Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Passwort"

Kommentar: KDE neon - Wirklich so sicher?

KDE neon ist die KDE Distribution. Das will man nicht ganz offiziell so sagen, weil man die Partner bei den Distributionen nicht verprellen will, aber eigentlich sieht man das so. Hinsichtlich der Sicherheit ist das aber bestenfalls Amateurliga.

KDE neon ist primär ein Produkt der ehemaligen Kubuntu Maintainer (siehe: Kommentar: KDE neon ist kein Ersatz für Kubuntu). Mit dem Wechsel auf die 20.04 Basis hat man den Ubuntu Installer durch Calamares ersetzt. Soweit so gut, Calamares wird auch von vielen anderen Distributionen in Teilen eingesetzt. Aber wehe, man weicht von den Vorgaben ab, dann bekommt man schlimmstenfalls ein komplett unsicheres System.

Wenn man vor ein paar Jahren ein vollverschlüsseltes LUKS-System aufsetzte, blieb die /boot-Partition unverschlüsselt für den Systemstart (siehe: LUKS - Betriebssystem verschlüsseln). Das ist hinsichtlich der Sicherheit nicht komplett optimal, die Angriffsszenarien sind aber speziell und eher für Leute interessant, die befürchten, ihre Geräte könnten im Interesse eines Geheimdienstes stehen. Seit Kurzem unterstützt GRUB2 jetzt auch den Start direkt in eine verschlüsselte Boot-Partition. Das ist theoretisch total super, hat praktisch aber eine Reihe von Nachteilen. Erstens ist es je nach Konfiguration und Hardware furchtbar langsam. Bei meinem Gerät dauerte es 25 Sekunden, bis der Startvorgang begann. Zudem funktioniert nur ein englisches Tastaturlayout und bei einer fehlerhaften Eingabe landet man sofort im Fehlermodus von Grub und muss hart abschalten und neu einschalten. Diese Nachteile überwiegen bei mir die eher theoretischen Sicherheitszugewinne bei Weitem.

Aus diesem Grund habe ich mich für eine weitgehend klassische Partitionierung entschieden. Eine kleine EFI-Partition, eine separate /boot-Partition und dann einen verschlüsseltes LVM mit meinen System und Home-Partitionen. Das funktioniert bei jeder mir bekannten Distribution und ließ sich auch in KDE neon / Calamares problemlos konfigurieren. Beim Abschluss gibt es eine Warnung wegen der unverschlüsselten Boot-Partition, aber ich konnte zu dem Zeitpunkt nicht ahnen, wie ernst es die Entwickler meinen.

Kleine Ironie am Rande: Während die Routine durchlief, zeigt die Installationsroutine von KDE neon eine nette Slideshow, unter anderem mit einem Schloss und dem Verweis, wie sicher die Distribution sei. Zum Schluss kam der obligatorische Neustart. Bei Single-User-Systemen mit LUKS Verschlüsselung wähle ich - soweit möglich - in der Installationsroutine meist den Autologin des Benutzers, weil die Authentifizierung bereits beim Systemstart erfolgt. Dachte ich jedenfalls.

KDE neon startet und ich finde mich auf dem Desktop wieder. Es gibt reproduzierbar keine Passwortabfrage, wenn der LUKS Container eingebunden wird. Ich vermute, dass irgendwo ein Keyfile hinterlegt ist, weil Calamares von einer verschlüsselten /boot-Partition ausgeht. Fakt ist aber ebenso, dass alle anderen Distributionen mit dieser Legacy-Partitionierung korrekt umgehen können. Ich hatte keine wirkliche Lust die Problemursache zu suchen, weil ein solcher Fauxpas bei mir ein grundsätzliches Misstrauen schürt.

Es ist für mich ein Beispiel für "Schuster bleib bei deinen Leisten". Die KDE-Macher sollten sich auf die Entwicklung der Desktopumgebung und Programme konzentrieren und die Distribution den Profis dort überlassen, als selbst eine Distribution mit eklatanten Mängeln zusammen zu stümpern. Dass es anscheinend genau gegenteilige Überlegungen gibt, lässt mich nur den Kopf schütteln. Natürlich gibt es bei KDE neon durch die Kubuntu-Vorgeschichte einen gehörigen Erfahrungsschatz, aber es ist eben was anderes eine komplette Distribution herauszugeben, als "nur" eine Desktopumgebung zu paketieren.


Bilder:

Einleitungs- und Beitragsbild von Gerd Altmann via pixabay

"

Tags: Sicherheit, KDE, Verschlüsselung, LUKS, neon

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Das ganze wird halt ziemlich obskur. Da KDE Neon ja jeweils auf die aktuelle LTS Version von Ubuntu aufbaut.

Und Ubuntu hat hier selber ein Sicherheitsproblem, da die Pakete in Universe und Multiverse so gut wie nicht oder nur sehr selten mit Sicherheitsupdates versorgt werden.

Klar sind es nur theoretische Angrissszenarien, wenn FileZilla (random Beispiel) 2 Jahre alte offene Sicherheitslücken hat - aber die Lücken sind halt da. Wenn man den Fokus so heftig aus Sicherheit legt sollte man das auch vollumfänglich umsetzten - indem man nicht auf Ubuntu LTS ausetzt oder eben Universe, etc selber pflegt.

Gerrit
Zitat :
Das ganze wird halt ziemlich obskur. Da KDE Neon ja jeweils auf die aktuelle LTS Version von Ubuntu aufbaut.

Ich glaube hier eher an ein Problem bei Calamares und das kommt nicht von Ubuntu.

Aber wie schon geschrieben, habe ich das nicht näher analysiert.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius