Sicherheit zwischen 0 und 1: Festplattenverschlüsselung

class: center, middle

![img33r](LUKS-Tux1.webp)
## Sicherheit zwischen</br>0 und 1
# Festplattenverschlüsselung
### Hauke Goos-Habermann
#### https://weisheit.goos-habermann.de
---

### Über mich

- Entwickler des <a href="https://m23.sourceforge.io">Softwareverteilungssystems m23</a>

- Organisator der <a href="https://kielux.de">Kieler Open Source und Linux Tage</a>

- <a href="https://goos-habermann.de/">Dienstleister zu m23, Linux und Freier Software</a>

- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...)
  - Administration
  - Schulungen
  - Support
  - Beratung
  - quasi **alles**, *was mit Linux zu tun hat*

- Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides

- *"Nicht der Weisheit letzter Schluß"* mit **beruflichen** oder **privaten Projekten** auf <a href="https://tube.tchncs.de/c/ndwls">tube.tchncs.de/c/ndwls</a> und <a href="https://youtube.com/@nichtderweisheit">youtube.com/@nichtderweisheit</a>

- Verschlüsselt Festplatten seit Pentium-M-Zeiten
---

### LUKS/LVM unter Debian & Linux Mint

![img33r](LUKS-Tux7.webp)

Schauen wir uns kurz die LUKS/LVM-Einrichtung bei der Installation von <a href="https://www.debian.org/">Debian</a> und <a href="https://linuxmint.com/download.php">Linux Mint</a> an.
---

### Festplattenverschlüsselung?
![img33r](LUKS-Tux2.webp)

* Dateien und Verzeichnisse werden nur **verschlüsselt** auf einem physikalischen Datenträger **abgelegt**

* Daten werden beim **Lesen** transparent entschlüsselt

* Daten werden beim **Schreiben** transparent verschlüsselt

* Daten sind nur dann **geschützt**, wenn der *verschlüsselte Datenspeicher* **nicht "offen"** ist

* Durch das Ver-/Entschlüsseln werden **Schreib-/Leseoperationen** prinzipiell, aber oft nicht spürbar **langsamer**. Wie schnell welcher Verschlüsselungsalgorithmus auf Euren Rechner ist:

```bash
cryptsetup benchmark
```
---

### Wozu? & Grenzen von Verschlüsselung
![img33r](LUKS-Tux3.webp)

Warum Ihr Eure Festplatten/SSDs verschlüsseln solltet und wo die Grenzen liegen:

* Wird z.B. ein ausgeschaltetes Notebook (***"geschlossener Zustand"***) gestohlen, so kann der Dieb die Daten nicht entschlüsseln.

* Im ***"offenen Zustand"*** können alle Dateien und Verzeichnisse (durch die dazu berechtigten Nutzer) gelesen und modifiziert werden. So auch durch **Schadsoftware**, die mit den Rechten eines dieser Benutzer läuft.

* Festplattenverschlüsselung ist nur **ein Baustein** in einem Sicherheitskonzept.

Mehr dazu <a href="https://goos-habermann.de/weisheit-10058-Server-absichern---Festplattenverschluesselung-mit-LUKS-LVM">Server absichern - Festplattenverschlüsselung mit LUKS (+LVM)</a>
---

### Bootvorgang
![img33r](LUKS-Tux4.webp)

So läuft der Bootvorgang bei Debian, Linux Mint und weiteren ab:

* Das **BIOS/UEFI** startet den Bootloader <a href="https://de.wikipedia.org/wiki/Grand_Unified_Bootloader">GRUB</a> (Grand Unified Bootloader)

* GRUB lädt den Linux-Kernel und das initramfs von der **unverschlüsselten Boot-Partition**

* Nach dem Start des Mini-Linux wird die **LUKS-Verschlüsselung geöffnet**

![img50](gparted.png)
---

### Bootvorgang
![img33r](LUKS-Tux5.webp)

LVM zusammenbauen und Dateisystem(e) mounten:

* ```vgchange -ay``` sucht in einem oder mehreren freigegebenen, entschlüsselten Blockgerät(en) nach Physical Volumes (PVs)

* und baut daraus die **Volume Groups** (VG) zusammen.

* Darin befinden sich **Logischen Volumes** (LVs) – quasi *"Partitionen"*.

* Die LVs werden an die entsprechenden Stellen z.B. ***/***, ***/home*** oder ***/boot*** gemountet.
---

### Wo liegen die Angriffpunkte?

![img33r](LUKS-Tux6.webp)

* **Unverschlüsselte Boot-Partition** und Absicherungsmöglichkeiten

* Mit **Secure Boot** nur Starten von signiertem GRUB erlauben, welcher nur signierte Kernel bootet

* GRUB und /boot auf **externem Datenträger** installieren, den man immer dabeihat

* /boot **verschlüsseln**: Nach *"debian luks full disk encryption"* suchen

* Wie **vertrauenwürdig** sind **BIOS/EFI**? ⇒ BIOS/UEFI-Ersatz <a href="https://de.wikipedia.org/wiki/Coreboot">Coreboot</a> für einige wenige Rechner

* **Unsichere** Verschlüsselungs- und Hashalgorithmen. Siehe <a href="https://goos-habermann.de/weisheit-10116-Achtung-Sicherheitscheck-LUKS-Container-jetzt-pruefen">Achtung: Sicherheitscheck: LUKS-Container jetzt prüfen!</a>
---

class: center, middle
### Informationen zu mir und meinen Dienstleistungen, m23, ...
### https://goos-habermann.de