Benötige ich ein Schlüsselbundkennwort auf einem luks-verschlüsselten Einzelbenutzer-Computer?

515
x3ro

Der Titel sagt alles, lasst mich aber noch ein wenig erweitern:

Ich frage mich, wie das Schlüsselringkennwort meine Schlüssel schützt. Sicher, es verschlüsselt die Container-Datei, sodass niemand anders darauf zugreifen kann. Es wird jedoch auch entschlüsselt, nachdem ich mein Schlüsselbundkennwort angegeben habe. Tatsächlich könnten die Schlüssel, während ich angemeldet bin, von einer bösartigen App gestohlen werden (zumindest eine App mit Root-Berechtigungen sollte dies können).

Natürlich weiß ich, dass die Schlüsseldatei nach der Eingabe des Kennworts nicht durch eine entschlüsselte Version ersetzt wird, sondern sie muss im Speicher entschlüsselt werden.

Die Frage ist: Können schädliche Apps auf Daten in meinem Schlüsselbund zugreifen, während sie entschlüsselt werden? Wenn ja, benötige ich sogar ein Kennwort für meinen Schlüsselbund, wenn meine Festplatte bereits verschlüsselt ist und ich der einzige bin, der meinen Computer verwendet?

Und wenn ein Passwort sicherer wäre, kann es nach dem Login mit meinem Account-Passwort (oder so) automatisch entsperrt werden?

(Ich verwende keinen Anmeldungsmanager, ich starte automatisch i3wm, nachdem ich mich über TTY angemeldet habe, wäre das automatische Entsperren auch für dieses Setup möglich?)

0

1 Antwort auf die Frage

0
grawity

Können bösartige Apps auf Daten in meinem Schlüsselbund zugreifen, während sie entschlüsselt werden?

In der Praxis (derzeit) können sie das ja. Das aktuelle Design (oder das Fehlen davon) von Benutzersitzungen in Linux macht es dem gnome-keyring-daemon schwer zu bestimmen, welches Programm darauf zugreift. Dies ist in gewissem Umfang für kompilierte Programme möglich, aber z. B. ist jede in Python geschriebene App nicht von jeder anderen in Python geschriebenen App zu unterscheiden. Obwohl gnome-keyring zunächst eine Anwendungs-Whitelist hatte, ist dies bei aktuellen Versionen nicht mehr der Fall.

Letztendlich sollte dies durch App-Container-Projekte wie Snap oder Flatpak verbessert werden.

Wenn ja, benötige ich sogar ein Kennwort für meinen Schlüsselbund, wenn meine Festplatte bereits verschlüsselt ist und ich der einzige bin, der meinen Computer verwendet?

Ich würde ja sagen

Wie oben erwähnt, kann jedes Programm einfach eine D-Bus-Nachricht senden und den gnome-keyring-daemon nach einem Geheimnis fragen. (In manchen Fällen funktioniert es sogar als Funktion.)

Es gibt jedoch eine Reihe von Sicherheitslücken, in denen ein verwundbares Programm (z. B. ein Webbrowser) zum Stehlen Ihrer Dateien verwendet werden kann, obwohl es immer noch keine Möglichkeit gibt, Befehle auszuführen oder D-Bus-Nachrichten zu senden. Es ist bekannt, dass Malware unverschlüsselte SSH-Schlüssel ( ~/.ssh/id_rsa) oder Bitcoin Core-Geldbörsen stiehlt .

Auf dieselbe Weise besteht bei Nicht-Verschlüsselung die ~/.local/share/keyrings/login.keyringGefahr, dass Sie durch Exploits von Webbrowsern gestohlen werden.

(Ich verwende keinen Anmeldungsmanager, ich starte automatisch i3wm, nachdem ich mich über TTY angemeldet habe, wäre das automatische Entsperren auch für dieses Setup möglich?)

Das automatische Entsperren des Gnome-Keyrings erfolgt in allen Fällen über PAM. Ein genanntes Modul pam_gnome_keyring.soerhält Ihr Kennwort als Teil des Anmeldeprozesses und startet den ersten Schlüsselringdämon.

Das PAM-Modul sollte überall dort hinzugefügt werden /etc/pam.d, wo Ihre Linux-Distribution normalerweise allgemeine Module hinzufügt, oder nur zu der loginDatei (speziell für Konsolen- und Telnet-Anmeldungen).

In der Auth-Gruppe (im Block "Additional" im Debian-Stil common-auth; als letztes Modul ansonsten) wird das Kennwort im Speicher abgelegt:

[...] auth optional pam_gnome_keyring.so only_if=login

In der Session-Gruppe (wiederum "Additional" -Block für Debian, ansonsten letztes Modul) wird das gnome-keyring-daemon mit dem gespeicherten Passwort gestartet :

[...] session optional pam_gnome_keyring.so only_if=login auto_start
Danke, tolle Antwort! Ich habe endlich Zeit gefunden, um herumzuspielen und es scheint zu funktionieren (zumindest werde ich nach dem Login nicht nach einem Schlüsselring-Passwort gefragt). Ich bin auf Arch Linux, also habe ich die Anweisungen im [ArchWiki] befolgt (https://wiki.archlinux.org/index.php/GNOME/Keyring#Using_the_keyring_outside_GNOME). x3ro vor 6 Jahren 0
Leider ist Evolution Mail die einzige App, die den Schlüsselbund verwendet, und das Passwort wird aus irgendeinem Grund nicht gespeichert. Vor meinen Änderungen wurde immer nach dem Passwort gefragt (nach dem Schlaf oder so), aber das Passwort wurde bereits eingefügt (obwohl ich es in Seahorse nicht sehen konnte). Nach meinen Änderungen ist das Passwortfeld leer (und ich kann es immer noch nicht in Seahorse sehen). Es scheint einen [Bug] (https://bugs.launchpad.net/ubuntu/+source/evolution/+bug/1299604) in Evolution zu geben, obwohl ... ich muss das untersuchen. x3ro vor 6 Jahren 0

Verwandte Probleme