Ab und an nutze ich Tails und boote es von einem USB-Stick. Mein Rechner läuft jedoch mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Schlüsseln bzw. Keys. Aus diesem Grund führt mein System die von Tails bereitgestellte EFI-Bootdatei nicht aus, da diese nicht mit meinem DB-Key signiert ist. Anstatt nun aber die Sicherheitskette aufzubrechen und einfach temporär Secure Boot zu deaktivieren, signiere ich einfach die entsprechende EFI-Bootdatei. Das ganze lässt sich relativ leicht bewerkstelligen.
Tails: Live-USB-Stick mit eigenen Secure-Boot-Keys booten
systemd-sbsign: Alternative zu sbsign (sbsigntools)
Bisher habe ich zum Signieren von EFI-Dateien bzw. Unified Kernel Images (UKIs) immer sbsign (im Paket sbsigntools enthalten) eingesetzt. Mittlerweile bietet systemd seit Version 257 mit systemd-sbsign aber auch eine gleichwertige Alternative. Da ich selbst sowieso systemd-ukify zum Erstellen von Unified Kernel Images verwende, nutze ich nun systemd-sbsign zum Signieren der UKIs mit meinem eigenen UEFI-Secure-Boot-Schlüssel.
systemd-ukify: Unified Kernel Image (UKI) für UEFI Secure Boot mit YubiKey signieren
In einem älteren Beitrag hatte ich bereits beschrieben, wie ich mittels systemd-ukify sogenannte Unified Kernel Images (UKIs) zum Booten meines Arch-Linux-Systems erstelle. Die so generierten UKIs wurden dabei mit meinem eigenen UEFI-Secure-Boot-Schlüssel signiert. Dabei befand sich der private Secure-Boot-Schlüssel jedoch auf meinem System selbst, wobei dieser aber natürlich nur für den Root-Benutzer lesbar ist.
Eine andere Möglichkeit ist es, den privaten Secure-Boot-Schlüssel (konkret geht es um den Signature Database Key) auf einem Hardware-Security-Token, wie z.B. einem YubiKey, zu speichern. Der Vorteil besteht darin, dass der private Schlüssel sich nicht direkt auf dem eigentlichen System befindet und ein Zugriff auf den privaten Schlüssel erschwert wird bzw. ein Auslesen generell beim YubiKey nicht möglich ist. Die Kommunikation zwischen systemd-ukify (intern eigentlich sbsign) und YubiKey findet über die PKCS#11-Schnittstelle statt.
YubiKey zum Speichern von Passkeys verwenden
Zuletzt hatte ich bereits aufgezeigt, wie Passkeys mit KeePassXC gespeichert und verwendet werden können. Eine weitere und im Prinzip sichere Variante, ist das Speichern der Passkeys auf einem Hardware-Security-Token, wie z.B. einem YubiKey.
Passkeys mit KeePassXC (Linux) verwenden
Seit Kurzem unterstützt der Passwort-Manager KeePassXC die passwortlose Anmeldung mittels sogenannten Passkeys. Hierfür benötigt ihr neben KeePassXC auch zwingend die Browser-Erweiterung KeePassXC-Browser für euren Webbrowser und müsst die entsprechende Passkeys-Unterstützung für die Erweiterung aktivieren. In meinem Fall habe ich das mal unter Linux mit Mozilla Firefox und der Passkeys-Demo-Website passkeys.io ausprobiert.