Sicherheits-Funktion implementiert: Forward Secure Sealing (FSS) für systemd

21 August 2012 Kein Kommentar Autor: Jürgen (jdo)

FSS Teaser 150x150Lennart Poettering hat via Google+ Forward Secure Sealing (FSS) für systemd angekündigt und erklärt freundlicherweise gleich, um was es sich dabei handelt. FSS erlaubt es, die Systemlogs via Kryptographie in regelmäßigen Zeitabständen zu „versiegeln“. Sollte also ein Bösewicht in die Maschine eingebrochen sein, kann der Angreifer den Verlauf des Logs nicht verändern – komplett löschen kann er ihn allerdings schon.

Das Ganze funktioniert, indem ein „Sealing-Schlüssel“ und ein „Verifizierungs-Schlüssel“ erzeugt werden. Ersteres bleibt dabei auf dem Rechner, dessen Logs Schutz brauchen und ändert sich in regelmäßigen Abständen, wobei der alte Schlüssel gleichzeitig sicher in die Tonne kommt. Schlüssel Nummer 2 gehört sich laut Poettering auf ein Blatt papier, in das Smartphone oder wo immer Du auch die Signatur ablegen möchtest (auf dem gleichen Rechner macht allerdings weniger Sinn). Damit kannst Du dann die Logs der Maschine überprüfen und sollte die Verifizierung gültig sein, kannst Du die unveränderten Logs einsehen.

Poettering sieht den Vorteil von FSS, dass man es den böswilligen Hackern schwerer macht. Diese neigen dazu, alle Spuren sorgfältig zu beseitigen – und das Ändern der Logdateien gehört ebenfalls dazu. Sie können die Dateien mit den entsprechenden Berechtigungen komplett löschen, allerdings würde der aufmerksame Administrator wohl eher misstrauisch und dürfte zu stöbern anfangen.

Bisher wurden diese Probleme mit externen Log-Servern oder sogar einem Drucker adressiert. Diese seien allerdings komplizierter aufzusetzen, benötigen eine externe Infrastruktur und so weiter. Mit FSS gibt es nun eine einfache Alternative.

FSS: Logdateien verschlüsseln (Quelle: Lennart Poettering auf Google+)

FSS: Logdateien verschlüsseln (Quelle: Lennart Poettering auf Google+)

Weil das abschreiben des Verifizierungs-Codes nicht gerade viel Spaß macht, bringt FSS ein kleines Extra mit. Dieses zeigt einen QR-Code im Terminal an und das lässt sich einfach scannen.

FSS basiert auf „Forward Secure Pseudo Random Generators“ von Bertram Poettering – ein Kryptographie-Spezialist, der zufällig auch Lennarts Bruder ist. In Kürze soll es eine Dokumntation über FSPRG geben. Das Ganze soll dann Teil von Fedora 18 werden. Den Code gibt es bereits via systemds git.

Poettering will in Kürze noch einen längeren Blog-Beitrag verfassen, der das Ganze dann ausführlicher behandelt.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten