Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community

  • Na, sowas! Bei mir heißt die rechte Taste 'Fn'.

    Das ist bei meiner Logilink Tastatur auch so. Blaues "Fn" rechts neben der AltGr.

    Auf dem HP Notebook dagegen ist rechts neben AltGr die Taste für die Pfeile "<" ">" was übrigens nicht besonders toll ist.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce
    ICQ: 68312401

  • Ja Pop OS nutzt nicht den offiziellen Ubuntu Kernel sondern einen eigenen. Und kümmern sich nicht um Microsoft Signatur (die sie problemlos bekommen würden).

    Der Punkt ist, dass System76 Pop_OS! wird hauptsächlich für ihre eigene Hardware aus - wo sie Secure Boot standardmässig ausgeschaltet haben - warum auch immer.

    Ist das immer noch so? Oder vielleicht Coreboot?

  • Das Secureboot Thema ist ja nun schon etwas älter. Im Prinzip stimme ich auch kim88 zu, woran es aber hakt, ist wie immer die Umsetzung. Ich kann Windows auf einem aktuellen Laptop mit TPM und Secureboot installieren und die Festplatte verschlüsseln und einen backupkey anlegen. Ich kann Programme wie Virtualbox oder NVidia Treiber installieren und die laufen danach.

    Unter Linux wirds da schon sehr, sehr viel fummeliger:

    Ubuntu 24.04 --> Da dachte ich mir hey, endlich bekommen die auch die Verschlüsselung mit TPM hin im Installer--> ne bekommen sie nicht hin, der Installer graut diese Option aus! (Lenovo T16 gen2 und ein Tuxedo Pulse 15 gen1). Warum er das tut, weiß keiner. Fehlermeldungen brauchts ja auch nicht....

    Zumindest bekommt man Ubuntu auf dem Lenovo T16 so installiert, das Secureboot arbeitet und Ubuntu auch das System als sicher einstuft. Bei der Installation von Virtualbox geht dann das "Linux" gebastel wieder los... WARUM? die Folge ist, Secureboot auszuschalten oder keine / seltener Updates zu machen, weil der Aufwand steigt und die Gefahr besteht, dass das System nicht läuft, wenns drauf ankommt.

    Der Tuxedo lässt sich nicht so wirklich zur Sicherheit unter Linux "Überreden". Tuxedo selbst gibt ebenfalls vor, secureboot abzuschalten, wenn man das Hauseigene TuxedoOS nutzt.

    Von anderen Distributionen will ich hier gar nicht sprechen. Warum bekommt man das Thema nicht sauber in den Installer integriert? Warum muss "Sicherheit" unter Linux so nervig und immer "Handarbeit" sein?

    Selbst linuxguides.de bietet zu diesem Thema nicht wirklich was an! Da wird KMU Support angeboten, sind dann diese Laptops für Außendienstmitarbeiter verschlüsselt? per TPM (Verschlüsselung mit Passwort ist kontraproduktiv bei Mehrbenutzersystemen! Auch ist ein Passwort die schlechteste Option, insbesondere, wenn es sich nur mit Aufwand ändern lässt!))? Ist Secureboot aktiv? ist dann bei jedem Update der Support zu kontaktieren?

    ja, Linux hängt gewaltig hinterher. Insbesondere wenn man bedenkt, das es Bit-locker schon seit Windows Vista gibt und Ubuntu es jetzt! "testet"...

  • awmst4 gute Zusammenfassung meine Kritik. Leider hat sich hier "noch" nicht viel geändert. Aber es passiert zurzeit sehr viel.

    VirtualBox arbeitet an einer Linux-Version die kein eigenes Kernel-Modul mehr braucht sondern direkt über KVM (das im Kernel ist läuft): https://github.com/cyberus-technology/virtualbox-kvm

    Nvidia bewegt sich auch immer mehr in die Richtung und legt immer mehr Teile ihres Treibers in den Kernel. Nvidia und Virtualbox sind wohl die weit verbreitesten zusätzlichen Kernel-Module.

    Ebenfalls spannend ist das Gnome nun direkt an einem Art Bitlocker/FileVault arbeitet. Und zwar auf Basis der Benutzerverzeichnisverschlüsselung die dann direkt über GDM entsperrt wird.

    Das ganze basiert auf systemd-homed und quer durch da sganze letzte Jahr wurde innerhalb von Gnome sehr viel Code umgeschrieben, dass das dann per Default läuft. Aber ja wirklich ausnahmslos ALLE aktuellen Betriebssysteme auf dem Markt (Windows, Mac OS, Android, iPhone OS, iPad OS, Apple Watch OS, Apple TV OS, usw) sind im Punkte Gerätesicherheit um Meilen besser aufgestellt als Linux und das schon seit Jahren.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • kim88

    Wird dies Weiterentwicklung Gnome vorbehalten sein oder wird sich das irgendwie auch auf andere Arbeitsoberflächen wie Kde, Xfce usw. auswirken?

    Würdest du dich getrauen E-Banking auf Linux zu machen? :thumbup:

    Edit: Wegen E-Bankig ist eine subjektive Frage die ich mir als Linux Anfänger selbst stelle.

    Edited once, last by Shotodude (May 19, 2024 at 12:30 PM).

  • Das ganze basiert auf systemd-homed und quer durch da sganze letzte Jahr wurde innerhalb von Gnome sehr viel Code umgeschrieben, dass das dann per Default läuft. Aber ja wirklich ausnahmslos ALLE aktuellen Betriebssysteme auf dem Markt (Windows, Mac OS, Android, iPhone OS, iPad OS, Apple Watch OS, Apple TV OS, usw) sind im Punkte Gerätesicherheit um Meilen besser aufgestellt als Linux und das schon seit Jahren.

    In der Ausgabe 7 /2024 der C't wird sich recht ausführlich und kritisch mit Secure Boot auseinandergesetzt. Das Fazit der C't finde ich schlicht weg ernüchternd!

    Hardware: MEG X570 UNIFY | AMD Ryzen 9 5950X | 64 GB Ram | AMD Radeon RX 6600 | Hauppauge Starburst 2

    System: Debian Bookworm (Plasma) im Dualboot mit Win11

  • Wird dies Weiterentwicklung Gnome vorbehalten sein oder wird sich das irgendwie auch auf andere Arbeitsoberflächen wie Kde, Xfce usw. auswirken?

    Hängt halt von den entsprechenden Communities ab. Die Basis für das ganze ist systemd-homed das ja grundsätzlich alle Desktops nutzen können sofern die Distribution systemd verwendet.

    Gnome arbeitet einfach schon daran - ich selber verfolge die Gnome Entwicklung sehr eng daher weiss ich das. Ich habe aber so gut wie keinen Einblick in die anderen Desktops. Gut möglich das KDE auch daran arbeitet ich aber nichts davon weiss.

    Ich weiss das Gnome sehr viele Dinge umstellen musste und auch noch muss um damit kompatibel zu werden. Z.b. muss der GDM (Login Manager) dann das Home Verzeichnis direkt entschlüsseln. Der Sperrbildschirm muss das Verzeichnis aber wieder verschlüsseln und den Key aus dem Arbeitsspeicher rausschmeissen.

    Das ist der Grund warum Gnome in aktuellen Versionen den Sperrbildschirm in GDM integriert hat (und auch der Grund warum Gnome ohne GDM bzw mit Alternativem wie LightDM, SCCM, etc nicht mehr korrekt funktioniert.

    Aber es gibt da dann auch viele kleine Probleme. Z.b. zeigt ja GDM die Benutzerbilder bei der Benutzerauswahl an. die waren bisher als ".face.jpg" im /home Ordner gespeichert. Wenn nun die Home Partition verschlüsselt ist kann GDM gar nicht auf die Bilder zugreifen, etc viele Kleinigkeiten für die man nun Lösungen findet und noch finden muss.

    Und klar, wenn KDE oder XFCE das umsetzen werden die auch solche Probleme haben und eben Umsetzungsarbeit leisten müssen. Gnome hat übrigens von der öffentlichen deutschen Hand genauer gesagt vom "Sovereign Tech Fund" 1 Million Euro bekommen um unter anderem das einzubauen: https://foundation.gnome.org/2023/11/09/gno…infrastructure/

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • ja, Linux hängt gewaltig hinterher. Insbesondere wenn man bedenkt, das es Bit-locker schon seit Windows Vista gibt und Ubuntu es jetzt! "testet"...

    Für die Behauptung Linux hänge Windows hinterher führst Du ein Experiment von Ubuntu mit Bitlocker ins Feld --- ernsthaft ??? X/

    Linux hat (genauso wie Mac) seit Jahrzehnten andere bzw. eigene Möglichkeiten für die Festplattenverschlüsselung (dm-crypt, Veracrypt, usw. ) als Windows. Wenn Windows plötzlich mit dm-crypt experimentieren würde, läge dann Windows hinter Linux hinterher?

    Dass die verschiedenen Linux-Distributionen bislang nicht mit Bitlocker arbeiten, liegt doch "höchstwahrscheinlich" daran, dass Microsoft volle Rechte an dieser Software besitzt und Sie daher gut daran getan haben, eigene Wege zu entwickeln.

    Über Gerätesicherheit und insbesondere über den Sinn und Zweck von TPM und Secure Boot kann man ja viel argumentieren. Fest steht IMHO:

    A) Linux ist kein kostenloses Imitat von Windows und muss insbesondere die Sicherheitskonzepte die für letzeres OS konzipiert wurden, nicht zwangsläufig im vollen Umfang und in derselben Komfortzone übernehmen. Dass z.B. die Menschen hinter Tuxedo, die von der Entwicklung und Verkauf eigener Hardware leben, sich nicht zwangsläufig darum kümmern, dass ihr kostenloses OS Secure Boot unterstützt, kann ich durchaus nachvollziehen.

    B) Linux ist für private Anwendungszwecke hinreichend sicher auch ohne TPM und Secure Boot, sicherer als Windows möchte ich behaupten (auch wenn dies teilweise einfach auf der geringeren Verbreitung zurückzuführen sein mag).

    C) Linux ist mit mehr Entscheidungsfreiheit und damit mit mehr Selbstverantwortung verbunden. Wer extra Wünsche erfüllt haben will, weil er/sie ein höheres Sicherheitsbedürfnis hat muss dafür eben auch mehr Aufwand betreiben. Es ist kein Betriebssystem für die Masse an Leuten, die "bloß keine Details" über Computertechnik wissen wollen. Letztere haben dann oft auch nur ein Smartphone und/oder einen Fernseher (je nach Altersgruppe).

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

  • Dass die verschiedenen Linux-Distributionen bislang nicht mit Bitlocker arbeiten, liegt doch "höchstwahrscheinlich" daran, dass Microsoft volle Rechte an dieser Software besitzt und Sie daher gut daran getan haben, eigene Wege zu entwickeln.

    Es ging in seinem Beitrag ja nicht explizit um Bitlocker. Sondern darum das man unter Windows seit es Windows Vista gibt (2007!) - problemlos seine Festplatte verschlüsseln kann. Und zwar sinnvoll. Multi-User-tauglich und auch im Nachhinein durch das anklicken einer Checkbox.

    Dass z.B. die Menschen hinter Tuxedo, die von der Entwicklung und Verkauf eigener Hardware leben, sich nicht zwangsläufig darum kümmern, dass ihr kostenloses OS Secure Boot unterstützt, kann ich durchaus nachvollziehen.

    Wenn sie in grossem Umfang an Firmen verkaufen wollen wäre das eben schon wichtig. Weil das bei allen grossen Unternehmen eine minimum Sicherheitsanforderung ist.

    Linux ist kein kostenloses Imitat von Windows und muss insbesondere die Sicherheitskonzepte die für letzeres OS konzipiert wurden, nicht zwangsläufig im vollen Umfang und in derselben Komfortzone übernehmen.

    Linux soll auch kein kostenloses Imitat sein. Aber Linux ist in einem Wettbewerb - und eine "vertraunesvolle Bootumgebung" ist heute einfach Standard. Um Himmels Willen sogar eine 300 Euro Smartwatch (egal ob du sie von Apple, Samsung, Google oder sonst wem kaufst) hat das. Es gibt aber KEINE Linux Distribution die sowas per Default anbietet.

    Ubuntu kann es es in der Theorie seit Version 23.10 - ist aber nach wie vor als "Experimentell" gekennzeichnet und Drittanbietertreiber wie eben Virtualbox, Nvidia, etc funktionieren dann nicht mehr. openSuse kann es auch - man muss sich dazu nur durch diese sehr sehr sehr sehr sehr lange Doku känmpfen: https://en.opensuse.org/SDB:Encrypted_…ot_with_TPM_2.0

    Bei Windows und Mac OS macht man es mit dem anklicken einer Checkbox - bzw die ist seit vielen vielen vielen Jahren per Default aktiviert. Bei Android, iPhone OS, Mac OS, usw kann man es nicht mal deaktivieren.

    Der Punkt ist - Sicherheit auf OS und Netzwerklevel - von Firewall über Antivirus bist "noch so vorsichtig und mit funktionierendem Kopf" im Internet unterwegs zu sein - ist im Grunde völlig obsolet wenn dein Gerät jegliche andere Software booten kann ohne dass die in irgendeiner Form signiert sein muss.

    Linux ist mit mehr Entscheidungsfreiheit und damit mit mehr Selbstverantwortung verbunden. Wer extra Wünsche erfüllt haben will, weil er/sie ein höheres Sicherheitsbedürfnis hat muss dafür eben auch mehr Aufwand betreiben.

    Das ist stimmt zwar hat aber mit dem Thema nichts zu tun. Verschlüsselung unter Linux ist scheisse. Es ist viel zu komplex anzuwenden, man endet damit zwei Passwörter zu haben (die nicht identisch sein sollten), eine nachträgliche Konfiguration ist super mühsam. Für Systeme die von mehreren Benutzern genutzt werden (z.b. ein Desktop Rechner in der Familie) ist es komplett unbrauchbar - ausser mehrere Menschen kennen die Passphrase (dann kann man auch direkt wieder aufhören).

    Linux ist für private Anwendungszwecke hinreichend sicher auch ohne TPM und Secure Boot, sicherer als Windows möchte ich behaupten (auch wenn dies teilweise einfach auf der geringeren Verbreitung zurückzuführen sein mag).

    Ich würde hier ebenfalls widersprechen. All das Zeug das auf Ubuntu basiert (Linux Mint, Pop OS, elementary OS, usw) ist per se schon unsicherer als jedes Windows oder Mac OS. Schlicht weil der grösste Teil der Anwendungssoftware dort keine Sicherheitsupdates bekommt.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Etwas Futter zu SecureBoot wurde vor einigen Wochen im Bit-Rauschen Podcast von Heise veröffentlicht:

    https://audio.podigee-cdn.net/1397985-m-e47781f60dafaf3622676b50bb417441.mp3?source=feed

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: Framework 13 / Ubuntu 24.04 LTS / AMD Ryzen 7 7840U / 64 GB RAM / 2TB WD NVME

    Backup Laptop: HP Elitebook x360 1030 G2 / Fedora 40 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Edited once, last by El Pollo Diablo: Typos korrigiert (May 20, 2024 at 4:41 PM).

  • ist im Grunde völlig obsolet wenn dein Gerät jegliche andere Software booten kann ohne dass die in irgendeiner Form signiert sein muss.

    Ist das mit der Software Signierung nicht ne Totgeburt, weil sich darum nie sauber gekümmert wird?

    Les nur regelmäßig das wegen dem mal wieder irgendeine Software nicht geht, weil jemand wieder verschlafen hat, das sauber zu pflegen.

    Rollenspiel.Monster -Deine Fediverse Rollenspiel Nodes

    GPG

    System: Framework Laptop 16 DIY Edition, AMD Ryzen 7 7840HS, 32GB RAM, AMD Radeon RX 7700S, 2x 1TB M.2 SATAIII, Fedora Silverblue(Gnome[Wayland])

  • Ist das mit der Software Signierung nicht ne Totgeburt, weil sich darum nie sauber gekümmert wird?

    Also Apple kann Software Signaturen die zwingend vorausgesetzt worden sind seit 2012 auf dem Mac. Auf dem iPhone und iPad seit es die Produkte gibt. Ohne wirkliche Probleme. Aber das ist wieder ein anderes Feld.

    Bei Secure Boot geht es ja darum, dass verhindert das beim booten des Rechners keine Schadsoftware auf Systemebene mitgeladen wird. Sprich der Kernel der geladen wird (sobald der mal geladen ist kann sich ja das OS wieder um Sicherheit kümmern wie z.b. mit antiVirus, Firewall oder Software Signaturen) aber bevor das geladen ist kann es das logischerweise nicht.

    Sprich wenn du deinen Kernel signierst und deinem UEFI sagst es dürfen nur Kernels mit der entsprechenden Signatur geladen werden, verhinderst du damit das Schadsoftware beim booten (die z.b. die Firwall in deinem OS deaktiviert oder Regeln eingibt die du nicht haben willst, etc) gestartet wird - da die ja nicht über die entsprechende Signatur verfügt.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Es gibt aber KEINE Linux Distribution die sowas per Default anbietet.

    Ich dachte ja das kommt mal irgendwann. Das stört mich schon ein bisschen.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce
    ICQ: 68312401

  • Ja kommt auch. Wie gesagt Gnome arbeitet daran (bei anderen Desktops) weiss ich nicht. Die Grundlagen mit systemd-homed sind grundsätzlich da. Nun muss halt ein Desktop hier mal "ready" werden dass man das auch sinnvoll nutzen kann. Und dann wird es eine Distribution brauchen die das implementiert.

    Ich denke Fedora wird hier sicherlich sehr schnell vorne stehen - weil sie das ja immer tun. Und Red Hat die Funktion für Red Hat Enterprise Linux sicherlich gerne hätte. Ubuntu wird da wohl auch nicht lange warten.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Nun muss halt ein Desktop hier mal "ready" werden dass man das auch sinnvoll nutzen kann. Und dann wird es eine Distribution brauchen die das implementiert.

    Hier könnte sich jemand Rum und Ehre verdienen :)

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce
    ICQ: 68312401

  • Es ging in seinem Beitrag ja nicht explizit um Bitlocker. Sondern darum das man unter Windows seit es Windows Vista gibt (2007!) - problemlos seine Festplatte verschlüsseln kann. Und zwar sinnvoll. Multi-User-tauglich und auch im Nachhinein durch das anklicken einer Checkbox.

    Wenn sie in grossem Umfang an Firmen verkaufen wollen wäre das eben schon wichtig. Weil das bei allen grossen Unternehmen eine minimum Sicherheitsanforderung ist.

    dm-crypt z.B. ist seit der 2.6 Kernel Version also etwa 2004 nutzbar. Das "sinnvoll" liegt hier doch im Auge des Betrachters. Da schreibe unter noch etwas dazu, weil Du es später nochmal ausführst.

    Linux soll auch kein kostenloses Imitat sein. Aber Linux ist in einem Wettbewerb - und eine "vertraunesvolle Bootumgebung" ist heute einfach Standard. Um Himmels Willen sogar eine 300 Euro Smartwatch (egal ob du sie von Apple, Samsung, Google oder sonst wem kaufst) hat das. Es gibt aber KEINE Linux Distribution die sowas per Default anbietet.

    Der Standard ist der der Standard, der durch Microsoft definiert wurde. Da wird IMHO zu wenig hinterfragt und es entsteht wie bei Virensoftware eher der Anschein von Sicherheit als tatsächliche Sicherheit. Wobei hier genau zu fragen wäre: Was genau soll denn hier Sicherheit sein?

    Angriffe auf Ebene des Bootloaders sind doch eher die Ausnahme als die Regel (die meiste Maleware setzt doch auf der Ebene des OS auf). Wenn der Angriff so tief in der Hardwarebene ansetzt, braucht es seitens der Angreifer schon einen extremen Lernaufwand und Kleverness. Die zusätzliche Hürde, dann auch Secure Boot zu unterlaufen, ist für diese Leute ab diesem Punkt dann wohl auch nicht mehr extrem hoch und wurde auch schon genommen (z.B. Black Lotus). Auch TPM hat so seine Schwachstellen (ich erinnere mich an Meldungen von 2023, dass buffer overflow Fehler dazu geführt haben, dass die kryptograpischen Schlüssel überschrieben werden konnten).

    Was machen da nun eigentlich die betreffenden Firmen wenn die TPM Fehler aufweist oder der TPM chip im Eimer ist? Hmm?
    Ein Klick auf eine Checkbox genügt nicht, um z.B. die TMP 2.0 - Software zu aktualiseren, wenn das so einfach wäre, wäre dies auch wieder eine Sicherheitslücke -- die Katze beißt sich in den Schwanz. ;)

    Was es meines Erachtens braucht, um diesen Problemkreis aufzulösen, sind

    A) mehr offene Standards / Firmware als FLOSS gerade im Bereich der Sicherheit ... aber unseren großen OS-Schmieden bevorzugen m.E. den Kleinkrieg mit Kriminellen als in Gefahr zu geraten, evtl. Marktmacht abgeben zu müssen. In diesem Punkt spielt Firmenpolitik und Marktmechanismen eben auch die Sicherheit aus. Wenn offengelegt wäre, wie secure boot und TPM tatsächlich umgesetzt sind, dürfte das zumindest die gröbsten Fehlern schneller beseitigen.

    B) ausgefeiltere Konzepte für den Fall, dass diese (zuweilen scheinbare) Sicherheit unterlaufen bzw. teilweise unterlaufen wird. Das fängt bei der Einbruchserkennung an (u.A. welche Daten sendet mein Rechner eigentlich überhaupt) und geht bei der Datenrettung weiter usw. usf.... Ansätze bzw. einen Markt dafür gibt es ja bereits --- ich vermute da gibt es noch einiges an Potenzial (stecke da aber auch nicht professionell drin und gebe nur wieder was ich von Experten gehört habe, bzw. was ich davon glaube verstanden zu haben)

    Das ist stimmt zwar hat aber mit dem Thema nichts zu tun. Verschlüsselung unter Linux ist scheisse. Es ist viel zu komplex anzuwenden, man endet damit zwei Passwörter zu haben (die nicht identisch sein sollten), eine nachträgliche Konfiguration ist super mühsam. Für Systeme die von mehreren Benutzern genutzt werden (z.b. ein Desktop Rechner in der Familie) ist es komplett unbrauchbar - ausser mehrere Menschen kennen die Passphrase (dann kann man auch direkt wieder aufhören).

    Da scheinen wir uns irgendwie misszuverstehen: Ich rede vom Aufwand der Bedienung und darauf bezieht sich dein erster Satz. Du machst mit dann aber selbst mit diesem Thema weiter. Gut, egal!

    Dass dies Verschlüsselung unter Linux scheisse ist, würde ich so nicht unterschreiben. Auch erscheint mir Deine Kritik bzgl. Multi-User obsolet bis schleiherhaft:

    Wie häufig wird denn Verschlüsselung eingerichtet? Im Idealfall doch nur beim Einrichten des Rechners bzw. des Speichermediums.
    Wieviele Menschen arbeiten denn eigentlich im Berufsleben an einem (mobilen) Gerät, bzw. müssen für einen Wechsel an- und ausschalten? Ich kenne es fast nur so: Entweder wird das Gerät nur von einer Person genutzt oder das Gerät ist nicht mobil und wird dann auch nicht ein- und ausgeschaltet.

    Auch braucht in Deinem Beispiel mit der Familie doch nur jedes Familienmitglied das Passwort für die Verschlüsselung zu kennen -- nicht das Passwort der anderen Familienmitgliedern. Außenstehende Personen können die Verschlüsselung dann nicht so ohne Weiteres überwinden. und es gibt auch einen weiteren Schutz innerhalb der Familien durch das eigene Passwort. Daher kapiere ich nicht ganz, was Du mit Deiner letzten Aussage (in Klammern) eigentlich sagen willst.


    Ich würde hier ebenfalls widersprechen. All das Zeug das auf Ubuntu basiert (Linux Mint, Pop OS, elementary OS, usw) ist per se schon unsicherer als jedes Windows oder Mac OS. Schlicht weil der grösste Teil der Anwendungssoftware dort keine Sicherheitsupdates bekommt.

    Was Maleware angeht ist das in der Praxis ja schonmal ganz offensichtlich nicht richtig, die ist eben vor allem für Windows relevant (die Gründe haben wir hier schon gefühlt tausend mal diskutiert) -- ein fehlendes Sicherheitsupdates heißt eben nicht zwangsläufig dass A) tatsächlich eine Sicherheitslücke besteht B) dass, wenn eine besteht, diese als FLOSS unentdeckt bleibt, und C) selbst wenn eine besteht und unentdeckt bleib, dass sich dann tatsächlich ein Angreifers findet, der die Software weit genug versteht, um die Lücke auszunutzen.

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

  • Sprich wenn du deinen Kernel signierst und deinem UEFI sagst es dürfen nur Kernels mit der entsprechenden Signatur geladen werden, verhinderst du damit das Schadsoftware beim booten (die z.b. die Firwall in deinem OS deaktiviert oder Regeln eingibt die du nicht haben willst, etc) gestartet wird - da die ja nicht über die entsprechende Signatur verfügt.

    Gibt es da irgendwo Anleitung wie man Kernel signiert? Oder ist das komplziert hin zu frickeln?

    Ich weiss nicht, ob es damit etwas zu tun hat, aber auf einem Gerät ein ThinkPad Gen 4, sehe ich alle Distris als Startoptionen auswählbar die ich bisher installiert habe. Irgendwie ist mir nicht klar wie sich das aufstapeln kann und wo ich das löschen kann.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!