Ist Linux-Festplattenverschlüsselung mit nahtloser Benutzererfahrung wie FileVault (macOS) oder BitLocker (Windows) möglich?

2416
JDS

Ich habe einige Lösungen für die Festplattenverschlüsselung (FDE) für Linux-Betriebssysteme gefunden. Speziell habe ich mir Lösungen angesehen, die unter Linux Mint oder Ubuntu funktionieren, da ich dazu neige. Ich bin mir jedoch sicher, dass diese Frage auch für andere Distros gilt.

Ich bin auf der Suche nach einer Full-Disk-Lösung, die für die Benutzererfahrung ebenso nahtlos funktioniert wie mit FileVault unter macOS.

Das FileVault-Erlebnis sieht folgendermaßen aus:

  • FileVault verschlüsselt die gesamte Festplatte. Dies ist ein Ein-Klick-Vorgang im Einstellungsbereich für Sicherheit.
  • FV bietet eine Pre-Boot-Umgebung, in der ein Mac-Äquivalent zu einem Trusted Platform Module freigeschaltet wird (es kann tatsächlich ein TPM sein, aber ich glaube nicht, dass es eines ist). Dies ist das, was die tatsächlich vorhandenen Schlüssel blockiert die Festplattenverschlüsselung
  • Wenn Sie sich anmelden, melden Sie sich tatsächlich in der Pre-Boot-Umgebung an. Dadurch werden die Schlüssel von FV freigegeben. Nur dann ist die Betriebssystemfestplatte entsperrt.
  • Das Kennwort des Betriebssystembenutzers wird mit dem FV-Kennwort synchronisiert. für den Endbenutzer ist dies alles nahtlos (außer in einigen Anwendungsfällen)

Unter Windows arbeitet BitLocker mit dem TPM auf die gleiche Weise wie oben für FileVault beschrieben.

Unter Linux ist jedoch, selbst wenn TPM-Tools installiert sind, für jedes Verschlüsselungsschema für vollständige Festplatten ein Startkennwort zusätzlich zum Login-Benutzernamen und -Passwort erforderlich .

Zum Beispiel dieses (sehr gut geschriebene und detaillierte) Linux Mint-Beispiel:

https://community.linuxmint.com/tutorial/view/2026

In diesem Beispiel (das ist wie eine Million einfach zu flubelnde CLI-Schritte, übrigens), ist FDE erledigt, aber Sie können sehen, dass der Benutzer beim Booten eine Entschlüsselungs-Passphrase in die Grub-Eingabeaufforderung eingeben muss.

Hat jemand diese Nuss für Linux geknackt?

Bedarf

  • Die Benutzererfahrung ist so, dass der Benutzer sein Login und sein Passwort nur einmal eingeben muss
  • Vollständige Festplattenverschlüsselung (einschließlich Bootpartition)
  • (Schön zu haben) Das Setup ist einfach oder zumindest Simple (TM)
3

2 Antworten auf die Frage

1
davidgo

Sie können die Startpartition nicht verschlüsseln, da Sie die Pre-Boot-Umgebung von ihr starten müssen. Das Verschlüsseln der Bootpartition hilft bei nichts.

Bei vielen Standard-Linux-Installationen (einschließlich Ubuntu) können Sie beim Booten "vollständige Festplattenverschlüsselung" auswählen und benötigen kein Grub-Kennwort als Teil der GUI. Dadurch wird die "Pre-Boot" -Umgebung von einer RAM-Platte geladen und diese und LUKS zum Entsperren der Partition verwendet.

Nach dem Booten ist es normalerweise ein zweiter Schritt, um sich als bestimmter Benutzer mit Kennwort anzumelden. Sie können jedoch die automatische Anmeldung an der GUI festlegen . Selbstverständlich ist Ihr System weit offen, wenn Sie sich von Ihrem Computer entfernen und ihn dort lassen.

Anscheinend (aber ich habe es nicht getestet) unterstützt Ubuntu nativ TPM 2.0 . (Ich gebe zu, skeptisch zu sein, dies wird automatisch konfiguriert, aber ich habe es nicht versucht.)

Nein, "automatisches Login" würde niemals in meiner Umgebung fliegen. Was wird in Ihrem zweiten Absatz eigentlich verschlüsselt? dh ist `/ boot` verschlüsselt? JDS vor 7 Jahren 0
/ boot ist nicht verschlüsselt, die Stammpartition jedoch. Ich kann mir nicht vorstellen, dass fde ohne separate Festplattenverschlüsselung und -anmeldung funktioniert, da fde vor dem Betriebssystem stattfinden muss davidgo vor 7 Jahren 0
Ich kann mir vorstellen, wie fde `/ boot` enthält - es heißt" FileVault "oder" Bitlocker ". Danke für die Antworten! JDS vor 7 Jahren 0
@JDS Wenn Sie den Abschnitt "Operation" unter https://en.m.wikipedia.org/wiki/BitLocker aufrufen, werden Sie feststellen, dass der Bootlocker eine Preboot-Umgebung wie / boot benötigt. Filevault hat ebenfalls eine Preboot-Umgebung. Bei allen diesen Programmen erfolgt die Partitionsverschlüsselung, nicht die Verschlüsselung der gesamten Festplatte, auf der sich die Preboot-Umgebung befindet - trotz des Namens. davidgo vor 7 Jahren 1
Toll, danke, ich hätte das selbst lesen sollen. Aus irgendeinem Grund stellte ich fest, dass die Pre-Boot-Umgebung die NTFS-Bootpartition entschlüsselt und von dieser bootete. Ich habe immer noch den Eindruck, dass FV so funktioniert, aber ich habe keine technische Beschreibung von FV gesehen JDS vor 7 Jahren 0
@JDS - das ist genau richtig - die Pre-Boot-Umgebung entschlüsselt die Partition, auf der die meisten Betriebssysteme installiert sind. Dazu ist ein minimaler Teil des Betriebssystems erforderlich, der auf einer nicht verschlüsselten Boot-Partition gespeichert wird. Sobald diese Umgebung das erforderliche Entschlüsselungsvermögen hat, kann das Laufwerk bereitgestellt und übergeben werden, um das Booten des Betriebssystems abzuschließen. (Übrigens, es funktioniert genauso bei Handys) davidgo vor 7 Jahren 0
0
WhoCares

Selbst unter Windows wird die Systempartition (die von Microsoft benannt wurde und für Benutzer nicht sichtbar ist. Verwenden Sie den Datenträger-Manager, um sie anzuzeigen) nicht verschlüsselt. Es muss ein unverschlüsselter Teil vorhanden sein, um die ursprünglichen Startdateien zu laden. Für Linux ist diese Partition / boot

Es gibt ein github-Projekt, das diesen Wunsch erfüllt: https://github.com/fox-it/linux-luks-tpm-boot