Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.
VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern
Duplicity: Sichere Daten-Backups erstellen - mit eigenem GPG-Schlüssel verschlüsselt & signiert
Mit Duplicity lassen sich unter Linux sichere (verschlüsselte und signierte) inkrementelle Daten-Backups erstellen. Für die Sicherung in der Cloud unterstützt Duplicity diverse bewährte Protokolle, wie z.B. SSH und WebDAV. Zum Verschlüsseln verwendet Duplicity GnuPG. Standardmäßig kommt dabei eine symmetrische Verschlüsselung zur Anwendung. Alternativ kann aber auch eine asymmetrische Verschlüsselung in Verbindung mit einem eigenen GPG-Schlüssel eingesetzt werden. Wie letztgenanntes umsetzbar ist, erfahrt ihr in folgendem Beitrag.
Linux: LUKS-Container mit FIDO2 entsperren
Standardmäßig lassen sich LUKS-Volumes, wie z.B. LUKS-Container, mit einer Passphrase entsperren bzw. entschlüsseln. Seit einiger Zeit bietet systemd mit systemd-cryptenroll aber auch die Möglichkeit, LUKS-Container mit einem FIDO2-Gerät, welches die HMAC Secret Extension unterstützt, zu entsperren. Wie sich das z.B. mit einem Hardware-Security-Token wie einem YubiKey umsetzen lässt, zeige ich in folgendem Beitrag.
Android: Passwörter sicher speichern mit dem Passwort-Manager Password Store auf Basis von GPG & YubiKey
Zum Verwalten und sicheren Speichern von Passwörtern unter Android verwende ich den Passwort-Manager Password Store. Dabei handelt es sich quasi um einen Android-Client für den Linux-Passwort-Manager pass, den ich zum Verwalten meiner Passwörter auf meinem Notebook verwende. Bei diesem Passwort-Manager wird ein Passwort, optional mit weiteren Daten, wie z.B. Benutzername, in einer mit GPG verschlüsselten Datei gespeichert. Meinen dazu benötigten GPG-(Unter-)Schlüssel habe ich aber nicht auf meinem Android-Gerät, sondern auf meinem YubiKey gespeichert. Zum Entschlüsseln und Anzeigen eines Passworts benötige ich also meinen YubiKey und die dazugehörige YubiKey-GPG-PIN. Den YubiKey halte ich dann einfach an mein Android-Gerät und die Verbindung erfolgt dabei über NFC.
OpenWrt: DNS-Abfragen mit Stubby verschlüsseln
Im Allgemeinen erfolgen DNS-Abfragen standardmäßig unverschlüsselt über Port 53 (UDP/TCP). Wenn im Router (oder im verwendeten Endgerät) nicht anders eingestellt, werden dabei zumeist die DNS-Server des eigenen Internet-Service-Provider (ISP) kontaktiert. Um bei Bedarf die eigene Privatssphäre und Sicherheit zu erhöhen, kann es sich anbieten, den DNS-Datenverkehr zu verschlüsseln und hierzu öffentliche DNS-Server, die DNS-over-TLS (DoT) als auch DNSSEC unterstützen, zu verwenden. Wie sich das mit dem eigenen OpenWrt-Router in Verbindung mit Dnsmasq und Stubby umsetzen lässt, erfahrt ihr in diesem Beitrag.