notebook how i encrypted my 2014-07-02 … · how i encrypted my notebook rami 2014-07-02....
TRANSCRIPT
![Page 2: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/2.jpg)
Angreifermodell
– Laptop-Dieb– Grenzkontrolle a.k.a.
Bundestrojanerinstallparty
![Page 3: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/3.jpg)
Nicht mein Angreifermodell
– Konkreter Angriff auf mich als Person
Bildnachweis: xkcd.com
![Page 4: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/4.jpg)
Die Anforderungen
– Vollverschlüsselung– Gegenüber Laien (Grenzkontrollpersonal)
abstreitbar– (Lange Passwörter merken und eintippen ist
eigentlich doof, kurze Passwörter auch.)
![Page 5: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/5.jpg)
Die Idee
– Normaler Boot startet ein Alibi-Windows– Nur wenn ein bestimmter USB-Stick
vorhanden ist, wird Linux gebootet○ auf diesem liegt der Bootloader○ Stick kann nach dem Booten abgezogen werden○ Optional: Passphrase auf USB-Stick
![Page 6: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/6.jpg)
Die Idee
– Hübscher USB-Stick für 7,48€
– http://www.amazon.de/dp/B008QGQZAE/
– Der Stick ist nur hierfür und wird niemals an andere Rechner gesteckt.
Bildnachweis: Kingston
![Page 7: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/7.jpg)
Willkommene Nebeneffekte
– Bei vollverschlüsseltem Linux ist der Bootloader der attraktivste Angriffsvektor – den wir auf unserem USB-Stick sicher getrennt verwahren
![Page 8: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/8.jpg)
Mein Setup
Festplatte
LUKS
LVM
/ /home
swap
![Page 9: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/9.jpg)
Sinnvolle Reihenfolge
– Partitionieren– Windows installieren– LUKS/LVM aufsetzen– Linux installieren
![Page 10: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/10.jpg)
Meine Reihenfolge– Partitionieren– LUKS/LVM aufsetzen– Linux installieren– Linux verkleinern– LVM verkleinern– LUKS verkleinern– Neu partitionieren– Windows installieren→ Geht, aber man sollte wissen, was man tut
![Page 11: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/11.jpg)
Disclaimer
– Diese Anleitung ist nicht vollständig– Diese Anleitung ist nicht mit anderen
Distributionen als Arch Linux getestet– Sie sollte gut übertragbar sein, aber nicht
ohne nachdenken und selbst recherchieren!– Das Arch-Wiki und Ubuntuusers sind toll.
![Page 12: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/12.jpg)
KEIN BACKUPKEIN MITLEID
![Page 13: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/13.jpg)
Die Details: Partitionieren
– Man nehme das Live-Linux seiner Wahl– Kommandozeile → fdisk– Grafisch → GParted
![Page 14: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/14.jpg)
Die Details: LUKS
# cryptsetup luksFormat /dev/sda1
# cryptsetup open /dev/sda1 lvm
![Page 15: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/15.jpg)
Die Details: Die Backup-Passphrase
# pwgen -sy 20 1
}3['BEmDO`FzyFJ0r2@|
# pwgen -nB 30 1
aed3esheech9Keiv4NequeeJie9Ooh
![Page 16: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/16.jpg)
Die Details: LVM
# pvcreate /dev/mapper/lvm
# vgcreate hostname /dev/mapper/lvm
# lvcreate -L 100G hostname -n rootvol
# lvcreate -L 8G hostname -n swapvol
# lvcreate -L 300G hostname -n homevol
![Page 17: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/17.jpg)
Die Details: LVM
# mkfs.ext4 /dev/mapper/hostname-rootvol
# mkfs.ext4 /dev/mapper/hostname-homevol
Swap: see https://wiki.archlinux.org/index.php/Dm-crypt/Swap_encryption
![Page 18: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/18.jpg)
Die Details: Der USB-Stick
# mkfs.ext2 /dev/sdb1
Mount as /mnt/boot during install (and all updates!). System already installed?
# cp -Rid /boot/* /media/sdb1/
# vim /etc/fstab
# grub-install /dev/sdb1
![Page 19: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/19.jpg)
Die Details: Die Grub-Config
# cat /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="quiet cryptdevice=/dev/sda2:arlen cryptkey=/dev/keystick:8192:2048 resume=/dev/mapper/arlen-swapvol"
…
![Page 20: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/20.jpg)
Die Details: Die Kernel-Config
# cat /etc/mkinitcpio.conf
FILES="/etc/udev/rules.d/50-myusb.rules /etc/modprobe.d/modprobe.conf"
HOOKS="base udev autodetect modconf block encrypt lvm2 resume filesystems keyboard fsck"
![Page 21: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/21.jpg)
Die Details: Die udev-Regel
# cat /etc/udev/rules.d/50-myusb.rules
SUBSYSTEMS=="usb", ATTRS{serial}=="C860123BDBACCEDA08FA340C8", KERNEL=="sd*", SYMLINK+="keystick%n"
![Page 22: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/22.jpg)
Die Details: Der Bootloader
# mkinitcpio -p linux
# grub-mkconfig -o /boot/grub/grub.cfg
![Page 23: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/23.jpg)
Die Details: Das Keyfile
# dd if=/dev/urandom of=keyfile bs=512 count=4
# cryptsetup luksAddKey /dev/sda1 keyfile
# dd if=keyfile of=/dev/sdb bs=512 seek=16
# shred --remove --zero keyfile
![Page 24: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/24.jpg)
Bessere Tutorials● https://wiki.archlinux.org/index.php/Dm-crypt● https://wiki.archlinux.org/index.php/Dm-
crypt/Encrypting_an_entire_system#LVM_on_LUKS● https://wiki.archlinux.org/index.php/Dm-
crypt/Swap_encryption#LVM_on_LUKS● https://wiki.archlinux.de/title/Festplatte_verschl%C3%
BCsseln#System_per_USB-Stick_entschl.C3.BCsseln● https://wiki.archlinux.org/index.php/Dm-
crypt/Specialties#Securing_the_unencrypted_boot_partition● http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln● http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Entschl%C3%
BCsseln_mit_einem_USB-Schl%C3%BCssel
![Page 25: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/25.jpg)
Offene Probleme
– Jemandem versiertes fällt schnell auf, dass das Windows nur einen kleinen Teil der HDD benutzt, jemand noch versierteres findet unsere LUKS-Header
→ Dies schützt euch nicht vor Geheim-diensten, aber hilft beim nichtauffallen
![Page 26: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/26.jpg)
Offene Probleme
– Wer das Video zu diesem Talk sieht, weiß, wozu der USB-Stick an meinem Schlüsselbund gut ist○ Spricht deutlich gegen das Keyfile ;)
![Page 27: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/27.jpg)
Weiter
– Die Linux-Partitionen im Windows etwas besser verstecken
![Page 28: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/28.jpg)
Weiter
– Keyfile mit weiterer Passphrase schützen○ „2-factor-Auth“○ Weiterer LUKS-Container auf dem USB-Stick
![Page 29: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/29.jpg)
Weiter
– Plausible deniability○ Kann LUKS nicht.○ Funktioniert in der Praxis auch nicht einmal halb so
gut, wie es klingt.
![Page 30: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/30.jpg)
Weiter
– LUKS-Header auf USB-Stick auslagern○ Kein Fallback mehr!
![Page 31: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/31.jpg)
KEIN BACKUPKEIN MITLEID
![Page 32: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/32.jpg)
DANKE.
![Page 33: Notebook How I Encrypted My 2014-07-02 … · How I Encrypted My Notebook rami 2014-07-02. Angreifermodell – Laptop-Dieb – Grenzkontrolle a.k.a](https://reader035.vdocuments.mx/reader035/viewer/2022071220/605ae96492b7032e2040551d/html5/thumbnails/33.jpg)
FRAGEN?