: Fortgeschritten
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #3 am: 12. Januar 2018, 19:25:27 »
Was die LUKS-Verschlüsselung von /boot angeht, ist das nur dann möglich, wenn das BIOS/UEFI die Partition selbst entschlüsseln kann, ansonsten könnte GRUB den Kernel nicht laden, da er in /boot liegt und GRUB es selbst nicht entschlüsseln kann. Mir ist jedoch kein BIOS/UEFI bekannt, das LUKS unterstützt.

Mit LibreBoot und CoreBoot ist das möglich. Dafür muss das BIOS/UEFI durch LibreBoot/CoreBoot ersetzt werden. Das läuft aber nicht auf jeder Hardware. Damit kann man dann eine verschlüsselte Partition anlegen, auf der root, /home und /swap per LVM definiert werden (wobei /boot keine extra Partition benötigt) und braucht beim booten das Passwort zum Entschlüsseln nicht zweimal eingeben.

Darüber ob /boot auf der/einer verschlüsselten Partition liegt, gibt im Terminal der Befehl lsblk Aufschluss (crypt bzw. lvm in der Spalte TYPE).
Folgende Mitglieder bedankten sich: ralle77

Offline FTtk

  • Vollwertiges Mitglied
  • ***
  • Beiträge: 105
  • Dankeschön: 4 mal
  • Karma: +0/-0
  • Desktop: XFCE 64-bit
  • Grafikkarte: Intel Mobile 4 Series Integrated Graphics Controller
  • Prozessor: Pentium Dual-Core CPU T4300 @ 2.10GHz,
  • Skill: Anfänger
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #4 am: 14. Januar 2018, 17:27:08 »
Das wäre die Ausgabe. Wie gesagt wurde Manjaro mit dem grafischen Installer und der Auswahl "verschlüsselte Installation" installiert.

lsblk
NAME        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda           8:0    0 465,8G  0 disk 
└─luks-1....-.....
            254:1    0 465,8G  0 crypt /mnt/aaa17
sdb           8:16   0 111,8G  0 disk 
├─sdb1        8:17   0   103G  0 part 
│ └─luks-2.....-......
│           254:0    0   103G  0 crypt /
└─sdb2        8:18   0   8,8G  0 part 
  └─luks-3....-.....
            254:2    0   8,8G  0 crypt
sr0          11:0    1  1024M  0 rom 

sda ist die Datenfestplatte, Manjaro ist auf sdb installiert.
Folgende Mitglieder bedankten sich: ralle77

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 604
  • Dankeschön: 32 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03); Mali T860MP4 gpu
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz; Rockchip RK3399 (2×ARM Cortex CPU @ 4× 1.4GHz + 2× 1.8GHz)
  • Skill: Fortgeschritten
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #5 am: 14. Januar 2018, 23:24:04 »
[...] ansonsten könnte GRUB den Kernel nicht laden, da er in /boot liegt und GRUB es selbst nicht entschlüsseln kann. [...]
Die Behauptung ist Falsch. Sorry!  :-[ GRUB kann die Partition entschlüsseln.
Und die doppelte Passworteingabe kommt daher, dass der Kernel die Partition nochmal entschlüsseln muss.
Folgende Mitglieder bedankten sich: ralle77

Offline ralle77

  • Neuling
  • *
  • Beiträge: 3
  • Karma: +0/-0
  • Skill: Anfänger
Re: FullDisk Encryption inkl. /boot
« Antwort #6 am: 17. Januar 2018, 04:02:36 »
Die Behauptung ist Falsch. Sorry!  :-[ GRUB kann die Partition entschlüsseln.
Und die doppelte Passworteingabe kommt daher, dass der Kernel die Partition nochmal entschlüsseln muss.
Danke für die Richtigstellung und sorry für die späte Antwort meinerseits.

Ich war ehrlich gesagt ein wenig verunsichert, sowie genervt von der Aussage GRUB könnte das nicht handlen.
Nach diesem Wiki Eintrag war mir dann klar, dass das so nicht stimmen kann.
https://wiki.debian.org/Grub2#Configure_encrypted_.2Fboot

Eine Frage hätte ich dennoch.
Ich schaue mir gerade den Installer an und frage mich,
ob ich die Verschlüsselung manuell aussuchen kann.
Wenn nicht, was ist die default Encryption? AES256?
« Letzte Änderung: 17. Januar 2018, 04:04:49 von ralle77 »

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 604
  • Dankeschön: 32 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03); Mali T860MP4 gpu
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz; Rockchip RK3399 (2×ARM Cortex CPU @ 4× 1.4GHz + 2× 1.8GHz)
  • Skill: Fortgeschritten
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #7 am: 18. Januar 2018, 01:23:08 »
Wenn nicht, was ist die default Encryption? AES256?
Die automatische Verschlüsselung über dem grafischen Installer ist aes-xts-plain64 mit 512 bit-Schlüssel.
Manuell geht scheinbar nur über's Terminal mit cryptsetup. Ist bei dieser Verschlüsselung aber nicht notwendig.

Nachtrag:
Für noch mehr Sicherheit würde ich die verschlüsselten Partitionen mit Zufallszahlen füllen (siehe https://de.manjaro.org/index.php?topic=301.msg2719#msg2719, Punkt 5).
Das geht auch nach der Installation, indem die Zufallszahlen nicht auf eine Partition, sondern in eine temporäre Datei, welche anschließend gelöscht wird.
Beispiel: dd if=/dev/urandom of=/tmp/rndfile status=progress ; rm /tmp/rndfile
« Letzte Änderung: 18. Januar 2018, 01:39:28 von sam »
Folgende Mitglieder bedankten sich: ralle77

Offline ralle77

  • Neuling
  • *
  • Beiträge: 3
  • Karma: +0/-0
  • Skill: Anfänger
Re: FullDisk Encryption inkl. /boot
« Antwort #8 am: 18. Januar 2018, 01:39:54 »
Die automatische Verschlüsselung über dem grafischen Installer ist aes-xts-plain64 mit 512 bit-Schlüssel.
Manuell geht scheinbar nur über's Terminal mit cryptsetup. Ist bei dieser Verschlüsselung aber nicht notwendig.
Okay, gut zu wissen. Vielen Dank!

Hast du ne Ahnung, ob ich bei der grafischen Installstion wählen kann, wo der Bootloader installiert wird?
Hätte gerne den Bootloader (ohne /boot) auf einem USB Stick und die SSD als Ganzes verschlüsselt.

Zumindest mit dem Manjaro Architekt sollte das ja machbar sein.
Muss ich mit dem Architekt irgendwas beachten, dass ich im Endeffekt auch eine voll funktionstüchtige i3 Edition habe?

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 604
  • Dankeschön: 32 mal
  • Karma: +0/-0
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03); Mali T860MP4 gpu
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz; Rockchip RK3399 (2×ARM Cortex CPU @ 4× 1.4GHz + 2× 1.8GHz)
  • Skill: Fortgeschritten
  • Zweig: stable
Re: FullDisk Encryption inkl. /boot
« Antwort #9 am: 20. Januar 2018, 17:28:18 »
Hast du ne Ahnung, ob ich bei der grafischen Installstion wählen kann, wo der Bootloader installiert wird?
Hätte gerne den Bootloader (ohne /boot) auf einem USB Stick und die SSD als Ganzes verschlüsselt.
Ja, das kann man auswählen. Ob das dann so funktioniert, weiß ich aber nicht.
Muss ich mit dem Architekt irgendwas beachten, dass ich im Endeffekt auch eine voll funktionstüchtige i3 Edition habe?
Habe mich mit der Installation von i3 nicht ausreichend beschäftigt. Falls hier sonst niemand einen Rat hat, kannst Du evtl. ein neues Thema dafür öffnen.