1 |
Hi, |
2 |
|
3 |
On 10/11/14 15:11, Jens Kasten wrote: |
4 |
> Am Sat, 11 Oct 2014 00:02:52 +0200 |
5 |
> schrieb Ralf <ralf+gentoo@×××××××××××××××××××.de>: |
6 |
> |
7 |
>> Hi Uwe, |
8 |
>> |
9 |
>> ich verwende Gentoo ~amd64 unstable mit systemd + Luks. |
10 |
>> |
11 |
>> Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS |
12 |
>> sprechen und den Kernel von einer gecrypteten Platte laden. |
13 |
> Also grub kann nicht direkt von einer verschluesselten Platte lesen. |
14 |
> Diese muss erst entschluesselt werden ansonsten waere die |
15 |
> Verschlüsselung nicht ganz vollständing :D |
16 |
Ja klar, mit "Grub kann Luks sprechen" hab ich das auch nicht bestritten. |
17 |
Natürlich hat Grub erst nach dem Unlocken eines Keyslots Zugriff darauf. |
18 |
> |
19 |
>> Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner |
20 |
>> Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel |
21 |
>> und eine initrd, welche nen Key für die Root Partition beinhaltet, um |
22 |
>> weitere Passworteingaben zu vermeiden. |
23 |
> Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten |
24 |
> und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst. |
25 |
Nein, du hast da etwas falsch verstanden? Jeder der physischen Zugang zu |
26 |
meinem Rechner hat, kann im Bootloader versuchen den Slot zu unlocken. |
27 |
|
28 |
Nochmal: |
29 |
1. Unlocken der Root Partition mit Passphrase in Grub |
30 |
2. Laden des Kernel von der Root Partition. |
31 |
3. Laden der Initrd von der Root Partition (welche eine Keyfile für die |
32 |
selbe Luks Partition beinhaltet) |
33 |
4. Booten |
34 |
|
35 |
Ohne Zugang zur Root Partition hast du auch keinen Zugang zum Kernel |
36 |
oder zur Ramdisk. |
37 |
|
38 |
Cheers |