Re: Whole Disk Verschlüsselung

Sebastian Gottschalk <seppi@xxxxxxxxx> wrote:

Das ist auch nur eine verfeinerte Variante, die nur gegen passive
Angreifer hilft. Aktive Angreifer starten Knoppix und manipulieren den
Bootloader, sodass er das Passwort bzw. den kryptographischen Schlüssel
nicht nur an die Dechriffierungsroutine weiterleitet, sondern auch in
einen möglichst unbenutzten Teil der Festplatte schreibt.

Dagegen schützt man sich, indem man den Bootloader bei sich trägt, z.B. als
USB-Stick am Schlüsselanhänger. Das schützt dich natürlich immer noch nicht
gegen z.B. Hadwaremässig installierte Keylogger* bzw. gepatchte Firmware,
allerdings legt es die Latte deutlich höher.
Davon abgesehen müsste dazu jemand unbemerkt in deine Wohnung eindringen und
Manipulationen an deiner Hardware vornehmen und dazu auch noch unbemerkt
bleiben. Ich bezweifle doch mal ganz stark, dass auf diese Art erworbene
Beweise vor Gericht zulässig wären - zumindest nicht im Falle von Raubkopien,
das redet dich jeder halbwegs gute Anwalt heraus ("Sie haben Manipulationen am
Rechner meines Klienten vorgenommen? Können Sie uns sagen, welcher Art diese
Manipulationen vorgenommen wurden? Und sie sind sich wirklich sicher, dass
nicht Sie es waren, der die fraglichen Dateien auf den Rechner kopiert hat?
Nein? Können Sie dies Beweisen?").

* Solche Keylogger alleine sind allerdings wirkungslos, wenn der eigentliche
Key auf dem USB Stick liest. Dazu müsstest du den Inhalt des USB Sticks
kopieren. Gehen wir nun mal oBdA. davon aus, dass alle Datenlaufwerke des
Rechners verschlüsselt sind, und dass der User jedesmal beim Booten von
Hand auswählt, dass er von USB Booten möchte. In diesem Falle sehe ich
nur noch zwei realistische Angriffsvektoren:

1) Die Manipulation muss bereits in der Firmware des Rechners erfolgen.
Hier gibt es zwei Möglichkeiten:

a) Den USB Stick kopieren:
Schwer: Das Dateisystem des USB-Sticks kann selbst wieder verschlüsselt
sein. Davon abgesehen muss man dazu ziemlich viel Aufwand treiben:
Man muss zumindest in der Lage sein, die volle Länge eines USB-Sticks
auszulesen - ich bin mir nicht sicher, ob aktuelle Bios Versionen das
können. Es würde mich nicht wundern, wenn die einfach nur den
Boot-Loader auf dem USB-Stick anspringen können.
Zu beachten ist hier, dass du wahrscheinlich relativ wenig Platz auf
dem BIOS-Flash hast - Ich denke mal das wird etwas um die 512 KB sein,
das ist nicht wirklich viel Platz.

Darüber hinaus musst du ein zusätzliches Speichermedium in den Rechner
einbauen, irgendwohin musst du ja die 64, 256... 4 GB des USB
Sticks kopieren und die vorhandenen Festplatten sind ja verschlüsselt,
da kannst du ohne Datenverlust nicht einfach draufschreiben, d.h.
du müsstest selbst einen Datenträger in den Rechner einbauen, und
diesen verstecken. s.U.

b) Versteckt von einem anderen Datenträger booten und dort die obigen
Änderungen implementieren. Dazu müsste man das BIOS so verändern, dass
es dem User vorgauckelt, nach drücken von z.B. F8 von dem USB Stick zu
booten, in Wirklicheit aber z.B. von einer nachträglich installierten
Festplatte booten. Ohne Quellcode des BIOS halte ich es btw. für nahezu
unmöglich, solch eine Modifikation vorzunehmen, zumal du eine genau zum
Board passende Version brauchst, wenn du willst, dass der Rechner
überhaupt noch irgend etwas anderes macht als den Raum in dem er steht
zu beheizen.

Gegen solche Modifikationen kann man sich btw. einfach schützen,
indem man das Gehäuse des Rechners versiegelt. Du kennst sicherlich
dieses 2-Komponentenklebeband, dass auch Hardware-Hersteller als
Garantiesiegel verwenden.

2) Die Manipulation des Users des Rechners: Man verschleppt ihn in ein
ein Land der Wahl (Syrien soll da gerade in sein, habe ich gehört) und
verwendet die Branchenüblichen Methoden, um eine Herausgaben des Keys
zu erzwingen - oder notfalls gleich ein Geständnis. Das dürfte deutlich
billiger sein als obiges Szenario, und jemand der die Möglichkeit hat,
den Bios Hersteller zur Herausgabe des Quellcodes zu zwingen, für den
sind ein paar Schläger und ein Flugzeug kein Problem. Und sind wir mal
ehrlich, in diesem Fall hast du ganz andere Probleme als die paar
Raubkopien auf deinem Rechner.


Was ich damit sagen will? Ich halte verschlüsselte Festplatten mit externem
Boot-Loader momentan für hinreichend sicher.

Gruss Marcel
.

Relevant Pages

  • Re: Fritz!Box Fon mit 2 WinXP-Computern
    ... An eine externe Festplatte denke ich auch in Zukunft. ... Der Rechner MD 97600 hat folgende Schnittstellen: ... 4x USB 2.0, ... Laptop gut zum Laufen gebracht habe, werde ich den Cardreader im ...
    (microsoft.public.de.german.windowsxp.networking)
  • =?ISO-8859-1?Q?Re=3A_Wieder_Inspiron_1300=3A_bluescreen_?= =?ISO-8859-1?Q?beim_boote
    ... Festplatte von meinem Inspiron 1300 in ein USB Festplattengehäuse ... Stecke ich die ... Irgendwo da gibt es auch eine Anleitung wie man ein Windows XP von USB ... booten kann. ...
    (de.comp.sys.notebooks)
  • =?iso-8859-1?Q?Ansto=DFen_der_USB_Hardwareerkennung?=
    ... damit ich den Rechner nicht neu booten muss. ... Wenn mein Rechner bereits lange eingeschalten ist und ich meinen digitalen ... Gibt es einen Befehl, mit dem man die USB Hardwareerkennung anstoßen kann? ...
    (microsoft.public.de.german.win2000.sonstiges)
  • =?ISO-8859-15?Q?Re=3A_Booten_von_zweiter_Festplatte_in?= =?ISO-8859-15?Q?_einem_Vist
    ... ATI SB600) und an einem der Serialatacontroller hängt eine Festplatte ... vom vorheriger Rechner auf einer separaten Festplatte in diesem System ... Rechners über F8 diese Platte als Bootfestplatte vorgegeben. ... Der Rechner beginnt dann auch von dieser Platte zu booten und bricht ...
    (microsoft.public.de.german.windowsxp.sonstiges)
  • Re: BIOS-Eintrag
    ... die Festplatte und die Smartcard. ... > PLattenlaufwerke von der ext. HDD (USB) vollständig wiederherstellen ... Mit dieser CD kann ich booten. ...
    (microsoft.public.de.german.windowsxp.sonstiges)
Loading