Das NTP (Network Time Protocol) dient der Synchronisation der Uhrzeit von Endgeräten über ein Netzwerk, wie z.B. das Internet. Die Kommunikation erfolgt dabei standardmäßig ungesichert (keine Verschlüsselung, keine Authentifizierung etc.) über Port UDP/123. Mit NTS (Network Time Security) gibt es seit 2020 aber eine auf Basis von TLS verschlüsselte und somit abgesicherte Alternative (Details siehe RFC 8915 sowie NTS: Absicherung von NTP gegen MITM-Angriffe).

Meinen OpenWrt-Router habe ich mittlerweile von NTP auf NTS umgestellt. Wie ich das mittels chrony umgesetzt habe, erfahrt ihr in folgendem Beitrag.

Weiterlesen

Nebst dem Absichern (Hardening) des Betriebssystems, sollte auch der eigentliche Bootvorgang, dem meist weniger Beachtung bzgl. Sicherheit geschenkt wird, abgesichert werden. Die beste Festplatten-Vollverschlüsselung bringt nicht allzu viel, wenn euer System z.B. mit einem manipulierten Kernel gebootet wird und im Hintergrund bspw. euer Passwort mitgeloggt wird. Aus diesem Grund ist es wichtig bereits beim Bootvorgang sichzustellen, dass nur vertrauenswürdige Firmware/Software geladen und ausgeführt wird.

In diesem Beitrag gebe ich euch einen Überblick darüber, welche Schritte ich umgesetzt habe, um ich mein Notebook mit Arch Linux sicher zu booten.

Weiterlesen

Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.

Weiterlesen

Der Passwort-Manager KeePassXC hatte schon länger die Möglichkeit angeboten, die Passwort-Datenbank zusätzlich zum Passwort mittels YubiKey abzusichern. Hierbei kommt das YubiKey-Challenge-Response-Verfahren auf Basis von HMAC-SHA1 zum Einsatz. Leider unterstützte das die mobile Android-Variante KeePassDX lange Zeit nicht. Seit Version 3.5.0 kann nun auch KeePassDX mit YubiKey abgesicherten Datenbanken umgehen. Allerdings wird hierfür eine weitere App namens Key Driver benötigt. Derzeit ist diese anscheinend nicht über F-Droid, sondern nur über den Google Play Store verfügbar. Wie eine neue oder bestehende Datenbank mit YubiKey-Challenge-Response erstellt bzw. angepasst werden kann, zeige ich euch in diesem Beitrag.

Weiterlesen

Vor Kurzem habe ich das erste mal die Online-Ausweisfunktion meines Personalsausweises verwendet. Dazu habe ich mir die offizielle quelloffene AusweisApp2 unter Arch Linux installiert. Als Kartenlesegerät kommt dabei mein NFC-fähiges Android-Smartphone mit der AusweisApp2-Android-App zum Einsatz. Bei der Einrichtung gibt es unter Arch Linux zwei Hürden zu bewerkstelligen. Zum einen findet sich die AusweisApp2 nicht in den offiziellen Paketquellen, sondern muss aus dem Arch User Repository (AUR) heruntergeladen und selbst kompiliert werden. Zum anderen muss die Firewall von Arch Linux angepasst werden, so dass ein NFC-fähiges Endgerät im WLAN als Kartenlesegerät genutzt werden kann. Details hierzu findet ihr in diesem Beitrag.

Weiterlesen