Neues Laptop soll Vollverschlüsselung erhalten

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 02.03.2021 20:57:02

Hallo,

ich habe mir ein neues/gebrauchtes ThinkPad X1 Carbon (5. Gen) gekauft, welches hoffentlich diese Woche geliefert wird.
Dieses kommt mit einer etwas ungewöhnlichen CPU daher: i5-6300 und 8GB RAM und 180GB SSD

Das Gerät wird überwiegend zu Hause verwandt aber dennoch möchte ich eine Vollverschlüsselung.
Was mich daran stört: In allen Szenarien über die ich bisher gelesen habe, muss ich am Anfang des Bootvorgangs ein Passwort eingeben (zu dem Login).

Hier meine erste Frage: Ist das denkbar eine andere Möglichkeit zu finden anstelle dem Passwort (.z.B. Krypto USB-Stick, ...)?
Vielleicht mixe ich hier auch schon etwas!

Vorweg möchte ich sagen, dass ich praktisch null Komma null Erfahrung mit dem Verschlüsseln von Mobilgeräten o.ä. habe.
Lediglich vor Jahren habe ich auch ein Laptop mit Vollverschlüsselung aufgesetzt, aber aus meiner Sicht nicht optimal und ich habe auch nicht wirklich eine Erinnerung daran wie ich das gemacht habe :mrgreen:

Was ich bisher gelesen und verstanden habe, wäre eine Vollverschlüsselung während der Installationsroutine eine geschickte Wahl, da hier automatisch mittels LUKS partitioniert wird.
Dabei wird die Festplatte mittels LVM (quasi als Zwischenschicht?) partitioniert und je nach Nutzerwahl in eine root, swap und home Parition aufgeteilt.

Hier wieder meine nächste Frage: Wenn ich die vollständig geführte und automatische Routine wähle, dann soll die Partition für Root und Boot zu klein sein (was ich gelesen habe).
Empfiehlt sich hier eine manuelle Partitionierung vorzunehmen?

Grub ist mittlerweile anscheinend in der Lage mit einer verschlüsselten Boot Partition zurecht zu kommen, hat aber angeblich Performance Nachteile.
Was schlägt Debian hier vor bzw. was wird während der automatischen Routine gemacht?
Wäre eine nicht verschlüsselte Boot Partition auch ok, wenn gar auch das Risiko etwas höher ist Daten evtl. Preis zu geben (minimales Risiko?)?

Bei den letzten Installationen ohne Verschlüsselung habe ich eine automatische Routine gewählt, allerdings zusätzlich eine eigene /home Partition eingerichtet.

Wie schaut das eigentlich mit der Performance bzgl. Verschlüsselung in Kombi mit obigem Prozessor aus?
Was ich gelesen habe ich das bei den neueren CPUs wohl kein Problem mehr. Ist das richtig?

Wie Partitioniere ich hier am geschicktesten und welche Partition sollte welche Größe haben (es gibt viele Empfehlungen)?
Es geht dabei um eine Standardinstallation.

Ich habe viel gelesen und jeder hat da so seine eigenen Ideen was gut und richtig ist.
Habt ihr eine gute Anleitung für Einsteiger die auf Debian (idealerweise Buster) bezogen ist?

Diese hier fand ich nicht so schlecht, aber da hätte ich auch noch ein paar Fragen: https://curius.de/schwerpunkte/verschlu ... hluesseln/
Hier habe ich auch mal rein geluschert: https://speefak.spdns.de/oss_lifestyle/ ... ionierung/

Wenn ich das richtig verstanden habe, so wie ich das schon zu Anfang an vorweg genommen habe, scheint mir die Methode "LVM Laufwerke auf LUKS verschlüsselter Partition" für mich geeignet zu sein.
Weitere Partitionen habe ich bei 180GB nicht vor anzulegen.
Einzig die Frage nach einer SD-Card die ich mir als Speichererweiterung vorstellen könnte, wäre noch interessant wie es damit steht.

Was würdet ihr mir empfehlen für eine Vollverschlüsselung (mit oder ohne Boot, ...) die nicht zu kompliziert ist?
Gibt es auch die Möglichkeit mit einem USB-Stick (Krypto, ...) oder was auch immer ich machen könnte um die Eingabe eines langen und umständlichen Passwortes zu verhindern?
Allerdings wäre das Belegen eines USB Ports auch blöd :lol:
Danke !

Ciao

Celica

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von OrangeJuice » 02.03.2021 21:51:17

Celica hat geschrieben: ↑ zum Beitrag ↑
02.03.2021 20:57:02
Hallo,

ich habe mir ein neues/gebrauchtes ThinkPad X1 Carbon (5. Gen) gekauft, welches hoffentlich diese Woche geliefert wird.
Dieses kommt mit einer etwas ungewöhnlichen CPU daher: i5-6300 und 8GB RAM und 180GB SSD
...
Wie schaut das eigentlich mit der Performance bzgl. Verschlüsselung in Kombi mit obigem Prozessor aus?
Was ich gelesen habe ich das bei den neueren CPUs wohl kein Problem mehr. Ist das richtig?
Die CPU schafft das, sie hat AES-Ni. Bezüglich der Auswahl der CPU, hätte ich eine CPU ohne vPro und TSX gewählt, aber das wird bei Mobilen Geräten bestimmt etwas schwieriger.

Luks2 bei Debian Bullseye hat einen Bug der Probleme mit verschlüsselten Partitionen bereitet.

LUKS2 is incompatible with GRUB's cryptodisk support(Link)

Ich bin den Weg mit Luks1 über Debian Stable NetInstall gegangen und habe dann nach Testing aktualisiert.
Partitionierung /boot unverschlüsselt, LVM mit Luks verschlüsselt und darin dann /home und /. Klappt mit Debian NetInstall sehr gut, wenn man weiß wie man das anlegen muss. Eine Anleitung habe ich nicht parat, aber bei youtube gab es, meine ich, eine brauchbare Anleitung dazu.

Backup von /home würde ich öfter machen, falls doch mal etwas ist.

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 02.03.2021 22:18:05

Ich installiere grundsätzlich mit Stable als Netinstal.
Damit hätte das Problem zum Glück erst einmal nicht.

Ist aber gut zu wissen.
Ich hoffe doch das wenn Bullseye stabile wird der Bug der Vergangenheit angehört.

Backup mache ich mehr oder weniger regelmäßig :mrgreen:.

Was die Auswahl bei gebrauchten Laptops angeht, ist das nicht ganz einfach.
Aber dann passt es doch wenn ich es richtig verstanden habe.
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 02.03.2021 22:21:03

:THX: Dann viel Spaß mit dem X1!

- Festplattenverschlüsselung ohne Passworteingabe :arrow: ad hock fällt mir da Windows mit Bitlocker und TMP ein (mit viel Glück ist das ja alles im Lieferumfang) :wink:

- Nitrokey hat da bestimmt was https://www.nitrokey.com/#comparison müßtest anfragen welcher genau mit LUKS funktioniert

- das Thinkpad unterstützt Biospasswörter Supervisor und Startkennwort möchte man ev. setzen. Das Supervisorp. solltest du aber nicht vergessen

Am praktikabelsten ist meiner Meinung nach LUKS mit Passworteingabe (und man vergisst es nicht wenn man es ab und an eingeben muß).

Ich installiere zur Zeit immer mit dem iso von hier:

https://cdimage.debian.org/cdimage/unof ... d64/bt-cd/

Du wählst im Setup "komplette Platte verschlüsselt" und gut ist. Danach könntest du sofort auf bullseye wechseln.

Wenn du per Hand partitionieren möchtest ist folgende Anleitung gut:

https://ertugrulharman.com/en/2017/09/0 ... ncryption/

Windows nicht beachten ^^

Du brauchst unverschlüsselt /boot (und unverschlüsselt EFI) Rest ist ein LVM im Cryptocontainer.

Mehr weiß ich da auch nicht wirklich.

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 02.03.2021 22:26:49

Celica hat geschrieben: ↑ zum Beitrag ↑
02.03.2021 22:18:05
Ich installiere grundsätzlich mit Stable als Netinstal.
Damit hätte das Problem zum Glück erst einmal nicht.

Ist aber gut zu wissen.
Ich hoffe doch das wenn Bullseye stabile wird der Bug der Vergangenheit angehört.

Backup mache ich mehr oder weniger regelmäßig :mrgreen:.

Was die Auswahl bei gebrauchten Laptops angeht, ist das nicht ganz einfach.
Aber dann passt es doch wenn ich es richtig verstanden habe.
Ja Backup ist immer gut! +1

Ja installiere mt der Buster iso

PS:

/boot nachträglich verschlüsseln habe ich mir schonmal angetan ... aber das würde ich nicht empfehlen ...

Full disk encryption, including _boot Unlocking LUKS devices from GRUB:
https://cryptsetup-team.pages.debian.ne ... -boot.html

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 02.03.2021 22:29:01

OK, nonfree netinstal verwende ich auch.
Funktioniert super.
Wenn ich vollständig und geführt verwende reichen dann die Partitionsgrößen aus?
Kann ich dann immer noch /home als separate Partition auswählen?

Sieht so aus als ob LUKS via LVM vollständig geführt durch die Installationsroutine mit Passwort ein gangbarer Weg wäre.

Wenn Bullseye stabile ist wird das Problem behoben sein bzw. mit dem Upgrade auf Bullseye wurde ich kein Problem haben?
Würde ich aber erst machen wollen wenn es stabile ist.

/Boot wird doch wenn ich automatisch über die Installationsroutine verschlüssel nicht verschlüsselt, oder?

Was macht Windows hier anders?
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 02.03.2021 22:35:20

Ach ja die zu kleine root Partition der Automatik ... stimmt.

Automatisch und -> keine seperate /home umschifft das Problem. Könnte man mit leben.

Code: Alles auswählen

marc@mb:~$ df / -h
Filesystem           Size  Used Avail Use% Mounted on
/dev/mapper/VG-root   33G   16G   17G  49% /
Soviel belegt mein bullseye.

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 02.03.2021 22:47:54

Habt ihr mal hier geschaut: https://curius.de/schwerpunkte/verschl ... luesseln/

Dort wird auf das Problem der zu kleinen root Partition eingegangen.
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 02.03.2021 23:04:22

Windows verdongelt sich mit dem tpm Modul des Mainboards und verlangt wenn sich was ändert den Recoverykey (25 Stellen) ob das wirklich sicher ist - darüber wird gestritten.

Zu den Partitionsgrößen

- wenn Automatik ohne seperates /home (dann ist hinterher nichts zu klein)
- oder du teilst per Hand auf nach den Anleitungen (ich habe z.B. 33GB für / - swap 9 GB bei 8 GB Ram)

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 08:51:25

Oki, Nitrokey wohl erst mal nicht.

Ich probiere mal von Hand nach Anleitung.
Mal schaun wo ich lande.

BIOS und Passwort sicher, macht ja sonst keinen Sinn.
Was gibt es da für Unterschiede?
Danke !

Ciao

Celica

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von schwedenmann » 03.03.2021 09:23:06

Hallo


Zur Entschlüsselung von / ohe manuelle PW kann man das per USB-Stick verwerkstelligen. Außerdem gibt es ein Programm, das man auf einem 2.PC (Server) installiert und der dann dem Client das PW zur Entschlüsselung übergibt .
mfghttps://www.recompile.se/mandos

schwedenmann
Zuletzt geändert von schwedenmann am 03.03.2021 09:47:08, insgesamt 1-mal geändert.

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 09:40:27

OK, ich verstehe das es eine Serverlösung zur Übergabe des Passwortes gibt, richtig?
Interessant!

Also drei Möglichkeiten sehe ich:

Manuelle Eingabe des Passwortes,
USB-stick (auch Nitrokey),
Serverlösung.

Ich werde mich mit der manuellen Eingabe arrangieren :mrgreen:

Für größere unternehmen kann ich mir so etwas nicht vorstellen, aber das Problem habe ich ha nicht.
Danke für denn interessanten Hinweis.

NACHTRAG: Welche Form der Verschlüsselung bietet z.B. Tuxedo für ihre Rechner an?
Das kann doch nix anderes sein, oder?
Danke !

Ciao

Celica

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von OrangeJuice » 03.03.2021 12:26:28

Falls der Laptop irgendwas mit Secureboot zu tun hat, würde ich auf das neue Debian-Image(10.9) warten. Es gibt aktuell wohl ein paar gravierende Fehler in GRUB2.

https://www.debian.org/security/2021/dsa-4867
GRUB2 UEFI SecureBoot vulnerabilities - 2021

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 12:34:18

X1 Carbon 5 Gen ...Secureboot, hmmm ...könnte sein.
Ich nutze Buster 10.80 und das hat funktioniert auf einem ThinkPad T460 mit gleicher CPU. BIOS ist sicherlich unterschiedlich aber der hat auch Secureboot.
Das nutze ich aber nicht.
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 14:15:17

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
03.03.2021 12:26:28
Falls der Laptop irgendwas mit Secureboot zu tun hat, würde ich auf das neue Debian-Image(10.9) warten. Es gibt aktuell wohl ein paar gravierende Fehler in GRUB2.

https://www.debian.org/security/2021/dsa-4867
GRUB2 UEFI SecureBoot vulnerabilities - 2021
Die bisherigen iso(s) funktionieren auch mit secure-boot (ist dann eben bis zum fix nicht ganz so secure... -UEFI :facepalm: )

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 14:23:23

Wenn mich nicht alles täuscht, dann habe ich Secureboot ausgeschaltet.
Ich bin auch der Meinung das ich für UEFI Leagacy eingeschaltet habe.
Mache ich hier schon etwas falsch?

Ich kämpfe gerade mit einer Testinstallation und dem Verschlüsseln von Partitionen.
Neuland :hail:
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 14:40:55

Im Bios kannst du auswählen:

- Legacy Mode (mbr)
- UEFI mit (Secureboot An / Aus)

- both (nicht gut)

Es spricht wenig gegen mbr / bei UEFI hättest du Secureboot als Möglichkeit - wirklich "sicher" ist da aber wenig, siehe die Grubgeschichte ...

Bei neuen Thinkpads kann man die Firmware unter Linux aktuallisieren im UEFI-Mode. Es gibt aber auch iso(s) für nicht UEFI - :roll:

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:01:33

Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch) :facepalm:

Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:16:09

Celica hat geschrieben: ↑ zum Beitrag ↑
03.03.2021 15:01:33
Ich scheitere gerade auf dem Testgerät an der LVM Konfiguration (trotz DEB Handbuch) :facepalm:

Wenn ich mich durch den Installer führen lasse und keine optionale /home anlege, dann habe ich kein Problem mit einer zu kleinen /root Partition, richtig?
Dann habe ich aber eine Partition wo alles drauf liegt.
Ist das gut?
Für mich ist / wäre das o.k. ->

die Automatik bastelt dir /boot (500MB) Encrypted swap (recht klein) und der Rest Encrypted / ca 175 GB +/-

Ich könnte damit leben ...

Colttt
Beiträge: 2983
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Colttt » 03.03.2021 15:18:10

also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
Debian-Nutzer :D

ZABBIX Certified Specialist

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:30:55

Ich bin gerade dabei eine neue Testinstalltion mit vollständig geführter Installation als LVM verschlüsselt durchzuführen.
Dabei gibt es die Option (wie als wenn ich ohne Verschlüsselung und LVM arbeite) /home als zusätzliche Partition zu erzuegen.
Das habe ich gemacht und siehe da, mir wurde ein LVM mit "/" (30 GB), LVM "swap" (1 GB für Netbook), LVM "/home" (88,5 GB) erzeugt.
Alles unter sda5 crypt.
/boot außerhalb des LVM als ext2 mit 510 MB.

Das sieht doch exakt nach dem aus was ich gerne hätte und wo ich an dem LVM gescheitert bin :facepalm:

Also verstehe ich das gerade nicht mit der zu kleinen "/" Partition mit 30 GB.
Kann das so sein?
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:47:48

Das sieht so aus - die Summe müßte aber 180 ergeben, oder ?

30 GB für / ist o.k.

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 15:49:10

Colttt hat geschrieben: ↑ zum Beitrag ↑
03.03.2021 15:18:10
also wenn systemd v248 noch in die nächste Debian version kommt,dann kann man auch LUKS2 verlüsselte sachen mit dem Nitrokey Fido2 nutzen.
http://0pointer.net/blog/unlocking-luks ... d-248.html
Schrill 8O so einen habe ich ! Das wäre top :THX:

Benutzeravatar
Celica
Beiträge: 2145
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von Celica » 03.03.2021 15:53:01

Öh, nö :lol:

/ = 30
/home = 88,5
swap = 1
= 119,5GB exakt das LVM was verschlüsselt ist.

Die fehlenden 500MB sind für /Boot unverschlüsselt.
Ist keine EFI Kiste.
Das passt doch zusammen.

NACHTRAG: Installation durch und mur eine Abfrage beim booten für das LVM.
Perfekt für mich!
Danke !

Ciao

Celica

mcb

Re: Neues Laptop soll Vollverschlüsselung erhalten

Beitrag von mcb » 03.03.2021 16:39:17

Ach so ich dachte die SSD hat 180 - oder bin ich gerad durcheinander ?

Aber sehr schön das alles geklappt hat.

tlp kennst du schon ? https://linrunner.de/tlp/

ib mal ein lsblk im Terminal.

Antworten