*hust* Apple *hust*
Bei den Macs läuft das über den T2 Security Chip - und auch den kann man wie Secure Boot steuern.
Entweder nur Apple zertifiziert, eigenen Zertifikate erlauben oder komplett ausschalten.
Apple hat das noch nie unterbunden, und auch noch nie den Bootloader oder sowas gesperrt - Beweis dafür dürften Dinge wie Asahi Linux sein.
Bzw auf älteren Geräten kann man ja problemlos jede Distribution direkt von USB booten und installieren.
Hiasl59 Da bis auf Ubuntu (nur 23.10 und nur wenn man es bewusst aktiviert) und openSUSE (Thumbleweed, nur wenn man das in der Installation bewusst auswählt) noch keine Distribution nutzen vom TPM macht - macht das keinen Sinn.
@BestAger Gnome hat das unter Datenschutz weiterhin drin.
Ubuntu patcht es allerdings raus. Die Diskussion dazu kann man hier nachlesen: https://bugs.launchpad.net/ubuntu/+source…er/+bug/1987162
Als Kurzfassung kann man folgendes sagen. Die Anzeige ist nicht wirklich hilfreich. Da es halt anzeigt "sicher / nicht sicher" es gibt aber im ganzen Gnome Settings Bereich keine Möglichkeit etwas anzupassen das an der Anzeige was ändert.
Canonical wollte es deshalb raus haben, wohl auch vor der Angst vor vielen Bugreports und oberflächlichen Reviews (Hab Ubuntu frisch installiert -> es wird angezeigt Ubuntu ist unsicher -> Ubuntu ist doof)
@Nightcrawler das scheint das normale Ubuntu Update zu sein und hat nichts mit Linux Mint zu tun.
Linux Mint hat (bis auf das Theme) keine eigenen Grub Pakete im Repository: http://packages.linuxmint.com/search.php?rel…ny&keyword=grub
Peter Krambach Kann ich dir nicht beantworten. Ich habe sehr wenig bis keine Ahnung von Linux Mint und nutze das auch nicht.
Alle modernen Distributionen sollten heute längst keine Probleme mehr mit Secure Boot haben: Ubuntu, Fedora, openSuse, und viele weitere laufen da Out-of-the-Box.
Kein Mensch braucht eine Bohrmaschine, was er braucht ist das Loch
Ich kenne das ja eher als "Kein Kunde braucht eine Bohrmaschine, was er braucht ist das Loch in der Wand"
Aber ja ich weiss was du meinst 
Geniesse deinen Urlaub
Müsste ich testen. Aber das Support Dokument das ich ein paar Beiträge vorher verlinkt habe sagt ja klar: "Automatische Verschlüsselung sobald Microsoft Account hinterlegt wurde" und das ist ja inzwischen der "Standard Weg bei der Win Installation"
nicoletta ich habe das Experiment nun mit Windows 11 Home in einer virtuellen Maschine gemacht.
Die virtuelle Maschine, erfüllt alle Voraussetzungen die Microsoft vorgibt, damit die automatische Geräteverschlüsselung aktiviert wird.
Folgendes hab ich der VM an Ressourcen gegeben:
Damit sind alle Voraussetzungen für Windows 11 und für die automatische Geräteverschlüsselung erfüllt.
Installiert habe ich mit der offiziellen aktuellen Windows 11 ISO die man bei Microsoft herunterladen kann, das ganze war ein Clean Install.
Ich habe mich nach der Installation beim Einrichten von Windows 11 mit meinem Microsoft Account angemeldet und Windows Hello mit einem Pin eingerichtet.
Als das Setup endlich durch war, ging ich in die Systemeinstellungen um den Status der Geräteverschlüsselung zu prüfen -> die war aktiv siehe hier:
harihegen und nicoletta klar kann man das umgehen. Ich gehe halt immer vom 0815 User aus. Und der wird hier einfach das machen was ihm gesagt wird und die Account Daten eingeben.
Ich habe kein Problem damit, das man solche Dinge umgehen kann. Wichtig und richtig finde ich halt, dass der "Default" Weg der Verschlüsselungsweg ist.
Wenn das jemand aus welchen Gründen auch immer nicht möchte ist es okay einen anderen Weg anzubieten. Aber der Standard sollte halt Verschlüsselung sein. Weil der 0815 User immer die Standard Optionen wählt und der 0815 User ist eben die Mehrheit.
harihegen mit Windows 11, gibt es auch in der Home Version eine "Geräteverschlüsselung" im Grunde ist das ein kastriertes BitLocker.
Man kann damit z.b. keine externe Laufwerke Verschlüsseln, etc, aber die die Systempartition wird damit verschlüsselt.
Was wohl auch der Grund ist, warum TPM mit Windows 11 eine "Must-Have" Vorgabe von Microsoft wurde.
Eine Standard Windows Installtion erfolgt default ohne Verschlüsselung.
Ich dachte wenn man Windows 11 installiert. Also quasi Clean Install wird automatisch verschlüsselt. Jedenfalls dann wenn man seine Microsoft Account Daten bei der Installation angibt (was ja inzwischen auch der Default ist).
Ich glaube nur Installationen ohne Microsoft Account sind nicht per Default verschlüsselt.
So interpretiere ich jedenfalls dieses Microsoft Support Dokument: https://support.microsoft.com/en-us/windows/…8f-7925c2a3012d
On supported devices running Windows 10 or newer BitLocker will automatically be turned on the first time you sign into a personal Microsoft account (such as @outlook.com or @hotmail.com) or your work or school account.
BitLocker is not automatically turned on with local accounts, however you can manually turn it on in the Manage BitLocker tool.
@Tux sorry aber das ist erstens keine Argumentationsgrundlage. Entweder hat man für Behauptungen Belege oder man hat sie nicht. Und für den Generalschlüssel hast du keine geliefert bzw. sogar gerade gesagt das du keine hast - warum also die Behauptung?
Um davon abzulenken, dass du Dinge behauptest die du nicht belegen kannst lenkst du nun ab, in dem du hier ein Thema bringst das nicht mal Ansatzweise irgendwas mit dem Kontext zu tun hat.
Ich werde dein Benutzerprofil auf jedenfall blockieren und den Beitrag auch melden. Ich weiss nicht wie die Moderatoren und Admins hier dazu stehen und mit der Meldung machen, ist mir ehrlich gesagt auch egal.
Mein bester Freund ist Schweizer, obwohl er dunkelhäutig ist und keinen "typischen" Schweizer Vornamen hat. Wenn wir zusammen unterwegs sind kann ich im Alltag permanent erleben mit was für rassistischer Scheisse er sich bei den alltäglichsten Situationen im Alltag abgeben muss.
Ich brauch das in einem Linux Forum - in einem Thema wo es um Datensicherheit geht - wirklich nicht auch noch.
Oder die meiden wo man davonausgehen kann das es einen "Gerneralschlüssel" gibt, wie bei TPM.
Hast du irgendeinen Beleg dafür?
Was mich halt an der Diskussion hier stört: Wir diskutieren hier nun über Windows und was dort alles falsch oder zumindest nach Legendenerzählung falsch läuft.
Ironischerweise diskutieren wir nicht über Android oder iOS mit unzähligen Millionen von Geräten wo dieser Mechanismus auch Standard ist und offenbar absolut niemanden stört.
Was wir aber nicht tun ist über Linux zu diskutieren. Und darum geht es uns doch am Ende. Die Frage muss doch sein, wie bekommen wir es mit den verfügbaren Technologien hin das wir Daten wie eben Fingerabdrücke oder Gesundheitsdaten, etc auf Linux so sicher wie irgend möglich speichern und verwalten können.
Klar stellt sich da im Kontext die Frage, wie machen das andere Betriebssystem Hersteller wie z.b. Android oder Windows. Was daran ist gut und was daran ist weniger gut. Was können wir daraus lernen, welche Konzepte können wir übernehmen. Welche Konzepte müssten wir anpassen.
Was wir hier zurzeit tun, ist einfach rumbashen auf Microsoft. Erst darf ich hier lesen das Windows plötzlich irgendwelche Chips verlötet und danach das Microsoft offenbar Generalschlüssel hat (hier bin ich wirklich auf einen Beleg gespannt).
Wirklich konstruktiv ist davon nichts.
Gerade im Kontext von immer mehr mobilen Geräten die quasi mit GNOME oder KDE laufen und sowohl Gesundheit wie auch Biometrie dort ein mega Thema ist - sollte sich die Linux Community wirklich konstruktiver um dieses Thema kümmern.
Ja 2010 wurde ein Chip gehackt. Mit Säure und Nadeln hat da ein Hacker 6 Monate herumgebastelt bis er Zugriff auf die Daten hatte.
Hier wieder der Punkt 100% Sicherheit gibt es nie. Aber nur weil meine Haustüre nicht zu 100% Einbruch-sicher ist, lasse ich deswegen Mein Bargeld ja auch nicht in einer Tüte vor der Türe stehen.
Wenn jemand dein Notebook oder Handy klaut, wird der sich nicht die Mühe machen da 6 Monate rumzubasteln.
Und mit Microsoft ist berechtigt meinte ich das die Deine Daten entschlüsseln können.
Auch hier wäre ein Erklärung gut. Nach meinem Kenntnisstand hat Microsoft keinen "Master Key" oder sowas für Bitlocker.
Wenn du optional in den BitLocker Einstellungen angibst, dass ein Wiederherstellungsschlüssel in deinem Microsoft Account hinterlegt werden soll, dann haben sie theoretisch Zugriff auf deinen Key.
Das ist aber kein Standard-Setting sondern muss vom Benutzer ausdrücklich so konfiguriert werden.
Microsoft ist also nur berechtigt auf meine Daten zuzugreifen, aber woher nehmen die sich das Recht?
Und das Bitlocker, sei doch mal ehrlich, hat doch gar keinen Wert, der "Schlüssel" liegt doch nicht nur bei Microsoft.
Wo liegt der Schlüssel sonst noch? Wenn du darauf anspielst das es Geheimdienste gibt die angeblich über irgendwelche Master-schlüssel verfügen. Wen interessiert das?
Es geht doch in der Realität nicht darum ob mich die NSA ausspioniert oder nicht.
Es geht darum, dass wenn jemand z.b. im Zug dein Notebook klaut -> weil du kurz eingenickt bist NICHT auf deine Daten zugreifen kann.
Das der nicht deine Nacktfotos auf der Festplatte findet oder Zugriff auf vertrauliche Dokumente oder deine Krankenakte einsehen kann. Das ist doch am Ende die reale Gefahr.
Natürlich ist es nicht schön wenn Geheimdienste einen Masterschlüssel für so was haben (wenn sie ihn dann wirklich haben, die Verifizierung solche Informationen ist immer etwas schwierig und wird hier auch Zeugs nachgeplappert).
Aber die NSA, wird dich nicht mit deinen Nacktfotos erpressen oder deine persönliche Daten im DarkNet verhöckern. Ist für mich am Ende keine "reale" Gefahr.
Und was meinst du mit "Microsoft ist berechtigt auf meine Daten zuzugreifen und woher nehmen sie das Recht". Also wenn du Windows benutzt dürfen und müssen Microsoft Programme wie z.b. der Dateimanager auf deine Daten zugreifen -> anders geht es nicht.
Wenn du Ubuntu benutzt, darf Nautilus auch auf deine Daten zugreifen. Wo ist der Punkt?
Nach meinem Kenntnisstand werden Dinge wie Fingerabdrücke, Gesichtsscans oder Gesundheitsdaten weder automatisiert noch manuell in irgendeiner Art an Microsoft gesendet bzw auf einem deren Server verarbeitet. Das passiert alles lokal -> auf deinem Rechner.
Hast du dich schon mal gefragt warum du Fingerabdruck Scanner beim neukauf eines Smartphones oder Notebooks immer neu einrichten musst?
Alle Daten und Einstellungen werden in der Regel über die Cloud von Google (bei Android, Apple (bei iOS) oder bei Microsoft (Windows) synchronisiert -> bei Fingerabdrücken, Gesichtscans, etc gibt es das nicht -> die müssen bei jedem Gerät jeweils neu konfiguriert werden.
Das liegt eben genau daran, dass Microsoft, Apple Google & Co keinen Zugriff auf diese Daten haben. Die liegen im TPM (oder wie der Chip auch immer gerade heisst).
harihegen es gibt durchaus Treiber für Fingerabdruck Scanner, also ich hab hier 2 Notebooks die das problemlos können. Man sollte es unter Linux einfach nicht benutzen.
Ich weiss nicht ob Windows 11, das im First Run Prozess wo man Datenschutzeinstellungen, Cortana und was weiss ich alles konfiguriert einem mitteilt oder nicht.
Für mich geht die Diskussion auch nicht um Windows. Wie Windows das macht ist mir am Ende ziemlich egal.
Mein Punkt ist halt eher, das Linux diese Dinge nicht nutzen kann. Ob es nun eine Distribution per Default oder optional macht. Ich kann keine Keys oder sonstige Informationen im TPM speichern. Und ja ich weiss der Linux Kernel hat rudimentären TPM Support aber darum geht es nicht.
Es geht mir wirklich um biometrische und gesundheitsdaten die per DEFAULT unter Linux nicht ausreichend geschützt werden. Wenn man unter KDE oder Gnome einen Fingerabdruck-Scanner einrichtet müsste dieser Hash Wert zwingend im TPM hinterlegt werden -> wenn das nicht geht (weil TPM nicht vorhanden) müsste eine grosse Warnung erscheinen.
Der Punkt ist doch, Linux wird oft als sicherer als Windows oder Mac OS "verkauft" und in sehr vielen Bereichen stimmt das auch.
Fakt ist aber auch, dass es wenn um den Schutz von persönlichen und intimen Daten vor Dritten geht, macht Microsoft, Apple und Google einfach einen viel besseren Job als alle Linux Distributionen.
Das wirklich traurige daran ist, dass Linux dazu in der Lage wäre einen besseren Job zu machen. Wenn du ein Chromebook mit Fingerabdrucksensor kaufst -> wird dort der TPM für solche Daten verwendet. Und Chrome OS ist im Grunde ja auch nur ein abgeändertes Gentoo -> daher möglich wäre es.
Das Problem ist, wenn man das in der Linux Community vereinheitlichen oder standardisieren will. Wenn am Ende sogar jemand wie Lennart Poettering ganz konkrete Vorschläge macht wie man es besser machen könnte. Kommt eine grosse Welle Hass und sinnlose Argumente wie "Windows lötet einen Chip ein" statt konstruktives Feedback zurück.
Das ist einfach nur schade.
Ein spannender Blog-Beitrag zu dem Thema gibt es übrigens hier: https://curius.de/2021/09/lennar…rschluesselung/
Helmfuss richtig.
Es geht darum, dass unberechtigte nicht auf deine Daten zugreifen können.
Gerade im Kontext zu biometrischen Daten (Fingerabdrücke, Gesichtsentsperrung, etc) ist das absolut essentiell.
Unter Linux zurzeit noch weniger der Fall aber auch wichtig ist der Punkt der Gesundheitsdaten. Die Health App bei iPhones ist grossartig, für Rettungskräfte.
Ein guter Freund von mir arbeitet hier in Basel bei der Sanität und wenn sie eine Person bewusstlos antreffen und auch keine Familienangehörige zugegen sind liefert die Health App wertvolle Informationen für die Erstversorgung wie z.b. Allergien, etc
Diese Daten sollten aber nicht einfach auf dem Speicher irgendwo rumliegen, und durch eine Drittanbieter App die z.b. eine Sicherheitslücken ausnutzen kann, lesbar sein.
KDE hat Ende 2021 die Konfiguration von fprint -> also Fingerabdruck Login direkt in die Benutzereinstellungen ihres Desktops eingebaut.
Bei GNOME ist das schon ein paar Jahren so.
Das Problem ist weder GNOME noch KDE weisen dich als Nutzer darauf hin, dass deine biometrische Daten einfach im System gespeichert werden -> im schlimmsten Fall noch auf einer Partition die eben nicht verschlüsselt ist.
Im Grunde kann das dann jeder lesen der Zugriff auf deine Hardware bekommt.
Gesundheitsdaten sind auf Linux (noch) nicht das grosse Thema. Aber sowohl GNOME wie KDE entwickeln ihre Desktops ja zunehmend für Mobile Geräte.
Und mit Dingen wie Pinephone oder dem Librem 5 gibt es da ja auch schon Geräte.
Und es gibt auch schon eine Gnome Circle Gesundheitsapp (https://flathub.org/apps/details/dev.Cogitri.Health) -> daher funktionierendes TPM unter Linux, und das man dort wirklich sensible Daten speichern kann ist essentiell.
Das ist aber sehr freundlich, daß mir Windows erlaubt meine eigenen Daten zu entschlüsseln. Dieser Großzügigkeit wird sicher nich ausreichend Dankbarkeit entgegengebracht und sollte deutlich mehr gewürdigt werden.
Kannst du oder willst du nicht auf irgendeines der Argumente eingehen das ich gebracht habe? Oder wenigstens irgendein Gegenargument bringen?
Was ist dein Problem? Oder bist du wirklich nur ein Troll?
Windows lötet Dir einen Chip aufs motherboard und verschlüsselt Deine Festplatte wenn TPM eingeschaltet ist und Bitlocker auch.
Windows ist eine Programmsammlung die ein Betriebssystem bilden. Windows lötet dir gar nichts irgendwo drauf. Auch Microsoft nicht.
TPM ist sowohl in der Version 1.2 (altes TPM das z.b. nicht Windows 11 kompatibel ist) wie auch in der Version 2 ein ISO Standard.
Für die Dokumentation und Definition von TPM (also die die bestimmen, wie das Ding funktioniert) ist eine "Nicht gewinnorientierte Organisation" verantwortlich die "Trusted Computing Group" (TCG) heisst.
Die TCG wird von 80 Firmen unterstützt bzw finanziert. Und ja Microsoft ist eine dieser 80 Firmen, aber auch Intel, AMD, Cisco, Meta, Googel, Huawei, IBM, Toyota, Ricoh, Lenovo, Asus, Canon und viele weitere sind ein Teil der TCG.
Übrigens ist auch Red Hat, der wohl grösste Anbieter von Open Source Software in Unternehmen ein Teil der TCG.
Du scheinst hier irgendeinen Groll gegen Microsoft oder Windows oder beides zu haben. Aber das Festplattenpartitionen automatisch verschlüsselt werden ist heute unter ALLEN verbreiteten Betriebssystemen der Standard - nicht nur von Microsoft.
Wenn Du jetzt Deine Festplatte rausnimmst kommst Du an Deine Daten nicht mehr ran
Das ist die Idee von Festplatten bzw. Partitionsverschlüsselung. Wenn jemand dein Notebook klaut, oder ein Einbrecher deinen Computer mitnimmt. Dann ist das zwar scheisse und ärgerlich weil du neu kaufen musst - aber der Dieb hat wenigstens keinen Zugriff auf deine Daten.
Bei Familienfotos ist das gut für die Privatsphäre. Wenn du noch Daten von deiner Firma oder aus auf der Platte hast ist das auch gut für die Wahrung der Betriebsgeheimnisse und eventuellen Kundendaten.
Auch TPM auschalten bringt nichts, sondern ert mit Bitlocker die Platte entschlüsseln, dann TPM aus und dann die Festpatte raus.
Richtig, nachträglich TPM ausschalten bringt dir nichts. Dazu müsstest du unter Windows Bitlocker erst ausschalten, also quasi die Festplatte wieder entschlüsseln.
Auch hier wieder, das ist kein "Fehler" sondern die grundsätzliche Idee der Geschichte.
KIppt dir ne Cola uf die Tastatur und ist Deine Platine hinüber kannst Du leder auch alle Daten der Festplatte vergessen obwohl die im Normalfall so schnell nicht futsch ist und damit habe ich so meine Bedenken, vor allem weil das nicht irgendwie erläutert wird. Darum in ich überhaupt erst zu LInux gewechselt.
Kippt eine Cola auf die Tastatur und dein Rechner ist dahin, muss man sich eben einen neuen Rechner holen und dort sein Backup (das man IMMER zwingend haben sollte) wieder einspielen.
Kein Backup, kein Mitleid.
Doch. Genau solche Daten verschlüsselt Windows ohne zu fragen und vieles vieles viels mehr von hunderten von Millionen von Menschen.
Das macht dein Android Telefon, dein Android Tablet, dein iPhone, dein iPad, selbst die Apple Watch und Android Watches, dein Macbook und ja auch jedes Windows Gerät auch.
Der Punkt war, das deine Abschlussarbeit nicht im TPM gespeichert wird.
Wie gesagt über alles was du dich hier beschwerst - ist heute der Standard.
Sowohl Windows mit BitLocker, wie auch Mac OS mit FileVault bieten die Möglichkeit an einen Wiederherstellungsschlüssel zu generieren.
Damit du eben weiterhin an die Daten an deine Festplatte kommst, wenn der wegen Cola oder sonst einem Grund ausfällt.
Sowohl Windows wie auch MacOS bieten optional an, diesen Wiederherstellungsschlüssel bei Windows über seinen Microsoft Account bzw. bei MacOS über seinen iCloud Account zu speichern (ist halt die Frage ob man da Microsoft oder Apple vertrauen will oder nicht).
So kann man quasi mit seinem Microsoft oder iCloud Account ebenfalls auf eine verschlüsselte Festplatte zugreifen.
Kurz -> über das was du dich beschwerst bist du offenbar selber schuld, weil du weder Wiederherstellungsschlüssel noch ein Backup gehabt hast 🤷♂️
Deswegen auf zusätzliche Sicherheit -> gerade im Bezug auf biometrische und gesundheits- Daten (auf die du noch gar nicht eingegangen bist) zu verzichten, ist am Ende deine Entscheidung. Diesen Verzicht aber anderen pauschal zu empfehlen halte ich für grob-fahrlässig.
