UEFI Passwort an cryptdm/LUKS weiterreichen

[Mickey Cohen]

Hallo,

gibt es eine möglichkeit, das UEFI-Passwort, das beim booten meines laptops abgefragt wird, an LUKS2/cryptdm weiterzureichen, sodass ich nicht 2x ein passwort eingeben muss?

Laptop: Lenovo IdePad 5 Pro 16 ARH7
OS: Fedora 40, GPT, boot-partition NICHT verschlüsselt, root-partition mit LUKS2/cryptdm verschlüsselt.


Ich möchte erreichen, dass ein dieb im falle eines diebstahls
1. nicht an meine daten kommt und
2. den laptop nicht verwenden kann, wenn er ein neues OS installiert oder die SSD ausbaut.

Deshalb bin ich auch für alternative lösungsvorschläge offen, die genau dies erreichen und möglichst wenig passwort-prompts beim booten verlangen.

Vielen Dank!

 

[BFF]

das UEFI-Passwort, das beim booten meines laptops abgefragt wird, an LUKS2/cryptdm weiterzureichen, sodass ich nicht 2x ein passwort eingeben muss?

1. nicht an meine daten kommt und
2. den laptop nicht verwenden kann, wenn er ein neues OS installiert oder die SSD ausbaut.

Das passt nicht wirklich zusammen.

Wenn Dieb nicht an Daten dann muss verschlüsselt sein.
Laptop nicht verwenden geht nur wenn das vergebene UEFI Passwort nicht zurückgesetzt werden kann.

Das Durchreichen würde in Theorie es dem Dieb einfacher machen.

 

[D.S.i.u.S.]

Mit Systemd homed muss man nur 1x Passwort eingeben. Ich habe aber keine Ahnung, ob man das jetzt schon ohne viel Bastelarbeit einrichten kann.

 

[agon]

das UEFI-Passwort, das beim booten meines laptops abgefragt wird

Warum wird das bei jedem Boot abgefragt?

 

[Mickey Cohen]

@agon weil der dieb sonst einfach die ssd auswechseln könnte und dann einen funktionierenden laptop hätte

 

[agon]

@Mickey Cohen Dann könntest du Secure Boot (SB) mit deinen eigenen Keys einrichten und den Bootloader damit signieren.
Ein UEFI Administrator Passwort (statt User Pw) reicht dann aus.

 

[aluis]

2. den laptop nicht verwenden kann, wenn er ein neues OS installiert oder die SSD ausbaut.

Das ist nicht möglich.

 

[Mickey Cohen]

warum nicht? wie soll er den laptop denn booten, wenn er das uefi password nicht kennt oder ändern kann? (zur klarstellung: das uefi password wird nicht nur abgefragt, wenn man ins uefi menü will, sondern - wie erwähnt - grundsätzlich beim booten.)

edit: soweit ich im internet recherchiert habe, lässt sich das auch nicht durch einen cmos-reset zurücksetzen.

die altruistische idee dahinter ist auch ein bisschen: wenn jeder seine geräte so absichert, macht das diebstähle insgesamt unattraktiver. nennt mich träumer...
auch wenn ich kein freund von apple produkten bin, in DEM punkt haben sie einen großen vorteil: wer ein apple gerät klaut, klaut einen ziegelstein.

 

[Yaakoss]

@Mickey Cohen Dann könntest du Secure Boot (SB) mit deinen eigenen Keys einrichten und den Bootloader damit signieren.
Ein UEFI Administrator Passwort (statt User Pw) reicht dann aus.

Theoretisch schon. Praktisch müsste man noch die vorhandenen MS/Herstellerschlüssel löschen was bei manchen Geräten dazu führen kann, dass sie danach nicht mehr booten weil Hersteller Teile der Firmware mit den Schlüsseln signieren.

Bei meinem Lenovo Yoga 730 war das ok und da gibt es damit keine Probleme.

 

[agon]

@Yaakoss Um ganz sicher zu sein, kann man ja Microsoft Corporation UEFI CA 2011 certificate und Microsoft UEFI CA 2023 einbinden.
Dass man aber die Herstellerkeys benötigt, wäre mir neu. Steht so auch nicht im ArchWiki.

In meinem Arch Linux Guide habe ich übrigens Secure Boot mit eigenen Keys implementiert.

 

[Yaakoss]

@agon ja richtig im ArchWiki steht der Warnhinweis, dass man durch das Austauschen der platform keys die Maschine bricken kann, wenn die Firmware mit denen signiert ist.

Klar ist es machbar und ja ich habe es ja auch bei mir so eingerichtet. Es sollte nur klar sein, dass es nunmal ein Risiko gibt, wenn man nicht sicher ist, ob die Keys gelöscht werden können.


P.S. ja ich kenne dein Guide und finde es gut.

 

[Mickey Cohen]

[edit: dieser post gehört eigentlich in diesem thread. ich lasse den post hier dennoch stehen, weil bereits jemand geantwortet hat.]

ist es möglich, den LUKS2-passwort-prompt, den der (unverschlüsselte) kernel beim booten ausgibt, zeitlich irgendwie nach vorne zu verlagern?

die idee dahinter ist: fürs eingeben des passwortes brauche ich sowieso ein paar sekunden (so ca. 5s). in dieser zeit kann der kernel andere sachen laden/initialisieren.

[edit: also bitte in diesem thread weitermachen, sry, ich bin etwas durcheinander gekommen.]

 

[kieleich]

nein nicht wirklich also die meiste zeit, geht dann fürs starten der services drauf und das kann, bei verschlüsselt root, erst beginnen nach dem du mit luks fertig bist

ansonsten kommt, der passwort prompt, durchs initrams, eigtl schon so früh wie es geht. schneller, ginge dann nur mit keyfiles (yubi stick wo man nur ein knopf drückt oder dergleichen). du sparst die zeit zum tippen, und bei ausreich komplexer passphrase brauchst du auch kein brute force schutz die 2 sekunden rechenzeit die luks normal ins passphrase investiert kann entfallen wenn die passphrase 128 bit oder mehr entropie aufweist

wenn du verschlüsselung wichtig brauchst dann muss es die paar sekunden, einfach wert sein. woe oft startest du neu das sich hier, mikro optimierung lohnt?

 

[Mickey Cohen]

wegen des themas "passwort-prompt zeitlich nach vorne verlagern" bitte in diesem thread weitermachen, sry, ich bin etwas durcheinander gekommen.