Mit ubuntu festplatte auslesen wenn verschlüelt

Welche gesellschaftliche Herausforderung adressiert euer Prototyp?

Notebookfestplatten werden häufig verschlüsselt, um ihre Daten gegen physischen Diebstahl zu schützen. Bei Linux-Systemen ist dieser Schutz bisher nur sichergestelt, während das Gerät vollständig heruntergefahren ist. In der Realität ist das bei Notebooks heute selten der Fall. Im Rahmen des Projekts soll daher die größte unkommerzielle Linux-Distribution Debian so erweitert werden, dass das einfache Schließen des Notebookdisplays zum Schutz vor physischem Zugriff führt. Nutzer*innen werden dann beim Öffnen des Gerätes erneut nach ihrem Festplattenpasswort gefragt. (Die Erweiterung wird auch bekannten Debian-Derivaten wie Ubuntu, Tails oder Linux Mint zugute kommen.)
Gerade Menschen, deren Daten besonders geschützt werden müssen (dazu gehören weltweit Journalist*innen, Aktivist*innen und oppositionelle Politiker*innen), nutzen häufig Linux-Laptops. Die Sicherheit ihrer Daten ist gefährdet, wenn ihre Laptops im Ruhezustand in die falschen Hände fallen – etwa in die von Grenzbehörden, Geheimdiensten oder politischen Verfolger*innen. Diese Angreifer*innen könnten dann mit etwas Aufwand sämtliche Daten der Betroffenen aus dem Gerät auslesen.

Inhaltsverzeichnis Show

Welche gesellschaftliche Herausforderung adressiert euer Prototyp?
Wie löst euer Projekt das Problem?
An wen richtet sich euer Tool?

Wie löst euer Projekt das Problem?

Mit diesem Projekt soll die Sicherheit der Daten von Linux-Laptops mit Festplattenverschlüsselung erhöht werden, indem verschlüsselte Festplatten beim Eintritt in den Ruhezustand gesperrt werden.
Daher soll die größte unkommerzielle Linux-Distribution Debian so erweitert werden, dass auch hier das einfache Schließen des Notebookdisplays zum Schutz vor physischem Zugriff führt.
Die Erweiterung wird auch bekannten Debian-Derivaten wie Ubuntu, Tails oder Linux Mint zugute kommen.
Im Rahmen des Projekts soll eine Lösung entwickelt werden, die das Verschlüsselungsgeheimnis und ggf. weitere sensible Daten aus dem RAM entfernt, bevor der Rechner in den Ruhezustand geschickt wird. Dazu wird die bereits bestehende Funktion ‚luksSuspend‘ der Software ‚cryptsetup‘ verwendet. Um so genannte Race Conditions zu vermeiden, muss die Suspend-Funkion des Linux-Kernels angepasst werden.
Diese Änderung wird mit den Linux Kernel Entwickler*innen und den Betreuer*innen des Linux Kernels in Debian diskutiert und verfeinert.Um ein vollständig verschlüsseltes System wieder aus dem Ruhezustand aufwecken zu können, muss vor dem Ruhezustand eine chroot-Umgebung im RAM des Computers abgelegt werden, welche die nötigen Software-Komponenten zum Entsperren der Festplatte enthält.
Die entwickelte Lösung soll in Debian integriert und über die Gnome Systemeinstellungen konfigurierbar gemacht werden.

An wen richtet sich euer Tool?

Zielgruppe sind insbesondere Menschen, die Ihre Daten vor gezielten physikalischen Angriffen schützen müssen – also Journalist*innen,Aktivist*innen und oppositionelle Politiker*innen in aller Welt.
Desweiteren profitieren Nutzer*innen von Festplattenverschlüsselung auf Linux-Laptops allgemein, da ihre Daten im Ruhezustand besser geschützt sind. Da die Lösung in Debian implementiert wird, wird sie mittelfristig alle Nutzer*innen von Debian-Derivaten (etwa Ubuntu, Tails, Linux Mint) erreichen, sobald diese auf eine aktuelle Version ihres Betriebssystems aktualisieren.

Anleitung: Debian und Ubuntu verschlüsselt neben Windows installieren
Debian installieren
Logical Volume Manager konfigurieren
Ubuntu per Hand installieren
LVM einrichten
Nacharbeiten
Zeitanzeige korrekt einrichten
Fazit

Artikel in c't 18/2022 lesen

Verschlüsselte Betriebssysteminstallationen gehören heute zum guten Ton, so gelangen selbst bei Diebstahl des Computers keine Daten in die falschen Hände. Viele Linux-Distributionen bieten seit Langem voll verschlüsselte Installationen an, jedoch nur dann, wenn sie die gesamte Festplatte für sich beanspruchen dürfen – so auch bei den Installationsprogrammen von Debian 11 und Ubuntu 22.04. Haben Sie Windows parallel installiert, müssen Sie entweder auf die Verschlüsselung verzichten oder sich der nachfolgend beschriebenen Tricks bedienen.

Während es beim eher spartanischen Debian genügt, sich im Installer ein paar Mal im Kreis zu drehen, müssen Sie sich beim ansonsten komfortableren Ubuntu auf der Kommandozeile abmühen, damit sich Linux geschmeidig neben Windows einfügt und trotzdem die Partitionen als LUKS (Linux Unified Key Setup) verschlüsselt. Da Windows auf praktisch allen Rechnern vorinstalliert ist, beginnen Sie damit, Ihre Windows-Installation zu verkleinern und so Platz für Linux zu schaffen.

Dazu sollten Sie unbedingt die in unserem Artikel "Tipps zum Verkleinern der Windows-Partition" beschriebene Methode mit Windows-Bordmitteln verwenden und nicht etwa das Partitionierungsprogramm Gparted unter Linux – denn bei Letzterem würden Sie einen Keil zwischen Windows und das Recovery-System treiben.