Version 0.17 Sommerwelle

Lecture: sectpmctl für LUKS Full Disk Encryption (FDE)

Secure Boot und TPM gestützte LUKS Festplattenverschlüsselung für Ubuntu 22.04

Die meisten Linux-Distributionen verwenden für die Festplattenverschlüsselung ein Passwort. sectpmctl benutzt das TPM 2.0 Modul zusammen mit Secure Boot für die Verschlüsselung. Wahlweise kann zusätzlich eine Boot-PIN verwendet werden, die hardwareseitig vor Brute-Force Angriffen geschützt ist. Veränderungen der Secure Boot Schlüssel und der Boot-Dateien durch Viren oder Angreifer werden erkannt und der Bootvorgang verhindert. Im Falle eines Diebstahls sind alle Daten des Geräts geschützt.

Dieses Tool ist eine komplett integrierte und einfache Lösung. Die typischen Probleme, die mit dem TPM entstehen (PCR Brittleness z. B.) werden umgangen durch die Verwaltung und Nutzung von Secure Boot und dem Provisionieren des TPM's nach dem TOFU Prinzip (Trust on first use). Die Nutzung des TPM's ist immun vor Änderungen durch System Upgrades, die Entschlüsselung wird nicht an den Userspace gebunden, sondern an den Hardware-Zustand. Zum Booten wird systemd-stub and systemd-boot verwendet.

Info

Day: 2022-08-21
Start time: 16:30
Duration: 01:00
Room: HS7
Track: Security
Language: de

Links:

Concurrent Events