Follow

Festplatte unter GNU/Linux mit LUKS verschlüsselt? Hevorragend. Nur was passiert, wenn euch das Notebook jemand klaut, wenn das Gerät noch an ist (aber gesperrt)?

Meine Lösung: Shutdown des Systems nach 3-maliger Falscheingabe des Account-Passworts.

Was ist eure Lösung?

@kuketzblog
Mit jeder Falscheingabe nervtötend laute Sounds abspielen lassen :D
Aber des mit dem 3x Shutdown ist gut... sollte ich heute abend mal einrichten.

@kuketzblog Hey, daran habe ich auch schon häufiger gedacht und dann aber ergebnislos gesucht. Hättest du zu der Lösung einen Hinweis?

@kuketzblog Grundsätzlich angewöhnen den Laptop mit "vlock -a" in einer Konsole zu sperren sobald man auch nur 10 Sekunden nicht darauf aufpassen kann. Und gute Passwörter natürlich.

@kuketzblog Oops, sorry, hätte ein wenig sorgfältiger lesen sollen. Nach 3 Fehlversuchen runterfahren ist in der Tat eine gute zusätzliche Maßnahme.

@kuketzblog Was wäre ein möglicher Angriff auf das gesperrte Gerät?

@mahescho @kuketzblog Mit etwas equipment (aber weniger, als man denkt): Eisspray auf Arbeitsspeicher bis er richtig kalt ist, schnell in ein Forensikgerät tun und Image ziehen. Die Chancen stehen gut, dass du darin das Schlüsselmaterial findest. Wenn der Computer aus geht, geht der State im RAM kaputt und das Schlüsselmaterial wird zerstört. Methode schützt dagegen nicht 100%, aber ist sicher nicht dumm.

@philipp @kuketzblog
Hmmm ... ist das nicht ein wenig theoretisch wenn man nicht dauernd mit NSA und Mossad zutun hat?

@kuketzblog Öhm, welchen Nutzen hat das? Ich kann doch jederzeit die Festplatte ausbauen, mir ein Image vom LUKS-Header ziehen und mein Cluster das Brute-Forcen lassen?!

@KopfKrieg Kannst du sicherlich.

Ich weiß nicht wie du es gelöst hast, aber das LUKS-Passwort ist deutlich länger als mein Login-Passwort für den Nutzer. Von daher finde ich das sinnvoll.

@kuketzblog Ach Mist, ich hatte das falsch verstanden, aber jetzt ergibt das Sinn. Ich dachte Reboot bei dreimaliger, falscher Eingabe des LUKS-Passworts, nicht des Nutzerpassworts.

@kuketzblog Lebensrisiko. Jemand, der physikalischen Zugriff auf ein laufendes Gerät hat, hat sowieso die Oberhand. Das gilt genauso für Desktops/Workstations und in suspend befindliche Geräte.

Das eigentlich Problem ist doch, dass das Luks-Passwort im RAM liegt und dort ausgelesen werden könnte.
Der Laptop müsste eigentlich ein Suspend2Disk machen, wenn falsche Passwort eingaben erfolgen oder zumindest, wenn das Gerät längere Zeit gesperrt online ist.
Ob ein Reboot oder Suspend2Disk reicht um das Luks-Passwort aus dem RAM zu löschen, kann ich nicht beantworten. Ein Reboot wird wohl nicht ausreichen und ein Suspend2Dist vielleicht. Tja...

@kuketzblog
Ein Simples ausloggen, empfand ich noch nie als sicher.

@kuketzblog @CryptGoat Mache ich genau so. Also seit jetzt. Gerade eben. Sobald ich gefunden habe wie das geht. Danke :)

@reticuleena
Restliche Antworten in dem Thread beachten, es gibt Fallstricke!
@kuketzblog

@kuketzblog Meinen sicherheitstechnisch relevanten work laptop schalte ich einfach aus, wenn ich das büro (safe space) mit ihm verlasse. Nervt, aber so is security halt :D

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!