Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Leserartikel Ubuntu 23.10 - bringt TPM-unterstützte Festplattenverschlüsselung
- Ersteller kim88
- Erstellt am
Merkmal
Ensign
- Registriert
- Sep. 2021
- Beiträge
- 209
Ich hatte es per Installer versucht, aber die Option kann ich nicht auswählen.
Vielleicht wäre das hier die Lösung? SOLVED - Failed to start TPM2 PCR Machine ID Measurement
Code:
TPM2 PCR Machine ID Measurement was skipped because of an unmet condition check
systemctl status systemd-pcrmachine.service
○ systemd-pcrmachine.service - TPM2 PCR Machine ID Measurement
Loaded: loaded (/lib/systemd/system/systemd-pcrmachine.service; static)
Active: inactive (dead)
Condition: start condition failed at Sat 2023-10-07 15:47:43 CEST; 14min ago
Docs: man:systemd-pcrmachine.service(8)
Okt 07 15:47:43 xyz systemd[1]: systemd-pcrmachine.service - TPM2 PCR Machine ID Measurement was skipped because of an unmet condition check (ConditionPathExists=/sys/firmware/efi/ef
Vielleicht wäre das hier die Lösung? SOLVED - Failed to start TPM2 PCR Machine ID Measurement
Zuletzt bearbeitet:
Merkmal
Ensign
- Registriert
- Sep. 2021
- Beiträge
- 209
Das Image Daily-Live AMD64
Das habe ich auch ausprobiert ubuntu-23.10-beta-desktop-amd64
Komisch ist, dass "fwupdmgr security" bei der Live-Version kein TPM findet, ich habe aber eine aktuelle Ubuntu Installation, dort wird mir TPM2 als "valid" angezeigt.
Das habe ich auch ausprobiert ubuntu-23.10-beta-desktop-amd64
Komisch ist, dass "fwupdmgr security" bei der Live-Version kein TPM findet, ich habe aber eine aktuelle Ubuntu Installation, dort wird mir TPM2 als "valid" angezeigt.
Zuletzt bearbeitet:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Ähhhh..kim88 schrieb:Die nahtlose Kombination von bewährten Sicherheitsstandards mit den fortschrittlichen Funktionen von TPM verspricht eine robustere und zuverlässigere Datenverschlüsselung. Durch das Wegfallen der Notwendigkeit, eine eigene Passphrase festzulegen, und das Vertrauen in die hardwaregestützte Schlüsselgenerierung des TPM, wird nicht nur die Sicherheit erhöht, sondern auch der Prozess der Datenverschlüsselung vereinfacht.
So richtig leuchtet mir das Fazit nicht ein. Das was du bzw. Canonical beschreibt schützt doch nur jene Fälle, wo Laufwerke und das Gerät voneinander getrennt werden. Wird der Computer samt Laufwerk entwendet ist, ist keinerlei Schutzwirkung vorhanden.
Im Vergleich zu einem klassischem Gespann aus SecureBoot und dm-crypt wo die Passworteingabe beim Booten notwendig ist, verringert sich damit die Schutzwirkung eher.
Im Vergleich mit TPM + Hardwareverschlüsselung mit einem Opal fähigem Laufwerk + Secure Boot und Passworteingabe beim Booten ist die Schutzwirkung auch eher geringer.
Es ist ja schön, dass Verschlüsselung genutzt wird, Verschlüsselung ist aber irgendwie immer recht sinnig, wenn die Kontrolle über dem Schlüssel nicht bei den Nutzerinnen bleibt. Bei dem was hier beschrieben ist, liegt die Kontrolle der Schlüssel nur bei der Verfügungsgewalt über dem Gerät, welches das TPM stellt.
##########
Abgesehen davon, hier baut Canonical etwas, was dm-crypt mit LUKS schon kann[1], vermischt es aber mit ihrem snapd, dabei sehe ich bisher nichts, was die neue Lösung besser umsetzt. Einzig, dass es mit dem angepasstem Installer deutlich einfacher wird.
https://wiki.archlinux.org/title/Dm...mple_encrypted_root_with_TPM2_and_Secure_Boot
- Registriert
- Sep. 2016
- Beiträge
- 2.094
@Piktogramm
Es ist ja nicht TPM oder Passphrase man kann auch beides nutzen.
durch TPM hat man aber eine Hardware basierte Sicherheit. Ein Chip zu manipulieren ist komplexer und schwieriger als eine reine Softwarelösung zu manipulieren.
Durch Secure Boot bzw Trusted Boot, wird geprüft ob der Bootloader oder das OS manipuliert wurde und so im Zweifel den Zugriff auf das TPM verweigern.
LUKS Verschlüsselung hat hier viele Nachteile: einerseits ist sie nur so stark wie die Passphrase und die wird wohl in 99.9% schwächer sein als bei einem zufällig generiertem Key im TPM.
LUKS kann man Brute Forcen.
Über Cold Boot Angriffe kann man zumindest in sehr komplexen Angriffszenarien versuchen das LUKS Passwort im RAM auszulesen.
Ka was der Hinweis von Snap soll. Canonical nutzt Snap ist keine Neuheit. Das mittel- und langsfristig alle Pakete gesnapt werden sollen ist ebenfalls ein klares Ziel 🤷♂️
Es ist ja nicht TPM oder Passphrase man kann auch beides nutzen.
durch TPM hat man aber eine Hardware basierte Sicherheit. Ein Chip zu manipulieren ist komplexer und schwieriger als eine reine Softwarelösung zu manipulieren.
Durch Secure Boot bzw Trusted Boot, wird geprüft ob der Bootloader oder das OS manipuliert wurde und so im Zweifel den Zugriff auf das TPM verweigern.
LUKS Verschlüsselung hat hier viele Nachteile: einerseits ist sie nur so stark wie die Passphrase und die wird wohl in 99.9% schwächer sein als bei einem zufällig generiertem Key im TPM.
LUKS kann man Brute Forcen.
Über Cold Boot Angriffe kann man zumindest in sehr komplexen Angriffszenarien versuchen das LUKS Passwort im RAM auszulesen.
Ka was der Hinweis von Snap soll. Canonical nutzt Snap ist keine Neuheit. Das mittel- und langsfristig alle Pakete gesnapt werden sollen ist ebenfalls ein klares Ziel 🤷♂️
Das Thema TPM wurde auch neulich im Podcast Linux Matters in den Folgen Using Two GPUs at Once und Um, Actually besprochen, wenn man da sich akustisch informieren möchte 😁
Den einen oder anderen Host kennt man sicherlich auch aus dem Ubuntu-Umfeld 👍
Den einen oder anderen Host kennt man sicherlich auch aus dem Ubuntu-Umfeld 👍
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Und wenn man ein via TPM geschütztes Passwort für die Firmware setzt, kann man auch gleich zusammen mit Opal fähigen Laufwerken Hardwarecrypto nutzen.kim88 schrieb:Es ist ja nicht TPM oder Passphrase man kann auch beides nutzen.
Zudem weder du, noch Canonical das setzen eines PWs in Firmware beschreibt und sich großzügig darüber ausgeschwiegen wird, welche Lücken sich da auftun.
kim88 schrieb:durch TPM hat man aber eine Hardware basierte Sicherheit. Ein Chip zu manipulieren ist komplexer und schwieriger als eine reine Softwarelösung zu manipulieren.
Durch Secure Boot bzw Trusted Boot, wird geprüft ob der Bootloader oder das OS manipuliert wurde und so im Zweifel den Zugriff auf das TPM verweigern.
Lied nochmal, alle anderen, aktuell üblichen Wege sind mindestens von SecureBoot abhängig. Eben weil sonst Binaries auf dem Datenträger verfälscht werden können.
Können sie wahrscheinlich auch immer noch, wenn man z.B. via USB ein entsprechend signiertes Image lädt.
Sehr schlechte Passwörter helfen nicht. Da hast du recht. Aber bereits mittelprächtige Passwörter sind nahezu nicht knackbar, da muss der Zufall den Angreifenden schon helfen.kim88 schrieb:LUKS Verschlüsselung hat hier viele Nachteile: einerseits ist sie nur so stark wie die Passphrase und die wird wohl in 99.9% schwächer sein als bei einem zufällig generiertem Key im TPM.
LUKS kann man Brute Forcen.
Und "BruteForce"
Bei LUKS kommt PBKDF2 über zehn Runden zum Einsatz. Da kommt man auch mir enormen Ressourcen nicht all zu weit, LUKS2 nutzt Argon2.
Bei dem was Canonical macht, liegen die Schlüssel im Betrieb zwangsweise auch im Ram. Das ist ja ebenfalls Crypto, die über die CPU läuft. An dem Angriffsvektor ändert die neue Lösung halt auch nichts.Über Cold Boot Angriffe kann man zumindest in sehr komplexen Angriffszenarien versuchen das LUKS Passwort im RAM auszulesen.
Und Fairerweise, auch wenn ich Passwortgeschütztes TPM + Opal Laufwerk mit HW-Crypto bevorzuge. Da muss ich auch dazu sagen, dass diese Implementierungen auch schon damit aufgefallen sind, schlampig implementiert zu sein. Also sowohl TPMs, Secure Enclaves der CPU als auch Opal bei den Laufwerken..
Naja, Canonical hat alleinig die Hand auf dem SnapStore, was kritikwürdig ist. Canonical führt ein Sicherheitskonzept ein, was eigentlich nichts besser macht als vorhandene Lösungen, dafür aber von ihrem SnapStore abhängt. Die Entwicklung stinkt mir halt ganz gewaltig.Ka was der Hinweis von Snap soll. Canonical nutzt Snap ist keine Neuheit. Das mittel- und langsfristig alle Pakete gesnapt werden sollen ist ebenfalls ein klares Ziel 🤷♂️
Merkmal
Ensign
- Registriert
- Sep. 2021
- Beiträge
- 209
Ich habe eine Meldung gefunden, allerdings weiß ich nicht, wie ich bei einem Live-USB-Stick den Neustart machen soll.
Und test-snapd-swtpm gibt es nur als beta oder edge, also geht nur "snap install --beta test-snapd-swtpm".
TPM is in DA Lockout Mode
QuelleThis error typically means the TPM has been locked to protect the system against potential dictionary attacks (DA) and the TPM needs to be cleared before the Ubuntu Core installation will proceed.
To clear the TPM on hardware, boot a classic Ubuntu system (such as a live version of Ubuntu 20.04 LTS from USB storage) and run the following command from a terminal:
echo 5 | sudo tee /sys/class/tpm/tpm0/ppi/request
To clear a software TPM, such as the test-snapd-swtpm snap, remove it and re-install it again:
snap remove test-snapd-swtpm --purge; snap install test-snapd-swtpm
Now reboot the problematic system and re-attempt the Ubuntu Core installation, which should continue without error.
Und test-snapd-swtpm gibt es nur als beta oder edge, also geht nur "snap install --beta test-snapd-swtpm".
Zuletzt bearbeitet:
Merkmal
Ensign
- Registriert
- Sep. 2021
- Beiträge
- 209
Ich habe es geschafft. Es scheint wirklich "snap remove test-snapd-swtpm --purge; snap install --beta test-snapd-swtpm" und erneutes laden des Live-Mediums ausgereicht zu haben. Die Installation klappte.
Nur ein paar Fragen habe ich noch.
Welche Passphrase verwendet Ubuntu?
Wie kann man grub boot Parameter einstellen? Sonst habe ich das unter /etc/default/grub gemacht.
Nur ein paar Fragen habe ich noch.
Welche Passphrase verwendet Ubuntu?
Wie kann man grub boot Parameter einstellen? Sonst habe ich das unter /etc/default/grub gemacht.
kim88 schrieb:[…] Linux-Distributionen die Möglichkeiten von TPM nicht nutzen.
Habe mir TPM-FDE eben auch mal gegönnt. Vorher noch über Windows die Firmware von BIOS und TPM und SSD aktualisiert. Am Ende musste ich über das BIOS das TPM bereinigen, weil es Windows 11 automatisch in Beschlag nimmt. Dann durfte ich im Ubuntu-Installer endlich TPM-FDE auswählen. Drei Fragen:Marco01_809 schrieb:Mindestens sollte in Kombination [mit TPM] noch eine PIN verwendet werden.
1. Das mit der „enhanced PIN“ ist Microsoft BitLocker und Dank vieler Anleitungen im Netz einigermaßen klar. Aber auch Canonicals Blog-Artikel schreibt „users who will choose to use a passphrase (in addition to TPM) […]“. Nur wo/wie setze ich das? Das „TPM Owner Password“ dürfte es nicht sein. Oder meint Canonical etwa einfach ein BIOS-Passwort?
2. Wenn ich zwei Festplatten im Computer hätte, eine mit Windows BitLocker und eine mit Ubuntu FDE, wie kann ich beide im TPM ablegen oder muss dann Ubuntu weiterhin LUKS-FDE bleiben?
3. Was bringt mir TPM-FDE eigentlich außer einem Anti-Hammering-Schutz (wenn ich zusätzlich eine PIN nutze); habe ich dadurch irgendeinen Geschwindigkeitsvorteil? BitLocker kann ja anstatt Software-Encryption auch optional Hardware-Beschleunigung über TCG-OPAL nutzen. Soweit ich Canonicals Blog-Post verstehe, scheint der Nutzen bisher allein „[TPM-FDE] provides a lower barrier to enabling encryption“ zu sein.
Wenn irgendwer eine der Fragen beantworten kann … irgendwie habe ich mich verlaufen, denn ich suche mich gerade zu Tode.
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.612
und womit? mit Recht!@mo schrieb:dann feiert eben die Snap Phobie fröhliche Urständ.
foofoobar
Captain
- Registriert
- Dez. 2011
- Beiträge
- 3.555
Wer diese Telefone als trusted Device annimmt dem ist sowieso nicht mehr zu helfen.kim88 schrieb:TPM Paranoia ist eh irgendwie schräg. Ironischerweise höre ich diese Paranoia bei mobilen Systemen wie Android (TEE - Trusted Execution Environment und Hardware-Backed Keystore) oder iPhones (Secure Enclave seit A7-Prozessor) so gut wie nie.
Aber wahrscheinlich setzen Sie sich die Kritiker damit einfach weniger auseinander.
An eine gewöhnliche Linux-Büchse kann und sollte man andere Ansprüche stellen.
Ergänzung ()
Da Secure Boot per Design sowieso ein OS mit Lücken bootet konvergiert der Nutzen gegen Null.kim88 schrieb:Durch Secure Boot bzw Trusted Boot, wird geprüft ob der Bootloader oder das OS manipuliert wurde und so im Zweifel den Zugriff auf das TPM verweigern.
Ergänzung ()
Was kann diese HW im Fall von LUKS konkret besser?kim88 schrieb:durch TPM hat man aber eine Hardware basierte Sicherheit. Ein Chip zu manipulieren ist komplexer und schwieriger als eine reine Softwarelösung zu manipulieren.
Bitte kein Blabla ala Magic Box.
Du hast das Konzept der Passphrase (insbesondere bei LUKS) nicht verstanden, der konkrete Key für den symmetrischen Cipher welcher auf die Daten in den Blöcken der Platte wirkt wird (korrekte Anwendung vorausgesetzt) wird zufällig generiert und durch die Passphrase symmetrisch verschlüsselt im LUKS-Header abgelegt.kim88 schrieb:LUKS Verschlüsselung hat hier viele Nachteile: einerseits ist sie nur so stark wie die Passphrase und die wird wohl in 99.9% schwächer sein als bei einem zufällig generiertem Key im TPM.
Dafür schützt das TPM im Fall von LUKS auch nicht!kim88 schrieb:LUKS kann man Brute Forcen.
Über Cold Boot Angriffe kann man zumindest in sehr komplexen Angriffszenarien versuchen das LUKS Passwort im RAM auszulesen.
Wahrscheinlich kann man sich den Key "einfach" aus /dev/mem abholen.
BTW: Wie sorgt man dafür das ein Feature nicht hinterfragt wird? Man baut eine Box und schreibt ganz fett Security drauf!
Ergänzung ()
Welchen konkreten Anwendungsfall gibt es den im Fall von LUKS dafür?kim88 schrieb:
- Hardware-Speicher für Schlüssel: Schlüssel, die im TPM gespeichert sind, können so konfiguriert werden, dass sie nicht exportiert werden können. Das erhöht die Sicherheit gegen Schlüsseldiebstahl.
Zuletzt bearbeitet:
W
Wochenende
Gast
Secure Boot ist beim PC der einzige Schutz gegen einen manipulierten Bootloader. Man kann es kritisieren, aber nutzlos ist es nicht.foofoobar schrieb:Da Secure Boot per Design sowieso ein OS mit Lücken bootet konvergiert der Nutzen gegen Null.
foofoobar
Captain
- Registriert
- Dez. 2011
- Beiträge
- 3.555
Glitzernagellack auf den Schrauben hilft besser dagegen.Wochenende schrieb:Secure Boot ist beim PC der einzige Schutz gegen einen manipulierten Bootloader. Man kann es kritisieren, aber nutzlos ist es nicht.
Wo kommt eigentlich die Signatur bei Anpassungen der initrd her?
Zuletzt bearbeitet:
W
Wochenende
Gast
Wenn Grub manipuliert wurde, startet der Rechner nicht.AGB-Leser schrieb:Da grub ja mittlerweile auch mit secureboot funktioniert, ist ein manipulierter bootloader (grub) doch schon vorhanden
Welche Signatur? Die initrd hat keine Signatur, das ist ein bekanntes Problem. Ja, jeder kann ein Shellscript reinpacken dass das Passwort abgreift. Da kommt dann TPM ins Spiel. TPM gibt den Schlüssel nur an erlaubte Programme. Das steht auch im Canonical-Artikel auf den sich der OP bezieht. Hat schon alles seinen Sinn.foofoobar schrieb:Wo kommt eigentlich die Signatur bei Anpassungen der initrd her?
https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html
Wollte damit andeuten, dass man mit grub alles starten kann, was man willWochenende schrieb:Wenn Grub manipuliert wurde, startet der Rechner nicht.