Sicheres Linux-Desktop-Betriebssystem

Es soll untersucht werden, welche Technologien bei der Einrichtung eines möglichst sicheren und trotzdem bequem Nutzbaren Linux-Desktop-Betriebssystem von Nutzen sein können. Es soll außerdem evaluiert werden, welchen genauen Nutzen, welche Nachteile und welche Schwachstellen die Technologien haben und gegen welche Angreifermodelle sie letztendlich schützen.

Übersicht

Sicheres Installationsmedium

• Vertrauen in alle beteiligte Hardware nötig
• Vertrauen in Betriebssystem nötig, das Installationsimage lädt bzw. prüft
• Absicherungsidee
  • Installationsimage auf USB-Stick mit Schreibschutz-Switch laden
  • Schreibschutz aktivieren
  • Auf unabhängigen Rechnern SHA512-Checksumme herunterladen und gegen USB-Stick prüfen
  • Es muss nur einer der Rechner „die Wahrheit“ sagen damit ein falsches Image auffällt

BIOS

• Wake on LAN: Auf ersten Blick nicht bedenklich. Aber sicher ist sicher.
• TPM 2.0 Modul
  • Erlaubt Secure Boot
  • Schlüsselgenerierung und -speicher
  • Verschlüssellung und Signatur
  • Random Noise Generator
  • Von aktuellen Kernels unterstützt und unter /dev/tpm0 eingebunden
• Intel SGX: Abgesicherter bereich für Sicherheitskritische Ausführung
• Internal Storage Tamper Detection: Fährt herunter, wenn Drive während Schlafmodus entfernt
• UEFI only und überflüssige Booteinträge entfernen
• „Boot Order Lock“-Option ohne verständliche Beschreibung

BIOS Passwort

• Supervisor Passwort sperrt Zugriff auf bestimmte BIOS Einstellungen
  • Optional auf alle BIOS-Änderungen und Auswahl von Booteinträgen
  • Booten kann auch durch Passwort geschützt werden
  • Passwort für SSD Hardwareverschlüsselung (siehe Verschlüsselung)
• Kann vor Manipulation der Einstellungen und der Booteinträge schützen
• Sicherheitslücken:
  • Viele Hersteller haben Masterpasswörter um das BIOS bei dreifacher Falscheingabe zu entsperren
  • Kurzschluss an Kontakten eines Security Chips auf der Rückseite des Mainboards um Passwort zu umgehen
  • CMOS-Batterie vorübergehend entfernen um BIOS zurückzusetzen
  • Ggf. trotzdem nützlich, um zu bemerken wenn Passwort zurückgesetzt wurde? -> Email an Lenovo-Support gesendet

Readonly-Laufwerk

UEFI Secure Boot

• Kleiner Bootloader names „shim“ ist von Microsoft signiert
  • Überprüft ob Kernel und Module signiert und startet Kernel dann
  • Kernelmodule sind auch signiert und eigene Public-Keys können in shim enrolled werden
  • Welche garantien habe ich noch, wenn shim eigene Schlüssel zulässt?

Verschlüssellung

Hardwareverschlüssellung der SSD

• Viele moderne SSDs verschlüsseln die gespeicherten Daten mit AES-256
• Schlüssel in SSD persistiert, kann aber vom BIOS mit Passwort verschlüsselt werden
  • Verschlüssellungsverfahren ist BIOS-Hersteller-abhängig
  • Kann nicht ohne weiteres an anderem Rechner verwendet werden
  • Verfahren ist bekannt und bietet keine besondere Sicherheit
• Sicherheitsbedenken wegen Backdoors, gesetztlicher Vorgaben, achtloser Implementierung
• Zumindest für billiges Wipen der SSD vor Installation nutzbar

LUKS

Distribution und Softwarequellen

• Signierte Binaries aus Repos? Sicherheitsanforderungen?
• Snap? pip? rpm?

Sichere Authentifizierung

Verschlüsseltes Backup

• “Stehendes” Backup von externem Bootmedium
• Inkrementelles Backup
• Inkrementelles Backup auf Blockbasis
• Komprimiertes Backup durch Backup der Partitionsstruktur
• Netzwerkbackup mit geringer Bandbreite

Sandboxing

• AppArmor
• Firejail
  • Checkpoints (ggf. git repository)

Versiegelung

Weitere Ideen

• Sicherheitsstrategie für VIM-Plugins
• Git-Repository mit Konfigurationsdateien (~/.bashrc, ~/.profile, .tmux.conf, …)
  • Schnelles und sichereres Einrichten neuer Linux-Accounts

Weitere Themen

• Welche Maßnahmen sind auf Dual-Boot-Systeme übertragbar?
• Lassen sich BIOS oder Netzwerkkarte von außen steuern/flashen?
  • Intel-Fernadministrierung/V-Pro?
• RAM-Verschlüsselung auf neuen AMD Ryzen Pro
• Hardwareverschlüsselung vs Softwareverschlüsselung (siehe BitLocker)
• Inwiefern sind die Technologien von der Hardware/dem BIOS abhängig?