Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community

Zitat von Omas Linuxlaune

Windows lötet Dir einen Chip aufs motherboard und verschlüsselt Deine Festplatte wenn TPM eingeschaltet ist und Bitlocker auch.

Windows ist eine Programmsammlung die ein Betriebssystem bilden. Windows lötet dir gar nichts irgendwo drauf. Auch Microsoft nicht.

TPM ist sowohl in der Version 1.2 (altes TPM das z.b. nicht Windows 11 kompatibel ist) wie auch in der Version 2 ein ISO Standard.

Für die Dokumentation und Definition von TPM (also die die bestimmen, wie das Ding funktioniert) ist eine "Nicht gewinnorientierte Organisation" verantwortlich die "Trusted Computing Group" (TCG) heisst.

Die TCG wird von 80 Firmen unterstützt bzw finanziert. Und ja Microsoft ist eine dieser 80 Firmen, aber auch Intel, AMD, Cisco, Meta, Googel, Huawei, IBM, Toyota, Ricoh, Lenovo, Asus, Canon und viele weitere sind ein Teil der TCG.

Übrigens ist auch Red Hat, der wohl grösste Anbieter von Open Source Software in Unternehmen ein Teil der TCG.

Du scheinst hier irgendeinen Groll gegen Microsoft oder Windows oder beides zu haben. Aber das Festplattenpartitionen automatisch verschlüsselt werden ist heute unter ALLEN verbreiteten Betriebssystemen der Standard - nicht nur von Microsoft.

Zitat von Omas Linuxlaune

Wenn Du jetzt Deine Festplatte rausnimmst kommst Du an Deine Daten nicht mehr ran

Das ist die Idee von Festplatten bzw. Partitionsverschlüsselung. Wenn jemand dein Notebook klaut, oder ein Einbrecher deinen Computer mitnimmt. Dann ist das zwar scheisse und ärgerlich weil du neu kaufen musst - aber der Dieb hat wenigstens keinen Zugriff auf deine Daten.

Bei Familienfotos ist das gut für die Privatsphäre. Wenn du noch Daten von deiner Firma oder aus auf der Platte hast ist das auch gut für die Wahrung der Betriebsgeheimnisse und eventuellen Kundendaten.

Zitat von Omas Linuxlaune

Auch TPM auschalten bringt nichts, sondern ert mit Bitlocker die Platte entschlüsseln, dann TPM aus und dann die Festpatte raus.

Richtig, nachträglich TPM ausschalten bringt dir nichts. Dazu müsstest du unter Windows Bitlocker erst ausschalten, also quasi die Festplatte wieder entschlüsseln.
Auch hier wieder, das ist kein "Fehler" sondern die grundsätzliche Idee der Geschichte.

Zitat von Omas Linuxlaune

KIppt dir ne Cola uf die Tastatur und ist Deine Platine hinüber kannst Du leder auch alle Daten der Festplatte vergessen obwohl die im Normalfall so schnell nicht futsch ist und damit habe ich so meine Bedenken, vor allem weil das nicht irgendwie erläutert wird. Darum in ich überhaupt erst zu LInux gewechselt.

Kippt eine Cola auf die Tastatur und dein Rechner ist dahin, muss man sich eben einen neuen Rechner holen und dort sein Backup (das man IMMER zwingend haben sollte) wieder einspielen.

Kein Backup, kein Mitleid.

Zitat von Omas Linuxlaune

Doch. Genau solche Daten verschlüsselt Windows ohne zu fragen und vieles vieles viels mehr von hunderten von Millionen von Menschen.

Das macht dein Android Telefon, dein Android Tablet, dein iPhone, dein iPad, selbst die Apple Watch und Android Watches, dein Macbook und ja auch jedes Windows Gerät auch.

Der Punkt war, das deine Abschlussarbeit nicht im TPM gespeichert wird.

Wie gesagt über alles was du dich hier beschwerst - ist heute der Standard.

Sowohl Windows mit BitLocker, wie auch Mac OS mit FileVault bieten die Möglichkeit an einen Wiederherstellungsschlüssel zu generieren.

Damit du eben weiterhin an die Daten an deine Festplatte kommst, wenn der wegen Cola oder sonst einem Grund ausfällt.

Sowohl Windows wie auch MacOS bieten optional an, diesen Wiederherstellungsschlüssel bei Windows über seinen Microsoft Account bzw. bei MacOS über seinen iCloud Account zu speichern (ist halt die Frage ob man da Microsoft oder Apple vertrauen will oder nicht).

So kann man quasi mit seinem Microsoft oder iCloud Account ebenfalls auf eine verschlüsselte Festplatte zugreifen.

Kurz -> über das was du dich beschwerst bist du offenbar selber schuld, weil du weder Wiederherstellungsschlüssel noch ein Backup gehabt hast 🤷‍♂️

Deswegen auf zusätzliche Sicherheit -> gerade im Bezug auf biometrische und gesundheits- Daten (auf die du noch gar nicht eingegangen bist) zu verzichten, ist am Ende deine Entscheidung. Diesen Verzicht aber anderen pauschal zu empfehlen halte ich für grob-fahrlässig.

Helmfuss richtig.

Es geht darum, dass unberechtigte nicht auf deine Daten zugreifen können.

Gerade im Kontext zu biometrischen Daten (Fingerabdrücke, Gesichtsentsperrung, etc) ist das absolut essentiell.

Unter Linux zurzeit noch weniger der Fall aber auch wichtig ist der Punkt der Gesundheitsdaten. Die Health App bei iPhones ist grossartig, für Rettungskräfte.

Ein guter Freund von mir arbeitet hier in Basel bei der Sanität und wenn sie eine Person bewusstlos antreffen und auch keine Familienangehörige zugegen sind liefert die Health App wertvolle Informationen für die Erstversorgung wie z.b. Allergien, etc

Diese Daten sollten aber nicht einfach auf dem Speicher irgendwo rumliegen, und durch eine Drittanbieter App die z.b. eine Sicherheitslücken ausnutzen kann, lesbar sein.

KDE hat Ende 2021 die Konfiguration von fprint -> also Fingerabdruck Login direkt in die Benutzereinstellungen ihres Desktops eingebaut.

Bei GNOME ist das schon ein paar Jahren so.

Das Problem ist weder GNOME noch KDE weisen dich als Nutzer darauf hin, dass deine biometrische Daten einfach im System gespeichert werden -> im schlimmsten Fall noch auf einer Partition die eben nicht verschlüsselt ist.
Im Grunde kann das dann jeder lesen der Zugriff auf deine Hardware bekommt.

Gesundheitsdaten sind auf Linux (noch) nicht das grosse Thema. Aber sowohl GNOME wie KDE entwickeln ihre Desktops ja zunehmend für Mobile Geräte.

Und mit Dingen wie Pinephone oder dem Librem 5 gibt es da ja auch schon Geräte.

Und es gibt auch schon eine Gnome Circle Gesundheitsapp (https://flathub.org/apps/details/dev.Cogitri.Health) -> daher funktionierendes TPM unter Linux, und das man dort wirklich sensible Daten speichern kann ist essentiell.

Zitat von Omas Linuxlaune

Das ist aber sehr freundlich, daß mir Windows erlaubt meine eigenen Daten zu entschlüsseln. Dieser Großzügigkeit wird sicher nich ausreichend Dankbarkeit entgegengebracht und sollte deutlich mehr gewürdigt werden.

Kannst du oder willst du nicht auf irgendeines der Argumente eingehen das ich gebracht habe? Oder wenigstens irgendein Gegenargument bringen?

Was ist dein Problem? Oder bist du wirklich nur ein Troll?

Ein spannender Blog-Beitrag zu dem Thema gibt es übrigens hier: https://curius.de/2021/09/lennar…rschluesselung/

Ich weiss nicht ob Windows 11, das im First Run Prozess wo man Datenschutzeinstellungen, Cortana und was weiss ich alles konfiguriert einem mitteilt oder nicht.

Für mich geht die Diskussion auch nicht um Windows. Wie Windows das macht ist mir am Ende ziemlich egal.

Mein Punkt ist halt eher, das Linux diese Dinge nicht nutzen kann. Ob es nun eine Distribution per Default oder optional macht. Ich kann keine Keys oder sonstige Informationen im TPM speichern. Und ja ich weiss der Linux Kernel hat rudimentären TPM Support aber darum geht es nicht.

Es geht mir wirklich um biometrische und gesundheitsdaten die per DEFAULT unter Linux nicht ausreichend geschützt werden. Wenn man unter KDE oder Gnome einen Fingerabdruck-Scanner einrichtet müsste dieser Hash Wert zwingend im TPM hinterlegt werden -> wenn das nicht geht (weil TPM nicht vorhanden) müsste eine grosse Warnung erscheinen.

Der Punkt ist doch, Linux wird oft als sicherer als Windows oder Mac OS "verkauft" und in sehr vielen Bereichen stimmt das auch.

Fakt ist aber auch, dass es wenn um den Schutz von persönlichen und intimen Daten vor Dritten geht, macht Microsoft, Apple und Google einfach einen viel besseren Job als alle Linux Distributionen.

Das wirklich traurige daran ist, dass Linux dazu in der Lage wäre einen besseren Job zu machen. Wenn du ein Chromebook mit Fingerabdrucksensor kaufst -> wird dort der TPM für solche Daten verwendet. Und Chrome OS ist im Grunde ja auch nur ein abgeändertes Gentoo -> daher möglich wäre es.

Das Problem ist, wenn man das in der Linux Community vereinheitlichen oder standardisieren will. Wenn am Ende sogar jemand wie Lennart Poettering ganz konkrete Vorschläge macht wie man es besser machen könnte. Kommt eine grosse Welle Hass und sinnlose Argumente wie "Windows lötet einen Chip ein" statt konstruktives Feedback zurück.

Das ist einfach nur schade.

Zitat von Tux

Microsoft ist also nur berechtigt auf meine Daten zuzugreifen, aber woher nehmen die sich das Recht?

Und das Bitlocker, sei doch mal ehrlich, hat doch gar keinen Wert, der "Schlüssel" liegt doch nicht nur bei Microsoft.

Wo liegt der Schlüssel sonst noch? Wenn du darauf anspielst das es Geheimdienste gibt die angeblich über irgendwelche Master-schlüssel verfügen. Wen interessiert das?

Es geht doch in der Realität nicht darum ob mich die NSA ausspioniert oder nicht.

Es geht darum, dass wenn jemand z.b. im Zug dein Notebook klaut -> weil du kurz eingenickt bist NICHT auf deine Daten zugreifen kann.
Das der nicht deine Nacktfotos auf der Festplatte findet oder Zugriff auf vertrauliche Dokumente oder deine Krankenakte einsehen kann. Das ist doch am Ende die reale Gefahr.

Natürlich ist es nicht schön wenn Geheimdienste einen Masterschlüssel für so was haben (wenn sie ihn dann wirklich haben, die Verifizierung solche Informationen ist immer etwas schwierig und wird hier auch Zeugs nachgeplappert).

Aber die NSA, wird dich nicht mit deinen Nacktfotos erpressen oder deine persönliche Daten im DarkNet verhöckern. Ist für mich am Ende keine "reale" Gefahr.

Und was meinst du mit "Microsoft ist berechtigt auf meine Daten zuzugreifen und woher nehmen sie das Recht". Also wenn du Windows benutzt dürfen und müssen Microsoft Programme wie z.b. der Dateimanager auf deine Daten zugreifen -> anders geht es nicht.

Wenn du Ubuntu benutzt, darf Nautilus auch auf deine Daten zugreifen. Wo ist der Punkt?

Nach meinem Kenntnisstand werden Dinge wie Fingerabdrücke, Gesichtsscans oder Gesundheitsdaten weder automatisiert noch manuell in irgendeiner Art an Microsoft gesendet bzw auf einem deren Server verarbeitet. Das passiert alles lokal -> auf deinem Rechner.

Hast du dich schon mal gefragt warum du Fingerabdruck Scanner beim neukauf eines Smartphones oder Notebooks immer neu einrichten musst?

Alle Daten und Einstellungen werden in der Regel über die Cloud von Google (bei Android, Apple (bei iOS) oder bei Microsoft (Windows) synchronisiert -> bei Fingerabdrücken, Gesichtscans, etc gibt es das nicht -> die müssen bei jedem Gerät jeweils neu konfiguriert werden.
Das liegt eben genau daran, dass Microsoft, Apple Google & Co keinen Zugriff auf diese Daten haben. Die liegen im TPM (oder wie der Chip auch immer gerade heisst).

harihegen es gibt durchaus Treiber für Fingerabdruck Scanner, also ich hab hier 2 Notebooks die das problemlos können. Man sollte es unter Linux einfach nicht benutzen.