| 1 |
Hi, |
| 2 |
|
| 3 |
On 10/11/14 15:11, Jens Kasten wrote: |
| 4 |
> Am Sat, 11 Oct 2014 00:02:52 +0200 |
| 5 |
> schrieb Ralf <ralf+gentoo@×××××××××××××××××××.de>: |
| 6 |
> |
| 7 |
>> Hi Uwe, |
| 8 |
>> |
| 9 |
>> ich verwende Gentoo ~amd64 unstable mit systemd + Luks. |
| 10 |
>> |
| 11 |
>> Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS |
| 12 |
>> sprechen und den Kernel von einer gecrypteten Platte laden. |
| 13 |
> Also grub kann nicht direkt von einer verschluesselten Platte lesen. |
| 14 |
> Diese muss erst entschluesselt werden ansonsten waere die |
| 15 |
> Verschlüsselung nicht ganz vollständing :D |
| 16 |
Ja klar, mit "Grub kann Luks sprechen" hab ich das auch nicht bestritten. |
| 17 |
Natürlich hat Grub erst nach dem Unlocken eines Keyslots Zugriff darauf. |
| 18 |
> |
| 19 |
>> Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner |
| 20 |
>> Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel |
| 21 |
>> und eine initrd, welche nen Key für die Root Partition beinhaltet, um |
| 22 |
>> weitere Passworteingaben zu vermeiden. |
| 23 |
> Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten |
| 24 |
> und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst. |
| 25 |
Nein, du hast da etwas falsch verstanden? Jeder der physischen Zugang zu |
| 26 |
meinem Rechner hat, kann im Bootloader versuchen den Slot zu unlocken. |
| 27 |
|
| 28 |
Nochmal: |
| 29 |
1. Unlocken der Root Partition mit Passphrase in Grub |
| 30 |
2. Laden des Kernel von der Root Partition. |
| 31 |
3. Laden der Initrd von der Root Partition (welche eine Keyfile für die |
| 32 |
selbe Luks Partition beinhaltet) |
| 33 |
4. Booten |
| 34 |
|
| 35 |
Ohne Zugang zur Root Partition hast du auch keinen Zugang zum Kernel |
| 36 |
oder zur Ramdisk. |
| 37 |
|
| 38 |
Cheers |
Archives