Maximale Sicherheit gegenüber "Einbrechern"

[Thomebau]

Hi,
da ich demnächst ein X60 übrig habe und damit ein wenig herumspielen möchte würde ich die Kiste gerne so sicher machen wie möglich. Damit jemand dem das Gerät in die Finger kommt auf keinen Fall an die darauf befindlichen Daten ran kommt.

Meine Idee soweit (noch in sehr groben Zügen):
- Libreboot
- komplett verschlüsselte HDD
- BIOS Passwörter (jaja, ich weiß die kann man ohne größeren Aufwand umgehen)
- Linux als OS (welches?)
- Thor Browser fürs Internet

Jemand weitere Ideen?

 

[kolja]

Kensington Lock

 

[Arminius]

Installiere dir das OS Tails auf eine SD-Karte, boote nur von dieser und lagere sämtliche Daten auf einem (verschlüsselten) USB-Stick aus.

Willst du das OS Tails auf die HDD bannen, könntest du zuvor noch das Programm gparted auf die SD nachinstallieren, damit dann die HDD in deinem Sinn formatieren und mit dem OS-eigenen Installer loslegen.
Eine 265-AES-LUKS-Verschlüsselung mit einem 23-stelligen Passwort wäre wünschenswert.

 

[SammysHP]

Definitiv jegliche Netzwerkhardware unbrauchbar machen. Du bekommst keine maximale Sicherheit, wenn es während der Laufzeit eine (theoretische) Möglichkeit gibt auf den Rechner zuzugreifen. Außerdem ein zufälliges Tastaturlayout (welches regelmäßig ausgetauscht wird), da jede Taste bzw. der Anschlag anders klingen kann. Somit kann theoretisch mitgehört werden, was du schreibst. Pass auf, dass dir niemand auf die Finger oder den Bildschirm schauen kann. OS nur von einem nicht-beschreibbaren Datenträger booten (= CD/DVD) und keine Festplatte im Gerät lassen ("Rootkit"). Daten auf einem verschlüsselten USB-Stick.

Oder einfach den Ultra-Paranoid-Modus abschalten und eine simple Vollverschlüsselung des Systems nutzen.

 

[Mornsgrans]

Geht einfacher und ganz ohne Aufwand:
Notebook nicht aus den Augen lassen, dann kann auch niemand Unbefugter ran.

 

[Arminius]

Morns, klar ist das eine Option, aber die macht bestimmt nicht soviel Spaß. :thumbsup:

 

[chris1308]

BIOS PW und Libreboot geht schonmal nicht, weil Libreboot keine PW kennt.

 

[Helios]

Eine 265-AES-LUKS-Verschlüsselung mit einem 23-stelligen Passwort wäre wünschenswert.

Wird der Masterkey in LUKS nach wie vor entweder mit random oder urandom erzeugt?

 

[independence]

Tails nutze ich gelegentlich mal zum rumspielen. Ne nette Option wobei das Hauptaugenmerk sicherlich dabei eher auf Anonymität im Netz liegt..

 

[schoerg]

Wird der Masterkey in LUKS nach wie vor entweder mit random oder urandom erzeugt?

Macht keinen großen Unterschied.

 

[Thomebau]

BIOS PW und Libreboot geht schonmal nicht, weil Libreboot keine PW kennt.

Das ist ein Argument...
ein BIOS PW schützt ja im Prinzip eh nur die Hardware und nicht die Daten auf der Platte.

Tails ist mir bereits bekannt, aber auf einer HDD habe ich das noch nie installiert.

Bzgl. Verschlüsselung mit LUKS, kann Libreboot von einer komplett verschlüsselten Platte booten?

 

[SandManTR]

wie wärs mit dieser SSD: https://www.youtube.com/watch?v=GLxaVFBXbCk

Fehlt nur noch eine mini nukleare Kettenreaktion...

 

[cyrax]

Das ist ein Argument...
ein BIOS PW schützt ja im Prinzip eh nur die Hardware und nicht die Daten auf der Platte.

Tails ist mir bereits bekannt, aber auf einer HDD habe ich das noch nie installiert.

Bzgl. Verschlüsselung mit LUKS, kann Libreboot von einer komplett verschlüsselten Platte booten?

Na klar kann/kennt Libreboot Passwörter. Ist es gesetzt ist kein Booten ohne mehr möglich.

Um ein OS zu starten wird keine extra Boot Partition mehr gebraucht, die verwendete Systemplatte kann also 100% verschlüsselt werden.
Ist alles ziemlich gut auf der Seite dokumentiert.

 

[linrunner]

Damit jemand dem das Gerät in die Finger kommt auf keinen Fall an die darauf befindlichen Daten ran kommt.

Für obige Anforderung ist

komplett verschlüsselte HDD

hinreichend. Deine restlichen Punkte bieten keine Vorteile in Bezug auf die Anforderung, sondern machen das ganze nur benutzerunfreundlicher.

Allerdings deckt das keine Evil-Maid-Attacke auf die bei Linux unvermeidlich unverschlüsselte Bootpartition mit dem Kerneln ab. Dafür würde ich ein Prüfsummentool empfehlen: https://github.com/inhies/chkboot

Vollverschlüsselung per Standardinstallation bieten Ubuntu und Debian. Andere sicher auch, aber da hab ich keine Erfahrung.

Installiere dir das OS Tails auf eine SD-Karte, boote nur von dieser und lagere sämtliche Daten auf einem (verschlüsselten) USB-Stick aus.

Den Stick verliert man leichter als ein ganzes ThinkPad.

Wird der Masterkey in LUKS nach wie vor entweder mit random oder urandom erzeugt?

Das ist doch irrelevant für die Erzeugung eines 512-bit-Keys. Der Debian/Ubuntu Default LUKS mit aes-xts-plain64:sha512 und hinreichend entrope Passphrase sind erprobter Stand der Technik.

 

[ThinkX]

Generell würde ich bei Libreboot nur von Dir signierte Kernel booten und das System so einstellen, dass es jeden Kernel nach einem Update mit deinem Schlüssel entsprechend signiert. Auch die Bootpartition kann man dann verschlüsseln.

Mehr geht noch durch Amputation von Schnittstellen etc. wie die Leute vom CCC in einem Spiegel-Artikel beschreiben, sogar für das X60:

http://www.spiegel.de/netzwelt/web/...-laptop-vor-angreifern-schuetzt-a-955702.html

 

[Helios]

Das ist doch irrelevant für die Erzeugung eines 512-bit-Keys. Der Debian/Ubuntu Default LUKS mit aes-xts-plain64:sha512 und hinreichend entrope Passphrase sind erprobter Stand der Technik.

Ging mir auch um etwas ganz anderes. Wären random oder urandom korrupt, wäre auch der generierte Masterkey wertlos.
Irgendwo im Ubuntu-Forum lässt sich nachlesen, dass dies bemängelt wird im Vergleich zur Generierung des Keys mittels TrueCrypt, da dort dieser ja zusätzlich durch den Anwender durch zufällige Mausbewegungen beeinflusst wird und ob sich in dieser Hinsicht etwas getan hat.

Das war der Hintergedanke meiner Frage.

 

[crazyd]

- Thor Browser fürs Internet

SCNR :-D



...aber mal im Ernst:
Warum glaubst du, dass TOR dein TP sicherer macht? Ich denke, eher das Gegenteil ist der Fall.

 

[SammysHP]

Wieso? Bei richtiger Benutzung ist Tor sicher.

 

[fishmac]

Ich sag nur TEMPEST.
Zum Aufwärmen die Dokumente vom BSI.

 

[Arminius]

Hallo Helios,
die Antwort auf deine Frage muss ich dir schuldig bleiben.
Beides sind doch meines Wissens Umgebungen zur Generierung von zufällig aneinandergereihten Ziffern und/oder Buchstaben.
In Verbindung mit deinem Paßwort in der Länge ab acht Zeichen plus X könnte die Verwendung von random/urandom tatsächlich irrelevant sein.


Debian, mein bevorzugtes OS, bietet mir bereits bei der Installation auf die HDD die Option zur Vollverschlüsselung an. Aber das wurde ja auch oben schon erwähnt.
Diese Verschlüsselung fordert mir schon vor dem Bootvorgang ein Passwort ab.

KNOPPIX, welches wie Tails, auch auf Debian basiert, ist eine Live-Distri, die das Tor-Browser-Bundle schon mitbringt, Gnome und KDE-Programme unter einem xfce-Fenstermanager vereint.
Vielleicht wäre das auch noch eine OS-Variante