ComputerBase Menü
Aktuelles

Leserartikel Ubuntu 23.10 - bringt TPM-unterstützte Festplattenverschlüsselung

kim88

kim88

Lt. Commander
Registriert
Sep. 2016
Beiträge
1.851
Seit Langem lamentiere ich darüber, dass die Linux-Distributionen die Möglichkeiten von TPM nicht nutzen. Nun kündigt Canonical aus dem Nichts an, die FDE (Full-Disk-Encryption) mit Ubuntu 23.10 (vorerst noch experimentell) in Ubuntu Desktop 23.10 zu implementieren.

Was ist FDE?

Die Sicherheit persönlicher und geschäftlicher Daten steht heutzutage im Zentrum vieler technologischer Überlegungen. Unter Linux bietet die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) eine Lösung, um sämtliche Daten auf einer Festplatte vor unbefugtem Zugriff zu schützen.

Dabei werden nicht nur einzelne Dateien oder Partitionen, sondern die gesamte Festplatte, einschließlich des Betriebssystems und aller Systemdateien, verschlüsselt. Wird ein Rechner mit FDE gestartet, so ist vor dem Boot-Vorgang die Eingabe eines Passworts oder Schlüssels erforderlich. Dies stellt sicher, dass ohne die korrekte Authentifizierung kein Zugriff auf die Daten möglich ist.

Tools wie LUKS (Linux Unified Key Setup) sind in der Linux-Welt weit verbreitet, um solch eine Verschlüsselung zu realisieren. Das Ergebnis: Ein deutlich erhöhter Schutz vor Datenverlust oder -diebstahl, selbst wenn die physische Hardware in die falschen Hände gerät.

Was ist TPM?

TPM steht für "Trusted Platform Module". Es handelt sich dabei um einen internationalen Standard für einen sicheren Krypto-Prozessor, der Schlüssel für hardwaregestützte Verschlüsselung erzeugt. Ein TPM ist in der Regel ein eigenständiger Mikrocontroller oder kann in einem anderen Chip integriert sein.

Hier sind einige Hauptmerkmale und Funktionen von TPM:

  • Sichere Schlüsselgenerierung: TPMs können kryptografische Schlüssel erzeugen, sodass diese Schlüssel niemals in nicht verschlüsselter Form außerhalb des TPMs existieren.
  • Hardware-Speicher für Schlüssel: Schlüssel, die im TPM gespeichert sind, können so konfiguriert werden, dass sie nicht exportiert werden können. Das erhöht die Sicherheit gegen Schlüsseldiebstahl.
  • Endorsement Key (EK): Bei der Herstellung wird jedem TPM ein eindeutiger und privater RSA-Schlüssel zugewiesen, bekannt als der Endorsement Key.
  • Speichern und Überprüfen von Plattformmetriken: TPMs können Systemmetriken speichern und sicher überprüfen, um sicherzustellen, dass das System nicht durch Malware oder andere schädliche Änderungen kompromittiert wurde.
  • Integritätsprüfung des Betriebssystems: Mit Hilfe der oben genannten Plattformmetriken kann das TPM bei Systemstart sicherstellen, dass das Betriebssystem und die Startkomponenten nicht verändert wurden.
  • Verschlüsselungsfunktionen: TPMs unterstützen verschiedene kryptografische Funktionen, einschließlich symmetrischer und asymmetrischer Verschlüsselung, Hashing und digitales Signieren.
  • Binden und Versiegeln: Das sind spezielle Funktionen, mit denen Daten an bestimmte Systemzustände gebunden oder versiegelt werden können. Beispielsweise kann ein Schlüssel so versiegelt werden, dass er nur zugänglich ist, wenn bestimmte Softwarekomponenten geladen sind.

Was macht nun Ubuntu 23.10?

Ubuntu hat die Möglichkeit für die TPM-Verschlüsselung nun in die ISO integriert und den Ubuntu Installer angepasst. So sieht das zurzeit aus:

Ubuntu_23.10_TPM_FDE.png


Der Vorteil der TPM-Methode ist, dass man nun keine eigene „Passphrase“ mehr definieren muss, sondern der Schlüssel direkt im TPM generiert und gespeichert wird.

Der Schlüssel beim Booten wird vom TPM nur ausgelesen. Dies ist nur möglich, wenn die Software, die den Schlüssel nutzen möchte, durch Secure Boot entsprechend autorisiert wurde. Daher ja, das System ist nur mit aktiviertem Secure Boot nutzbar.

Optional kann man auch „Passphrase und TPM“ konfigurieren. So werden für die Entschlüsselung zwei Schlüssel benötigt: einerseits der im TPM hinterlegte und andererseits die eigene Passphrase.

Komplett neu ist dieses System im Ubuntu-Universum nicht. Das Produkt „Ubuntu Core“ bietet diese Möglichkeit schon länger an. Und im Grunde nutzt Canonical nun die gleichen Methoden in Ubuntu Desktop wie zuvor in Ubuntu Core.

Das bedeutet ebenfalls, dass Snap zwingend erforderlich ist. Wenn man wählt, dass Ubuntu über TPM verschlüsselt wird, wird der Bootloader und die Kernel-Assets zwingend als Snap installiert.

Fazit

Die Integration von TPM-Unterstützung in Ubuntu 23.10 ist ein deutlicher Schritt nach vorne in Richtung verbesserte Datensicherheit und Benutzerfreundlichkeit.

Die nahtlose Kombination von bewährten Sicherheitsstandards mit den fortschrittlichen Funktionen von TPM verspricht eine robustere und zuverlässigere Datenverschlüsselung. Durch das Wegfallen der Notwendigkeit, eine eigene Passphrase festzulegen, und das Vertrauen in die hardwaregestützte Schlüsselgenerierung des TPM, wird nicht nur die Sicherheit erhöht, sondern auch der Prozess der Datenverschlüsselung vereinfacht.

Canonical zeigt mit dieser Neuerung, dass sie bestrebt sind, stets an vorderster Front der technologischen Entwicklung zu stehen und ihre Benutzer mit den besten und aktuellsten Sicherheitsfunktionen auszustatten. Für alle, die Wert auf Datenschutz und Sicherheit legen, ist Ubuntu 23.10 zweifellos ein interessantes Update, das es zu erwägen gilt.
 
  • Gefällt mir
Reaktionen: grünerbert, frabron, Kaito Kariheddo und 6 andere
Auch wenn ich kein Linux nutze, werde ich auf diesen Beitrag immer mal wieder verweisen, wenn mal wieder TPM-Paranoia hoch kommt.

kim88 schrieb:
Der Schlüssel beim Booten wird vom TPM nur ausgelesen. Dies ist nur möglich, wenn die Software, die den Schlüssel nutzen möchte, durch Secure Boot entsprechend autorisiert wurde. Daher ja, das System ist nur mit aktiviertem Secure Boot nutzbar.
Zum Vergrößern anklicken....
Der Absatz klingt für mich nicht ganz verständlich.
 
Hübsch, das Feature werde ich definitiv verwenden, wenn auch vermutlich erst mit einem Ubuntu 24.04 basieren Linux Mint. Gerade auf Auslandsreisen, wenn der Laptop mal "kurz" bei der Sicherheitskontrolle unbeaufsichtigt ist, macht man sich ja doch seine Gedanken. So natürlich auch, ein Diebstahl ist immer möglich.
Danke für die News!
 
@tollertyp Naja der Satz soll aussagen, dass es nur mit aktiviertem Secure Boot funktioniert. Und daher nur Systeme die einen gültigen Secure Boot Schlüssel haben die Festplatte entschlüsseln können.

TPM Paranoia ist eh irgendwie schräg. Ironischerweise höre ich diese Paranoia bei mobilen Systemen wie Android (TEE - Trusted Execution Environment und Hardware-Backed Keystore) oder iPhones (Secure Enclave seit A7-Prozessor) so gut wie nie.
Aber wahrscheinlich setzen Sie sich die Kritiker damit einfach weniger auseinander.
Ergänzung ()

pseudopseudonym schrieb:
Hübsch, das Feature werde ich definitiv verwenden, wenn auch vermutlich erst mit einem Ubuntu 24.04 basieren Linux Mint.
Zum Vergrößern anklicken....
Da das ganze zwingend Snapd braucht, bezweifle ich das Linux Mint die TPM-Verschlüsselung von Ubuntu übernehmen wird.
 
  • Gefällt mir
Reaktionen: @mo
@kim88 Da kommt mit doch gleich der Kaffee hoch, das habe ich glatt überlesen. Naja, theoretisch sollte das mit Mint schon machbar sein, wenn man da selbst aktiv wird. Ob ich mir dafür Snap antun will, kann ich mir dann noch in einem halben Jahr überlegen.
 
kim88 schrieb:
TPM Paranoia ist eh irgendwie schräg.
Zum Vergrößern anklicken....
wieso paranoia? tpm-implementierungen von verschiedenen herstellern wurden bereits erfolgreich angegriffen - warum sollte man sich darauf verlassen?
 
  • Gefällt mir
Reaktionen: andy_m4, konkretor, sedot und eine weitere Person
kim88 schrieb:
TPM Paranoia ist eh irgendwie schräg. Ironischerweise höre ich diese Paranoia bei mobilen Systemen wie Android (TEE - Trusted Execution Environment und Hardware-Backed Keystore) oder iPhones (Secure Enclave seit A7-Prozessor) so gut wie nie.
Aber wahrscheinlich setzen Sie sich die Kritiker damit einfach weniger auseinander.
Zum Vergrößern anklicken....
Eine News von vielen dazu.
0x8100 schrieb:
wieso paranoia? tpm-implementierungen von verschiedenen herstellern wurden bereits erfolgreich angegriffen - warum sollte man sich darauf verlassen?
Zum Vergrößern anklicken....
Verstehe ich auch nicht. Das ist doch absolut naiv!
Nichts und niemand ist sicher - außer das Passwort dass man sich auf Papier schreibt und danach sofort verbrennt. :)
 
Wenn ich das richtig verstehe, ist das von Linux das Gegenstück zu dem was Microsoft mit Bitlocker schon seit Jahren macht?
 
kim88 schrieb:
Da das ganze zwingend Snapd braucht, bezweifle ich das Linux Mint die TPM-Verschlüsselung von Ubuntu übernehmen wird.
Zum Vergrößern anklicken....
Weshalb das also eigentlich schon wieder unbrauchbar ist. Jetzt weißt Du vielleicht auch, warum Ubuntu den ersten Schritt macht.

Mir wäre wichtig, dass ich einen Nitrokey/Yubikey als Schlüssel nutzen kann, da weiß ich nicht, wie es aussieht.

pseudopseudonym schrieb:
Gerade auf Auslandsreisen, wenn der Laptop mal "kurz" bei der Sicherheitskontrolle unbeaufsichtigt ist, macht man sich ja doch seine Gedanken.
Zum Vergrößern anklicken....
Da sollte man dann das System komplett wieder aufsetzen, wenn es sein muss.
 
AGB-Leser schrieb:
Da sollte man dann das System komplett wieder aufsetzen, wenn es sein muss.
Zum Vergrößern anklicken....
Schin klar, aber das hilft nur gegen's Schreiben.
 
Siehe oben: Wenn der Schlüssel nicht auf der Hauptplatine liegt, dann hilft das auch gegen das lesen. Dann mach dich aber über lokale Gesetze schlau über die Länder, wo Du landest. Kann dir dann durchaus auch Präventivhaft einbringen, Großbritannien hat sowas seit einiger Zeit, soweit ich weiß
 
AGB-Leser schrieb:
Siehe oben: Wenn der Schlüssel nicht auf der Hauptplatine liegt, dann hilft das auch gegen das lesen.
Zum Vergrößern anklicken....
Hä? Ja, TPM hilft gegen das Schreiben und Lesen von Daten. Das von dir erwähnte Neuaufsetzen hilft nur gegen das Schreiben, weswegen ich ordentliche Verschlüsselung auch mit einem anschließenden Neuaufsetzen für eine gute Idee halte.
 
Wenn schon keine TPM Paranoia, dann feiert eben die Snap Phobie fröhliche Urständ. ;)

Ansonsten ist 23.10 natürlich der ideale Einstieg zur Vorbereitung auf die nächste LTS im April.
Ergänzung ()

kim88 schrieb:
Naja der Satz soll aussagen, dass es nur mit aktiviertem Secure Boot funktioniert. Und daher nur Systeme die einen gültigen Secure Boot Schlüssel haben die Festplatte entschlüsseln können.
Zum Vergrößern anklicken....
Womit man bei Mint ggf. schon beim nächsten Problem wäre!
 
  • Gefällt mir
Reaktionen: aragorn92 und kim88
@mo schrieb:
Wenn schon keine TPM Paranoia, dann feiert eben die Snap Phobie fröhliche Urständ. ;)
Zum Vergrößern anklicken....
Phobie ist etwas über trieben, das Feature hier ist schließlich Anlass, zu überlegen, mir den (IMHO!) Mist doch anzutun.

@mo schrieb:
Womit man bei Mint ggf. schon beim nächsten Problem wäre!
Zum Vergrößern anklicken....
Nö, Secure Boot tut unter Mint.
 
kim88 schrieb:
@tollertyp Und daher nur Systeme die einen gültigen Secure Boot Schlüssel haben die Festplatte entschlüsseln können.
Zum Vergrößern anklicken....
Aber es geht auch nicht jedes beliebige OS das Secure Boot-signiert ist. Das OS kann konfigurieren durch welche PCRs ein Key geschützt werden soll. Nur wenn alle PCRs stimmen kommt man an den Keys. Ein PCR ist z.B. der Hash vom BIOS, der Hash vom Bootloader, oder die Secure-Boot-Konfiguration. Wenn sich davon was ändert kann der TPM die Festplatte nicht mehr entschlüsseln.

Dazu habe ich mal ausführlich hier: https://www.computerbase.de/forum/t...chiebung-von-partition.2113866/#post-27524977 was geschrieben.

Welche PCRs Ubuntu hier jetzt konfiguriert weiß ich nicht, aber da das Feature noch experimentiell ist würde ich mich da mal einlesen bevor ich das aktiviere, was ich beachten bzw. unterlassen muss. Auch bei BitLocker erwischt es hier im Forum immer mal wieder Leute die nach Hardware- oder Software-Bastelei plötzlich nicht mehr an ihre Daten kommen weil sie den BitLocker Recovery Key verlegt haben.

EDIT: Bzgl. "TPM-Phobie": Ich würde schon behaupten das eine gute lange Passphrase im Kopf (wie sie in der Praxis natürlich nur Wenige haben) mehr Sicherheit bietet als ein TPM. Mindestens sollte in Kombination noch eine PIN verwendet werden.

TPM ohne PIN, d.h. das Betriebssystem kann nach dem einschalten direkt zum Anmeldescreen durchbooten, schützt NICHT wenn ein Angreifer die Hardware in die Hände bekommt. Das TPM plaudert den Key direkt aus solange die Software passt. Der Key kann dann auf diversen Wegen von Bussen mitgeschnitten oder aus dem RAM ausgelesen werden: https://learn.microsoft.com/en-us/w...rotection/bitlocker/bitlocker-countermeasures
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: sedot
pseudopseudonym schrieb:
Naja, theoretisch sollte das mit Mint schon machbar sein, wenn man da selbst aktiv wird.
Zum Vergrößern anklicken....
Ja, ich denke das ist auch schon jetzt machbar - ist halt einfach ein Gebastel. Da ist "Checkbox in Installer anklicken" um einiges angenehmer.
Lan_Party94 schrieb:
Eine News von vielen dazu.
Zum Vergrößern anklicken....
Klar ist TPM nicht zu 100% sicher. Behauptet auch niemand. Ironischerweise zeigt die News die du verlinkst aber einen Sicherheitsproblem in Bitlocker nicht in TPM. Da hier von Bitlocker Daten in Klartext gesendet wurden.

Am Ende ist eine zusätzliche Schicht. Und jede zusätzliche Schicht macht Angriffe schwieriger und auch weniger lohnenswert.
Rickmer schrieb:
Wenn ich das richtig verstehe, ist das von Linux das Gegenstück zu dem was Microsoft mit Bitlocker schon seit Jahren macht?
Zum Vergrößern anklicken....
Richtig, bzw auch das was MacOS mit FileVault und Android und iPhones seit vielen Jahren per Default machen.
AGB-Leser schrieb:
Mir wäre wichtig, dass ich einen Nitrokey/Yubikey als Schlüssel nutzen kann, da weiß ich nicht, wie es aussieht.
Zum Vergrößern anklicken....
Wurde hier schon erwähnt, das ist jetzt bereits möglich.
@mo schrieb:
Wenn schon keine TPM Paranoia, dann feiert eben die Snap Phobie fröhliche Urständ.
Zum Vergrößern anklicken....
Wie immer ;)
@mo schrieb:
Ansonsten ist 23.10 natürlich der ideale Einstieg zur Vorbereitung auf die nächste LTS im April.
Zum Vergrößern anklicken....
Jo die Frage ist ob "eine Version" reicht um das ganze in 24.04 dann nicht mehr als "experimentell" zu markieren. Die Ubuntu Entwickler rufen jetzt schon zu ausführlichem Testing auf.
Marco01_809 schrieb:
Welche PCRs Ubuntu hier jetzt konfiguriert weiß ich nicht, aber da das Feature noch experimentiell ist würde ich mich da mal einlesen bevor ich das aktiviere, was ich beachten bzw. unterlassen muss.
Zum Vergrößern anklicken....
Das ist richtig und mir auch bewusst. Ich wollte den Artikel aber nicht zu technisch machen und hab bewusst ja auch viel Basis-Wissen erklärt was ist TPM, etc.
Deswegen spricht Canonical richtigerweise auch nicht von einem "Secure Boot System" sondern vom "Verified Boot".
In ihrer Medienmitteilung (hab ich oben im Artikel verlinkt) sagen sie zwar das sie PCR nutzen gehen aber nicht konkret darauf ein welche Richtlinien sie hier konkret benutzen. Vielleicht haben Sie sich da auch noch nicht 100% festgelegt.

Eigentlich wollte ich das ganze kurz in einer virtuellen Maschine testen. Bin aber gerade in den Bergen (Flucht vor der Hitze und so) unterwegs und hab nur mein MacBook mit dem ARM Prozessor dabei. Und wenn ich die ARM's Iso's virtualisiere (ja ich virtualisiere auch TPM) ist die Option im Installer noch nicht verfügbar - scheint zurzeit nur für x86_64 Architektur verfügbar zu sein und die bekomme ich hier nicht sinnvoll virtualisiert.
Marco01_809 schrieb:
Auch bei BitLocker erwischt es hier im Forum immer mal wieder Leute die nach Hardware- oder Software-Bastelei plötzlich nicht mehr an ihre Daten kommen weil sie den BitLocker Recovery Key verlegt haben.
Zum Vergrößern anklicken....
Ja Recovery Keys sollte man immer gut absichern. Gilt auch für 2FA Logins, etc.
 
  • Gefällt mir
Reaktionen: aragorn92
Mit TPM-Paranoria meine ich nicht, dass es potentiell nicht sicher ist - so gut wie nichts ist zu 100% sicher und es ist immer eine Frage der Abwägung von Aufwand und Wert. Ich meine damit eher den Irrglauben, dass TPM dazu da ist die Menschheit zu knechten, sie in die Dunkelheit zu treiben oder so.

Und eben, bei anderen Systemen jucken einen diese Dinge kaum...

Und deinen Beitrag meine ich ja als Argument, dass die Paranoia unbegründet ist.

Und ich bleibe dabei, ich würde diesen Absatz klarer formulieren, vor allem der erste Satz wirkt für mich halt deplaziert:
Der Schlüssel beim Booten wird vom TPM nur ausgelesen. Dies ist nur möglich, wenn die Software, die den Schlüssel nutzen möchte, durch Secure Boot entsprechend autorisiert wurde. Daher ja, das System ist nur mit aktiviertem Secure Boot nutzbar.
Zum Vergrößern anklicken....
Was möchte mir der erste Satz sagen?
 
  • Gefällt mir
Reaktionen: aragorn92
pseudopseudonym schrieb:
Nö, Secure Boot tut unter Mint.
Zum Vergrößern anklicken....
Aber eben nicht offiziell so weit mir bekannt ist! Deshalb "ggf".
Bei solchen "proprietären" Dingen, die man nicht eben aus dem Linux/Ubuntu Baukasten abrufen kann/darf, fährt man halt schon immer so eine "halblegale" Praxis. Wie früher z.B. mit den Codecs.
 
@kim88

Ein deutlicherer Hinweis zum experimentellen Zustand gleich am Anfang deines Beitrags wäre imo angebracht, gerade da du dich scheinbar an unerfahrene Menschen richtest.
Nicht das jetzt jemand ganz naiv installiert, alles wichtige vollverschlüsselt und dann random Datenverlust hat.

As we will be rolling out TPM-backed FDE as an experimental feature starting with Ubuntu 23.10, we invite all early adopters to try it out and share their thoughts. A word of caution resonates here: we strongly advise that you only venture into this feature exclusively with hardware you’re prepared to wipe completely, and to be fully aware of the dangerous risks that come with testing it.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CoMo
Ubuntu 23.10 kein Ton via HDMI
2
Antworten
20
Aufrufe
702
CoMo
CoMo
T
TPM Fehler bei Start HP Omen
Antworten
6
Aufrufe
604
tobi83
T
kim88
  • Artikel
Leserartikel "Desktop Security Center" - neue App von Canonical für Ubuntu
Antworten
1
Aufrufe
656
NameHere
NameHere
schrotti12
[Ubuntu 23.10 Cinnamon] Active Directory Benutzer für Systemänderung
Antworten
2
Aufrufe
705
schrotti12
schrotti12
P
Bitlocker: Datenverlust nach Windows-Neuinstallation?
2
Antworten
21
Aufrufe
885
nutrix
N

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz