Ich benutze dieses Verfahren auf nahezu all meinen Rechnern. Ich m\u00f6chte damit erreichen, dass meine Daten bei Diebstahl des Rechners bzw. der Festplatte m\u00f6glichst lange vor unberechtigtem Zugriff gesch\u00fctzt sind.<\/p>\n\n\n\n
Typischerweise wird zur Entschl\u00fcsselung einer Festplatte bzw. Partition w\u00e4hrend des Boot-Vorgangs die Eingabe eines Kennworts ben\u00f6tigt. Die Sicherheit des Verfahrens h\u00e4ngt dabei direkt von der St\u00e4rke des verwendeten Passworts ab (siehe 1<\/a>).<\/p>\n\n\n\n Steht der Rechner im B\u00fcro und man ist t\u00e4glich vor Ort, ist es kein Problem, bei Neustart des Rechners das LUKS-Kennwort einzugeben. Wenn man allerdings im Homeoffice arbeitet und Zugriff auf seinen B\u00fcro-Rechner braucht, sieht die Sache anders aus.<\/p>\n\n\n\n M\u00f6chte man den entfernten Rechner neustarten, z.B. nach der Installation von Updates, muss man daf\u00fcr extra ins B\u00fcro fahren. Alternativ kann man ein zweites Kennwort einrichten, dieses einem Kollegen mitteilen und diesen bitten, es vor Ort einzugeben. Beides ist nicht komfortabel. Und hier kommt NBDE ins Spiel.<\/p>\n\n\n\n Network Bound Disk Encryption<\/em> hei\u00dft auf Deutsch in etwa netzwerkgebundene Festplattenverschl\u00fcsselung und bedeutet, dass die Verschl\u00fcsselung an eine oder mehrere Ressourcen im Netzwerk gebunden ist.<\/p>\n\n\n\n Das Prinzip ist ganz einfach. Wenn ein Rechner mit einer verschl\u00fcsselten Festplatte oder Partition startet, sucht er nach einer bestimmten Ressource im Netzwerk. Kann der Rechner diese Netzwerkressource erreichen, wird die Festplatte bzw. Partition entschl\u00fcsselt und der Startvorgang fortgesetzt. Folgende Abbildung soll dies veranschaulichen.<\/p>\n\n\n\n Im eigenen LAN werden zwei sogenannte Tang-Server positioniert (siehe 4 und 6<\/a>). Diese stellen die Netzwerk-Ressource dar, welche erreichbar sein muss, damit ein an Tang gebundenes Ger\u00e4t entschl\u00fcsselt werden kann. In diesem Beispiel werden zwei Tang-Server betrieben, um die Verf\u00fcgbarkeit des Dienstes zu gew\u00e4hrleisten, wenn ein Server gewartet wird.<\/p>\n\n\n\n Auf dem Client kommt die Anwendung Clevis zum Einsatz (siehe 5, 6 und 7<\/a>), bei welcher es sich um die Client-Komponente zum Tang-Server handelt. Diese empf\u00e4ngt einen Schl\u00fcssel vom Tang-Server und verwendet diesen, um einen Token in einem LUKS-Slot zu speichern (Details siehe 3, 6 und 7<\/a>). Beim Start eines Rechners wird nun versucht, einen der Tang-Server zu erreichen, an die man sich gebunden hat.<\/p>\n\n\n\n Wird der Rechner bzw. seine Festplatte gestohlen, sind die Tang-Server nicht erreichbar und die Daten werden nicht automatisch entschl\u00fcsselt. Der Dieb muss nun die Verschl\u00fcsselung bzw. das verwendete Kennwort brechen.<\/p>\n\n\n\n Steht der Rechner jedoch an seinem Platz, kann er aus der Ferne neugestartet werden und den Startvorgang beenden, ohne dass jemand vor Ort ein LUKS-Kennwort eingeben muss.<\/p>\n\n\n\n Damit diese Konfiguration Sinn macht, d\u00fcrfen die Tang-Server nicht weltweit erreichbar sein. Ihr Standort und die Netze, aus denen sie erreichbar sind, sind daher sorgf\u00e4ltig zu planen.<\/p>\n\n\n\n Ohne NBDE muss an einem Rechner mit LUKS-Verschl\u00fcsselung bei jedem Startvorgang das LUKS-Kennwort eingegeben werden, was einen Neustart aus der Ferne enorm erschwert.<\/p>\n\n\n\n NBDE ist leicht zu implementieren und l\u00f6st dieses Problem. Gleichzeitig bleiben die Daten im gleichen Ma\u00dfe bei einem Diebstahl des Rechners gesch\u00fctzt.<\/p>\n\n\n\n In diesem Artikel gebe ich euch einen \u00dcberblick, was Network Bound Disk Encryption (NBDE) ist und beschreibe einen konkreten Anwendungsfall. Am Ende des Artikels f\u00fchre ich einige Verweise auf, mit deren Hilfe ihr NBDE bei Interesse selbst implementieren k\u00f6nnt. Linux Unified Key Setup (LUKS) Bevor ich auf NBDE eingehe, m\u00f6chte ich kurz ein paar Worte [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[598,651,430,305],"class_list":["post-2974","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-luks","tag-nbde","tag-osbn","tag-planet"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2974"}],"version-history":[{"count":3,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2974\/revisions"}],"predecessor-version":[{"id":2979,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2974\/revisions\/2979"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}LUKS an Netzwerkressource binden<\/h2>\n\n\n\n
![\"nbde-network\"](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2021\/10\/nbde-network.png\" "\\"NBDE-Netzwerk\\"")
Zusammenfassung<\/h2>\n\n\n\n
Quellen und weiterf\u00fchrende Links<\/h2>\n\n\n\n