Folgende Beiträge werden irgendwann mal kommen, wenn ich Zeit dafür habe:

LUKS Boot mit Smartcards

Die Schnüffelei durch alle möglichen Organisationen nimmt immer mehr zu und macht auch vor ausgeschalteteten Geräten und Wohnungseinbrüchen nicht nicht halt. Aus diesem Grund ist es als eine weitere Maßnahme notwendig, alle Partitionen einschl. Root zu verschlüsseln, damit zumindest im ausgeschalteten Zustand keine direkten Manipulationen an diesen Filesystemen möglich sind. Die Eingabe eines Passworts beim Booten ist lästig und wirklich sicher sind Passwörter nicht. Eine Smartcard ermöglicht so auch beim Booten eine echte 2Faktor Anmeldung.

Leider verbleiben auch so noch Schwachstellen:

  • Boot Partition: Dort sind Manipulationen noch möglich. UEFI Secure Boot hilft da allenfalls oberflächlich. PCs, bei denen man selbst kein eigenes Zertifikat im UEFI installieren kann, sollte man erst garnicht kaufen, denn diese stellen ein noch größeres Sicherheitsrisiko dar. Wie deinstalliert man eigentlich die vorhandenen Zertifikate?
  • Intel ME - Das wird man nicht wirklich los, mal sehen, was unter https://hardenedlinux.github.io/firmware/2016/11/17/neutralize_ME_firmware_on_sandybridge_and_ivybridge.html noch kommt. AMD Secure Technology ist auch nicht besser.

Eine Lösung wäre nur eine echte Open Source Firmware wie z.B. Coreboot. Der Nitopad von Nitrokey ist ein richtiger Ansatz, leider ist die Hardware nicht ganz aktuell. Zumindest befassen Nitrokey und Tuxedo sich mit Coreboot, wobei Nitrokey zumindest schon etwas vorweisen kann.