Vor wenigen Tagen erschien im Blog von openSUSE ein Beitrag mit den Plänen zur Vollverschlüsselung bei openSUSE Tumbleweed und openSUSE MicroOS. Die Entwicklung geht eindeutig in Richtung von TPM und/oder FIDO.
Hintergrund
Die klassische Vollverschlüsselung unter Linux bedeutet, dass bei der Installation ein LUKS-verschlüsselter LVM angelegt wird, der eine oder mehrere Partitionen enthält. GRUB2 kann verschlüsselte LVMs unter bestimmten Bedingungen entsperren. Wenn man andere Bootloader verwendet oder GRUB nicht vertraut, sollte man zusätzlich eine unverschlüsselte Bootpartition anlegen. Beim Systemstart erfolgt dann eine Passwortabfrage und meistens wird der Benutzer dann auf Autologin gesetzt, damit es keine doppelte Passwortabfrage gibt. Das ist nicht schlecht und war bis vor ca. 10 Jahren auch systemübergreifend State of the Art.
Das System ist bewährt (und Linux-Anwender sind oft alt, konservativ und halten an bewährten Lösungen fest), aber nicht mehr ganz zeitgemäß. Das fängt damit an, dass LUKS eigentlich nie einem Audit unterzogen wurde, veraltete Konfigurationen unsicher sein können, ein verifiziertes Booten eigentlich nicht vorgesehen ist und LUKS nicht einmal gegen Bruteforce-Angriffe geschützt ist. Das sind alles keine abwegigen Themen, sondern iOS, Android, Windows, macOS – alle diese Systeme haben bereits verschiedene Schutzmaßnahmen implementiert.
Eine häufige Antwort auf all diese Ambitionen ist, dass der normale Nutzer das nicht braucht. Darauf gibt es eigentlich nur zwei Antworten.
- Eigentlich braucht der „normale Anwender“ auch keine Verschlüsselung. Der stationäre Laptop oder PC ist keiner Bedrohung ausgesetzt. Einbrecher schlachten zu 99 % das System aus und sind nicht an Daten interessiert.
- Die Orientierung am vermuteten Bedarf von „normalen Anwendern“ bedeutet eine Selbstinfantilisierung von Linux und nimmt das System für alle professionellen Szenarien proaktiv aus dem Rennen. Das freut vor allem Microsoft, die im Business-Umfeld immer noch die Nase vorn haben.
Pläne bei openSUSE
Die Pläne von openSUSE haben zwei Aspekte. Zum einen soll GRUB durch systemd-boot ersetzt werden. GRUB ist überladen und laut openSUSE werden derzeit 200 Patches benötigt, um GRUB für die Nutzer verfügbar zu machen. Eigentlich ist GRUB sowieso völlig überflüssig, da moderne EFI-Systeme einen solchen Bootloader nicht benötigen. Außerdem arbeiten Red Hat und SUSE am sogenannten Unified Kernel, der dann auch wieder Anpassungen benötigt. Systemd-Boot kann damit bereits umgehen. Damit systemd-boot aber mit dem SUSE-spezifischen Setup aus Btrfs und Snapper klarkommt, sind einige Anpassungen notwendig.
Für den weiteren Ablauf möchte man eine Lösung adaptieren, die ich hier schon beschrieben habe. Kernel und initrd sollen im ESP abgelegt werden und die Freischaltung soll über TPM2 oder FIDO2 (mit optionaler PIN) auf Basis von systemd-cryptsetup erfolgen. Ziel ist es, dem Fernziel einer vollständig verifizierten Bootkette näher zu kommen.
Ausblick
Kurzfristig ist es gut, dass openSUSE auf GRUB verzichten und stattdessen aktiv systemd-boot anbieten will. Das dürfte vielen Anwendern das Leben erleichtern.
Mittel- bis langfristig sind die Ambitionen aus dem systemd-Umfeld, von Red Hat und nun auch SUSE zu begrüßen, Komponenten wie TPM oder FIDO2 in die Linux-Verschlüsselung zu integrieren und einen verifizierten Systemstart als Ziel anzustreben. Canonical hat die gleichen Ambitionen, setzt aber auf eine andere Implementierung.
Jenseits der großen Enterprise-Distributionen und ihrer Community-Varianten lässt sich z.B. auch mit Arch Linux in dieser Hinsicht viel erreichen, da vor allem Red Hat und SUSE ihre Änderungen upstream einbringen. Nur mit Debian scheint noch nichts zu gehen, da initramfs nichts davon unterstützt. Aber das passt auch irgendwie in das Gesamtbild, das Debian zur Zeit abgibt.
Was gibt denn Debian für ein Gesamtbild zur Zeit ab? Soviel Negatives habe ich in letzter Zeit nicht mitbekommen. Gut, dass sie nicht die Speerspitze der neuesten Entwicklungen sind, ist ja bekannt.
Generell habe ich dann schon eher ein Problem, wenn an meinem Mainboard nach 2 Jahren bereits kein UEFI-Update für Sicherheitslücken mehr kommt und auch an der Hardware (mangels TPM) schon scheitert.
Da sind für mich dann aber Dinge, wie sie Nitrokey anbietet, schon interessant.
Ich ich gebe Dir grundsätzlich Recht, da muss sich Linux noch strecken, um bei dem Thema aufschließen zu können. Weil mit dem TPM, was bei Windows 11 gefordert ist, ist es ja nicht nur Schikane, sondern macht auch Sinn.