Kategorie: Linux

Arch Linux: Bootvorgang mittels TPM2 & TOTP messen und Vertrauenswürdigkeit überprüfen (Measured-Boot)

Leider ist das Konzept von Verified-/Trusted-Boot unter Linux, im Gegensatz zu z.B. Android, Chromium OS, MacOS und Windows, immer noch nicht wirklich präsent (siehe bspw. The Strange State of Authenticated Boot and Disk Encryption on Generic Linux Distributions). Während sich Secure-Boot auch im Linux-Umfeld einigermaßen etabliert hat, tut sich im Bereich Measured-Boot noch nicht allzu viel. Eine Möglichkeit den gemessenen Bootvorgang manuell auf Vertrauenswürdigkeit hin zu überprüfen, ist die Verwendung von tpm2-totp. Wie genau das funktioniert, erläutere ich in folgendem Beitrag.

Weiterlesen

Arch Linux: LUKS-Volume mit TPM2 inkl. PIN entschlüsseln

Mit systemd-cryptenroll bietet systemd eine einfache Möglichkeit, PKCS#11-, FIDO2- und/oder TPM2-Token-/Geräte zum Entschlüsseln von LUKS2-Volumes einzurichten. Mit der neuesten Version von systemd v251 lässt sich für die Verwendung eines TPM2-Chips auch noch eine zusätzliche PIN festlegen. Dadurch muss zum Entschlüsseln des LUKS-Volume nicht nur der TPM-Speicher (PCR-Status) korrekt sein, sondern es muss auch die korrekte PIN eingegeben werden.

Für mein Notebook mit Arch Linux verwende ich die TPM2+PIN-Lösung nun zum Entschlüsseln meines mit LUKS vollverschlüsselten Systems (Root-LVM-Partition). Was ich dafür tun musste, erfahrt ihr in diesem Beitrag.

Weiterlesen

SSH-Keys mit TPM verschlüsselt speichern

Mithilfe eines TPM (Trusted Platform Module) lassen sich SSH-Keys verschlüsselt speichern und absichern. Für den Zugriff auf den TPM-Chip wird dabei die PKCS#11-Schnittstelle verwendet.

Weiterlesen

Debian: Minimal-Installation - Grundsystem installieren

Leider stellt Canoncial für Ubuntu seit der Version 20.10 kein Netboot-Installationsimage (mini.iso) mehr bereit. Das betrifft auch dazugehörige Derivate, wie z.B. Xubuntu, welches ich jahrelang verwendet habe. Im Gegensatz zu Ubuntu wird für Debian aber immer noch eine mini.iso bereitgestellt. Wer also weiterhin ein minimales Grundsystem, z.B. mit Xfce, installieren möchte und für Alternativen offen ist, kann analog zur Minimal-Installation von Xubuntu, also auch Debian verwenden.

Weiterlesen

Arch Linux: Installation mit LVM, LUKS, AppArmor, systemd-boot und UEFI Secure Boot mit eigenen Keys

Vor Kurzem habe ich mein Notebook erfolgreich von Xubuntu auf Arch Linux umgestellt. Wie bei meiner bisherigen Xubuntu-Installation sollte Arch Linux natürlich mit Festplatten-Vollverschlüsselung (mittels LVM on LUKS) sowie aktiviertem AppArmor installiert werden. Außerdem wollte ich als zusätzliche Sicherheitsebene, Arch Linux mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Secure Boot Keys einrichten. In diesem Zusammenhang sollte zudem systemd-boot anstatt GRUB als Bootloader zum Einsatz kommen. Wie ich das Ganze umgesetzt habe, könnt ihr in diesem Beitrag lesen.

Weiterlesen