- Registriert
- 22 Sep. 2007
- Beiträge
- 9.670
Ja, das ist theoretisch ein Nachteil, in der Praxis aber wohl ein eher abstraktes Risiko (zumindest wenn man nicht gerade die NSA o.ä. als Gegner hat). Du meinst vermutlich die Evil Maid Attack, wobei der Angreifer physischen Zugriff auf das System haben muss und das Opfer das System danach erneut nutzen muss, also nichts von der Kompromittierung des Systems erfahren darf. In diesem Fall könnte man aber auch ein SED/"HD-Passwort" aushebeln, nämlich indem man einen Hardware-Keylogger installiert, anstatt dass man die unverschlüsselte Boot-Partition manipuliert. Was ich damit sagen will ist, dass auch ein SED/"HD-Passwort" bei entsprechend konstruierten Szenarien (Evil Maid Attack) keine absolute Sicherheit bieten kann.Ah, ok. LUKS/VeraCrypt/etc. greifen erst, nachdem das System von eine unverschlüsselten Bootumgebung gebootet hat. Ergo kann der Angreifer den unverschlüsselte Teil (z.B. initrd ...) ohne dein Wissen ändern und erhält (zeitversetzt) Zugriff auf deine verschlüsselten Daten - Howtos dazu finden sich im Netz. Ein HD-Password verhindern die Modifikation des unverschlüsselten Bereiches, ergo bietet es mehr Sicherheit.
Da stimme ich dir wohl zu - allerdings nur unter zwei Prämissen:Wer den HD-Passwortschutz umgehen kann, für den sind LUKS/VeraCrypt auch kein Hindernis.
a) mit "HD-Passwortschutz" meinst du eine Hardware-basierte FDE (aka ein SED) und nicht nur das einfache (Hard Disk) ATA-Passwort
b) der Hersteller des SED bzw. der Entwickler dessen Firmware ist vertrauenswürdig und hat keine Backdoor oder Bugs eingebaut
Das schützt also theoretisch dagegen, dass z.B. jemand ein OS von einem Stick oder einer externen HDD an dem Rechner booten kann. Wobei ihm das bei einem vollverschlüsselten System ja ohnehin nicht wirklich etwas bringt - oder?Ich meine, Power-On Password heißt, dass man bei jedem Start des Laptops ein PW eingeben muss, also schon vor dem Bootloader, das jedoch unabhängig von einem Hard Disk-Passwort. Also PW bei jedem Hochfahren nötig, Harddisk bei Ausbau/Klau jedoch nicht gesichert (zumindest nicht mit HD-Passwort aus BIOS).
Und wie sicher ist das Power-On Password überhaupt? Man liest häufig, dass sich das sehr leicht umgehen lässt, z.B. indem man die BIOS-Batterie eine Weile abzieht.
Okay, das macht Sinn. Das ist aber im Hinblick auf einen höheren oder zusätzlichen Schutz der bereits vollverschlüsselten Daten doch eigentlich auch nicht relevant - oder?Lock UEFI BIOS Settings soll wohl Veränderungen der UEFI-Einstellungen z.B. aus dem laufenden OS heraus oder gar einer Installation heraus verhindern. Ich z.B. hatte es in meinem paranoiden Sicherheitswahn gesetzt und nach der Linux-Installation (neben Windows) stundenlang gewundert, warum der GRUB-Loader nicht als Bootoption erschien! Irgendwann drauf gekommen, die Option im BIOS abgewählt, GRUB neu installiert und dann ging es.
Das würde mich auch interessieren.Btw: Das mit dem Hard Disk-Passwort war mir auch immer nicht ganz klar: Bedeutet das tatsächlich eine Verschlüsselung der gesamten Festplatte? Und wenn ja, welches Verfahren wird da eingesetzt? Funktioniert das (optional oder gar ausschließlich) mittels TPM-Chip? Bei mir war beispielsweise der TPM anfangs als inaktiv markiert, habe ihn nicht manuell aktiviert, war aber dann aktiv. Ist das durch setzten des Supervisor-Passwords und Setzen einiger PW-Optionen passiert?
Meine Threorie ist, dass das Hard Disk Password zunächst "nur" das ATA-Passwort ist (?), also die Daten nicht verschlüsselt werden und das PW im Zweifelsfall vergleichsweise leicht zu knacken bzw. zu umgehen ist.
Erst wenn ein SED verbaut wird, könnte das Hard Disk Password die integrierte Hardware-Verschlüsselung aktivieren, was dann (das nötige Vertrauen gegenüber dem Hersteller vorausgesetzt) ziemlich sicher wäre.
Kann das jemand so bestätigen oder dementieren? Und falls das so nicht stimmt: Wie wird dann bei einem SED die Verschlüsselung aktiviert?
Das wäre dann das ATA-Passwort wie oben beschrieben.Hard Disk-Passwort (im BIOS gesetzt) verschlüsselt gar nix. Das sperrt "nur" den Zugriff auf die HDD. Auch in jedem anderen Computer/Laptop.
Verschlüsselung über Betriebssystem verschlüsselt dann tatsächlich alle Dateien. An Fremdrechner mit bekannten Passwort ist auch Zugriff möglich.
TPM spielt glaub nur im ersten Fall eine Rolle (Kontrolle HDD <-> Rechner).
Wann bzw. wofür genau der TPM zum Einsatz kommt (oder auch nicht), ist mir allerdings auch noch nicht ganz klar.