Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community

    Ja 2010 wurde ein Chip gehackt. Mit Säure und Nadeln hat da ein Hacker 6 Monate herumgebastelt bis er Zugriff auf die Daten hatte.

    Hier wieder der Punkt 100% Sicherheit gibt es nie. Aber nur weil meine Haustüre nicht zu 100% Einbruch-sicher ist, lasse ich deswegen Mein Bargeld ja auch nicht in einer Tüte vor der Türe stehen.

    Wenn jemand dein Notebook oder Handy klaut, wird der sich nicht die Mühe machen da 6 Monate rumzubasteln.

    Zitat von Tux

    Und mit Microsoft ist berechtigt meinte ich das die Deine Daten entschlüsseln können.

    Auch hier wäre ein Erklärung gut. Nach meinem Kenntnisstand hat Microsoft keinen "Master Key" oder sowas für Bitlocker.

    Wenn du optional in den BitLocker Einstellungen angibst, dass ein Wiederherstellungsschlüssel in deinem Microsoft Account hinterlegt werden soll, dann haben sie theoretisch Zugriff auf deinen Key.

    Das ist aber kein Standard-Setting sondern muss vom Benutzer ausdrücklich so konfiguriert werden.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von harihegen

    Spätestens seit Snowden wissen wir das keine Daten sicher vor Zugriff der Dienste sind!

    Genau, deshalb muss ich ja nicht wie ein Lemming zur Schlactbank wackeln, nur weil alle das tun weil die angeblich nichts zu verbergen haben.

    Der Punkt ist doch der:

    TPM und Verschlüsselung = gut

    Schlüssel außerhalb des Geräts zu lagern = schlecht

    Ein Schlüssel, der das Gerät verlässt ist der reinen Security-Lehre nach verbrannt. In der Cryprowelt gibt es das schöne Zitat "Not your keys, not your coins!". Das sollte hier auch gelten.

    Sicherheit auf Kosten von Komfort zu verschlechtern (Schlüssel bei einem Dienstleister zu hosten), bricht die Sicherheit auf und muss per se als unsicher eingestuft werden.

    Aber dafür kann man TPM nun keine Schuld geben, sondern sich an die eigene Nase fassen und Anbieter meiden, die das alleinige Halten des Schlüssels durch den Anwender nicht unterstützen.

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: Framework 13 / Ubuntu 24.04 LTS / AMD Ryzen 7 7840U / 64 GB RAM / 2TB WD NVME

    Backup Laptop: HP Elitebook x360 1030 G2 / Fedora 40 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Zitat von El Pollo Diablo

    Aber dafür kann man TPM nun keine Schuld geben, sondern sich an die eigene Nase fassen und Anbieter meiden, die das alleinige Halten des Schlüssels durch den Anwender nicht unterstützen.

    Oder die meiden wo man davonausgehen kann das es einen "Gerneralschlüssel" gibt, wie bei TPM.

    Zitat von Tux

    Oder die meiden wo man davonausgehen kann das es einen "Gerneralschlüssel" gibt, wie bei TPM.

    Was aber im Umkehrschluss bedeutet das man relativ leicht den Täter bestimmen kann da ja nicht jeder Hinz und Kunz diesen Generalschlüssel haben dürften.

    Diese ganze Verschlüsselung könnte man mal anhand von Schlüsseldiensten, Schlossherstellern und Freizeit LockPickern vergleichen. Den Haustürschlüssel zB, also ich glaube die Dienste haben mehrere Methoden ohne oder mit Haustürschlüssel in dein Haus zu kommen.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    Von einem Generalschlüssel habe ich bis jetzt noch nichts mitbekommen. Was aber nicht heißt, dass es so etwas nicht gibt. Wenn dem so ist, wäre das ganze Konzept für die Tonne und ich gebe Dir recht.

    Der wahrscheinlichere Fall, den ich mir vorstellen kann, ist: Anwender bootet sein verschlüsseltes System direkt in den Desktop (ohne Passwort / bzw. mit gespeichertem Passwort). Das System ist dann "offen" und vom TPM als "trusted" erkannt. Ich kann dann in dieser Session versuchen, den TPM Chip aunzugreifen. In diesem Beispiel müsste ich auf die Bequemlichkeit des Anwenders setzen.

    Das Szenario ist hier beschrieben.

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: Framework 13 / Ubuntu 24.04 LTS / AMD Ryzen 7 7840U / 64 GB RAM / 2TB WD NVME

    Backup Laptop: HP Elitebook x360 1030 G2 / Fedora 40 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Zitat von Tux

    Oder die meiden wo man davonausgehen kann das es einen "Gerneralschlüssel" gibt, wie bei TPM.

    Hast du irgendeinen Beleg dafür?

    Was mich halt an der Diskussion hier stört: Wir diskutieren hier nun über Windows und was dort alles falsch oder zumindest nach Legendenerzählung falsch läuft.

    Ironischerweise diskutieren wir nicht über Android oder iOS mit unzähligen Millionen von Geräten wo dieser Mechanismus auch Standard ist und offenbar absolut niemanden stört.

    Was wir aber nicht tun ist über Linux zu diskutieren. Und darum geht es uns doch am Ende. Die Frage muss doch sein, wie bekommen wir es mit den verfügbaren Technologien hin das wir Daten wie eben Fingerabdrücke oder Gesundheitsdaten, etc auf Linux so sicher wie irgend möglich speichern und verwalten können.

    Klar stellt sich da im Kontext die Frage, wie machen das andere Betriebssystem Hersteller wie z.b. Android oder Windows. Was daran ist gut und was daran ist weniger gut. Was können wir daraus lernen, welche Konzepte können wir übernehmen. Welche Konzepte müssten wir anpassen.

    Was wir hier zurzeit tun, ist einfach rumbashen auf Microsoft. Erst darf ich hier lesen das Windows plötzlich irgendwelche Chips verlötet und danach das Microsoft offenbar Generalschlüssel hat (hier bin ich wirklich auf einen Beleg gespannt).

    Wirklich konstruktiv ist davon nichts.


    Gerade im Kontext von immer mehr mobilen Geräten die quasi mit GNOME oder KDE laufen und sowohl Gesundheit wie auch Biometrie dort ein mega Thema ist - sollte sich die Linux Community wirklich konstruktiver um dieses Thema kümmern.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Also, erstmal danke von mir an kim88 für den tollen Aufschlag! Generell sollte jeder User die für sein Setup und sein Sicherheitsbedürfnis passende Option wählen können, und dazu gehört das nötige Hintergrundwissen, um sich eine Meinung zu bilden. Deswegen ist der Austausch hier so wichtig.

    Die Techniken an sich find ich total gut. Aber wenn TPM sowieso überhaupt gar nicht von Linux genutzt werden kann.. 🤷🏻‍♂️

    Die zentralisierte Zertifikatsvergabe durch MS lässt sich trotz des Vorteils eines abgesicherten Boot-Prozesses auch einfach nicht schönreden. Dazu gab es in Bezug auf Linux Installation auch erst kürzlich ganz reale Probleme:

    Das Secure Boot Dilemma
    Microsoft nutzt seine Marktmacht im Bereich von UEFI SecureBoot aus. Es wird Zeit für eine alternative Implementierung.
    gnulinux.ch
    Linux-Installation auf manchen Windows-11-Notebooks etwas erschwert
    Einige der sogenannten „Secured-Core PCs“ mit stärker gegen Manipulation geschützter Firmware booten in Standardkonfiguration nur Windows 11.
    www.heise.de

    Hier werden wir die konzeptionellen Schwierigkeiten wohl kaum auflösen. Wir können nur schauen, dass wir aus dem was uns vorgesetzt wird das Beste für uns rausholen.

    Zitat von kim88

    Hast du irgendeinen Beleg dafür?

    Ich arbeite nicht beim Geheimdienst und wenn ich es täte und Dir Beweise dafür liefere, dann müsste ich vorher Putin fragen ob er mich einbürgert. Viele leben in einer rosa Wolke und wollen einfach von der Politik verarscht werden. Typisches Beispiel, die Randale in der Silvesternacht.... Ja wer waren die denn...... achso, weil es 2 Jahre durch Corona keine Knaller gab haben die etwas fröhlicher gefeiert. Waren übrigens 40% Deutsche dabei, Mustafa, Hassan, Mohammad und ein Sven.

    @Tux sorry aber das ist erstens keine Argumentationsgrundlage. Entweder hat man für Behauptungen Belege oder man hat sie nicht. Und für den Generalschlüssel hast du keine geliefert bzw. sogar gerade gesagt das du keine hast - warum also die Behauptung?

    Um davon abzulenken, dass du Dinge behauptest die du nicht belegen kannst lenkst du nun ab, in dem du hier ein Thema bringst das nicht mal Ansatzweise irgendwas mit dem Kontext zu tun hat.

    Ich werde dein Benutzerprofil auf jedenfall blockieren und den Beitrag auch melden. Ich weiss nicht wie die Moderatoren und Admins hier dazu stehen und mit der Meldung machen, ist mir ehrlich gesagt auch egal.

    Mein bester Freund ist Schweizer, obwohl er dunkelhäutig ist und keinen "typischen" Schweizer Vornamen hat. Wenn wir zusammen unterwegs sind kann ich im Alltag permanent erleben mit was für rassistischer Scheisse er sich bei den alltäglichsten Situationen im Alltag abgeben muss.

    Ich brauch das in einem Linux Forum - in einem Thema wo es um Datensicherheit geht - wirklich nicht auch noch.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von Tux

    haben die etwas fröhlicher gefeiert. Waren übrigens 40% Deutsche dabei,

    Kleine Ermahnung aus der Mod Ecke: keine Politik hier, das gibt nur Streit! Die Deutschen die da dabei waren haben aus dem Fenster geguckt. Die Gegenden wo der Mob zu Silvester tobte ist schon lange nicht mehr in deutscher Hand.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    Nicht Microsoft, oder Windows verschlüsselt die Platten per default bei Auslieferung im Consumerbereich, sondern entweder der Hersteller der ein vorkonfiguriertes Gerät anbietet, oder der Handel der die Geräte für den verkauf vorbereitet. Microsoft bietet nur die Möglichkeit verschlüsseln zu können und dafür den TPM Chip nutzen zu können.

    Eine Standard Windows Installtion erfolgt default ohne Verschlüsselung.

    #ichmussmalmächtigkacken

    Ich bin bei weitem nicht rassistisch, habe selber Migrationshintergrund, also bitte. Ich sage ja rosa Wolke, die Wahrheit will man nicht hören. Damit belasse ich das jetzt. Darfst mich gerne für meine Meinung blockieren.

    Zitat von nicoletta

    Eine Standard Windows Installtion erfolgt default ohne Verschlüsselung.

    Ich dachte wenn man Windows 11 installiert. Also quasi Clean Install wird automatisch verschlüsselt. Jedenfalls dann wenn man seine Microsoft Account Daten bei der Installation angibt (was ja inzwischen auch der Default ist).

    Ich glaube nur Installationen ohne Microsoft Account sind nicht per Default verschlüsselt.

    So interpretiere ich jedenfalls dieses Microsoft Support Dokument: https://support.microsoft.com/en-us/windows/…8f-7925c2a3012d

    Zitat

    On supported devices running Windows 10 or newer BitLocker will automatically be turned on the first time you sign into a personal Microsoft account (such as @outlook.com or @hotmail.com) or your work or school account.

    BitLocker is not automatically turned on with local accounts, however you can manually turn it on in the Manage BitLocker tool.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von kim88

    Jedenfalls dann wenn man seine Microsoft Account Daten bei der Installation angibt (was ja inzwischen auch der Default ist).

    Was aber keine Vorschrift ist, ich installiere das Windows offline, mit lokalem Account, kann man ja auch machen, entsprechende Scripts und Anleitungen liefert Microsoft.
    Zweitens ist BitLocker nur ab der "Professional" Version dabei, die allermeisten Geräte für Otto Normaluser aus dem Mediamarkt werden aber die "Home" Variante oder gar die "S" Variante haben.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

    Zitat von kim88

    Ich dachte wenn man Windows 11 installiert. Also quasi Clean Install wird automatisch verschlüsselt. Jedenfalls dann wenn man seine Microsoft Account Daten bei der Installation angibt (was ja inzwischen auch der Default ist).

    Ich glaube nur Installationen ohne Microsoft Account sind nicht per Default verschlüsselt.

    So interpretiere ich jedenfalls dieses Microsoft Support Dokument: https://support.microsoft.com/en-us/windows/…8f-7925c2a3012d

    Das könnte möglich sein. Wir installieren default nicht mit MS-Konto. Schließe ich also nicht aus das das so sein könnte.

    #ichmussmalmächtigkacken

    harihegen und nicoletta klar kann man das umgehen. Ich gehe halt immer vom 0815 User aus. Und der wird hier einfach das machen was ihm gesagt wird und die Account Daten eingeben.

    Ich habe kein Problem damit, das man solche Dinge umgehen kann. Wichtig und richtig finde ich halt, dass der "Default" Weg der Verschlüsselungsweg ist.

    Wenn das jemand aus welchen Gründen auch immer nicht möchte ist es okay einen anderen Weg anzubieten. Aber der Standard sollte halt Verschlüsselung sein. Weil der 0815 User immer die Standard Optionen wählt und der 0815 User ist eben die Mehrheit.

    harihegen mit Windows 11, gibt es auch in der Home Version eine "Geräteverschlüsselung" im Grunde ist das ein kastriertes BitLocker.

    Man kann damit z.b. keine externe Laufwerke Verschlüsseln, etc, aber die die Systempartition wird damit verschlüsselt.

    Was wohl auch der Grund ist, warum TPM mit Windows 11 eine "Must-Have" Vorgabe von Microsoft wurde.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

    Zitat von kim88

    mit Windows 11, gibt es auch in der Home Version eine "Geräteverschlüsselung" im Grunde ist das ein kastriertes BitLocker.

    Ok, da muss ich mal darauf achten, das ist mir bisher noch nicht aufgefallen oder untergekommen.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden