Schedule FrOSCon 2026

Lecture

Wir bauen uns einen Congress-Laptop: CachyOS härten für Einsteiger

August 15, 2026 HS 7 de Security

In den vergangenen 20 Jahren habe ich immer wieder Workshops u.a. für Aktivisten und Journalisten unterrichtet, die ihre Hardware in Krisengebieten oder Unrechtsstaaten absichern wollten.
In diesem aktualisierten Vortrag zeige ich, wie man sich mit geeigneter Hardware (z.B. einem gebrauchten Thinkpad) und einem passenden OS (CachyOS) einen weitgehend abgesicherten Laptop z.B. für den C3-Besuch bastelt. Dabei wägt die Konfiguration zwischen Benutzbarkeit und Bedrohungsszenarien ab, z.B. wird der Laptop auch gegen Datenverlust bei Diebstahl oder eine Evil-Maid-Attack abgesichert, d.h. gegen eine Angreiferin die physikalischen Zugriff auf die Maschine hat. Rubber-Hose-Attacken (das KGB will das Passwort aus mir rausprügeln) liegen *nicht* im Fokus dieses Vortrags.
Die Sicherungsmaßnahmen sind prinzipiell auch auf andere Linux-Distributionen übertragbar, dort aber unter Umständen mit mehr Handarbeit verbunden. CachyOS als Arch-Derivat bietet hier eine relativ unkomplizierte Installation, eine einsteigerfreundliches Benutzererlebnis und die notwendige aktuelle System-Software.

Der Vortrag ist einsteigerfreundlich gestaltet.

Ich zeige u.a. wie man:

- die Hardware (UEFI/TPM2) absichert und sinnvolle Festplattenverschlüsselung einrichtet
- Kernel und Boot-Prozess absichert mit gehärtetem Kernel, IOMMU, Secure Boot mit eigenen Schlüsseln signiert und LUKS2 an die Measured-Boot-Signaturen bindet und mit einer TPM2-PIN entsperrt
- Schutz vor USB-Geräten mit Usbguard
- Verschlüsselung einzelner Verzeichnisse mit GoCryptFS und verschlüsselte Datensychronisierung in die Cloud, wenn man unterundwegs ist
- Firefox und Co. mit Firejail absichern, AppArmor als Alternative
- OpenSSH härten, Firewall mit UFW einrichten
- OpenPGP-Smartcard und Device-Bound-Passkeys mit Yubikey oder Nitrokey
- Passwortmanagement mit KeePassXC

Jede Sicherheitsmaßnahme wird in ein Threat Model eingebunden sowie Vor- und Nachteile erklärt. Damit könnt ihr selber entscheiden, ob diese Maßnahme in eurer Situation sinnvoll ist.

Der eingesetzte Laptop muss über die Möglichkeit von Secure Boot und TPM2 verfügen, was eigentlich bei allen Business-Reihen (Lenovo Thinkpad, HP Elitebook, Dell Latitude o.ä.) der Fall ist. Ein günstiges Gebrauchtgerät reicht hier vollkommen aus. Ein Yubikey und/oder Nitrokey sind optional, aber für den sicheren Einsatz von GnuPG empfohlen.