Pläne von openSUSE für Vollverschlüsselung

Vor wenigen Tagen erschien im Blog von openSUSE ein Beitrag mit den Plänen zur Vollverschlüsselung bei openSUSE Tumbleweed und openSUSE MicroOS. Die Entwicklung geht eindeutig in Richtung von TPM und/oder FIDO.

Hintergrund

Die klassische Vollverschlüsselung unter Linux bedeutet, dass bei der Installation ein LUKS-verschlüsselter LVM angelegt wird, der eine oder mehrere Partitionen enthält. GRUB2 kann verschlüsselte LVMs unter bestimmten Bedingungen entsperren. Wenn man andere Bootloader verwendet oder GRUB nicht vertraut, sollte man zusätzlich eine unverschlüsselte Bootpartition anlegen. Beim Systemstart erfolgt dann eine Passwortabfrage und meistens wird der Benutzer dann auf Autologin gesetzt, damit es keine doppelte Passwortabfrage gibt. Das ist nicht schlecht und war bis vor ca. 10 Jahren auch systemübergreifend State of the Art.

Das System ist bewährt (und Linux-Anwender sind oft alt, konservativ und halten an bewährten Lösungen fest), aber nicht mehr ganz zeitgemäß. Das fängt damit an, dass LUKS eigentlich nie einem Audit unterzogen wurde, veraltete Konfigurationen unsicher sein können, ein verifiziertes Booten eigentlich nicht vorgesehen ist und LUKS nicht einmal gegen Bruteforce-Angriffe geschützt ist. Das sind alles keine abwegigen Themen, sondern iOS, Android, Windows, macOS – alle diese Systeme haben bereits verschiedene Schutzmaßnahmen implementiert.

Eine häufige Antwort auf all diese Ambitionen ist, dass der normale Nutzer das nicht braucht. Darauf gibt es eigentlich nur zwei Antworten.

1. Eigentlich braucht der “normale Anwender” auch keine Verschlüsselung. Der stationäre Laptop oder PC ist keiner Bedrohung ausgesetzt. Einbrecher schlachten zu 99 % das System aus und sind nicht an Daten interessiert.
2. Die Orientierung am vermuteten Bedarf von “normalen Anwendern” bedeutet eine Selbstinfantilisierung von Linux und nimmt das System für alle professionellen Szenarien proaktiv aus dem Rennen. Das freut vor allem Microsoft, die im Business-Umfeld immer noch die Nase vorn haben.

Pläne bei openSUSE

Die Pläne von openSUSE haben zwei Aspekte. Zum einen soll GRUB durch systemd-boot ersetzt werden. GRUB ist überladen und laut openSUSE werden derzeit 200 Patches benötigt, um GRUB für die Nutzer verfügbar zu machen. Eigentlich ist GRUB sowieso völlig überflüssig, da moderne EFI-Systeme einen solchen Bootloader nicht benötigen. Außerdem arbeiten Red Hat und SUSE am sogenannten Unified Kernel, der dann auch wieder Anpassungen benötigt. Systemd-Boot kann damit bereits umgehen. Damit systemd-boot aber mit dem SUSE-spezifischen Setup aus Btrfs und Snapper klarkommt, sind einige Anpassungen notwendig.

Für den weiteren Ablauf möchte man eine Lösung adaptieren, die ich hier schon beschrieben habe. Kernel und initrd sollen im ESP abgelegt werden und die Freischaltung soll über TPM2 oder FIDO2 (mit optionaler PIN) auf Basis von systemd-cryptsetup erfolgen. Ziel ist es, dem Fernziel einer vollständig verifizierten Bootkette näher zu kommen.

Ausblick

Kurzfristig ist es gut, dass openSUSE auf GRUB verzichten und stattdessen aktiv systemd-boot anbieten will. Das dürfte vielen Anwendern das Leben erleichtern.

Mittel- bis langfristig sind die Ambitionen aus dem systemd-Umfeld, von Red Hat und nun auch SUSE zu begrüßen, Komponenten wie TPM oder FIDO2 in die Linux-Verschlüsselung zu integrieren und einen verifizierten Systemstart als Ziel anzustreben. Canonical hat die gleichen Ambitionen, setzt aber auf eine andere Implementierung.

Jenseits der großen Enterprise-Distributionen und ihrer Community-Varianten lässt sich z.B. auch mit Arch Linux in dieser Hinsicht viel erreichen, da vor allem Red Hat und SUSE ihre Änderungen upstream einbringen. Nur mit Debian scheint noch nichts zu gehen, da initramfs nichts davon unterstützt. Aber das passt auch irgendwie in das Gesamtbild, das Debian zur Zeit abgibt.