Sicherheits-Funktion implementiert: Forward Secure Sealing (FSS) für systemd

Kein Kommentar Autor: Jürgen (jdo)

FSS Teaser 150x150Lennart Poettering hat via Google+ Forward Secure Sealing (FSS) für systemd angekündigt und erklärt freundlicherweise gleich, um was es sich dabei handelt. FSS erlaubt es, die Systemlogs via Kryptographie in regelmäßigen Zeitabständen zu “versiegeln”. Sollte also ein Bösewicht in die Maschine eingebrochen sein, kann der Angreifer den Verlauf des Logs nicht verändern – komplett löschen kann er ihn allerdings schon.

Das Ganze funktioniert, indem ein “Sealing-Schlüssel” und ein “Verifizierungs-Schlüssel” erzeugt werden. Ersteres bleibt dabei auf dem Rechner, dessen Logs Schutz brauchen und ändert sich in regelmäßigen Abständen, wobei der alte Schlüssel gleichzeitig sicher in die Tonne kommt. Schlüssel Nummer 2 gehört sich laut Poettering auf ein Blatt papier, in das Smartphone oder wo immer Du auch die Signatur ablegen möchtest (auf dem gleichen Rechner macht allerdings weniger Sinn). Damit kannst Du dann die Logs der Maschine überprüfen und sollte die Verifizierung gültig sein, kannst Du die unveränderten Logs einsehen.

Poettering sieht den Vorteil von FSS, dass man es den böswilligen Hackern schwerer macht. Diese neigen dazu, alle Spuren sorgfältig zu beseitigen – und das Ändern der Logdateien gehört ebenfalls dazu. Sie können die Dateien mit den entsprechenden Berechtigungen komplett löschen, allerdings würde der aufmerksame Administrator wohl eher misstrauisch und dürfte zu stöbern anfangen.

Bisher wurden diese Probleme mit externen Log-Servern oder sogar einem Drucker adressiert. Diese seien allerdings komplizierter aufzusetzen, benötigen eine externe Infrastruktur und so weiter. Mit FSS gibt es nun eine einfache Alternative.

FSS: Logdateien verschlüsseln (Quelle: Lennart Poettering auf Google+)

FSS: Logdateien verschlüsseln (Quelle: Lennart Poettering auf Google+)

Weil das abschreiben des Verifizierungs-Codes nicht gerade viel Spaß macht, bringt FSS ein kleines Extra mit. Dieses zeigt einen QR-Code im Terminal an und das lässt sich einfach scannen.

FSS basiert auf “Forward Secure Pseudo Random Generators” von Bertram Poettering – ein Kryptographie-Spezialist, der zufällig auch Lennarts Bruder ist. In Kürze soll es eine Dokumntation über FSPRG geben. Das Ganze soll dann Teil von Fedora 18 werden. Den Code gibt es bereits via systemds git.

Poettering will in Kürze noch einen längeren Blog-Beitrag verfassen, der das Ganze dann ausführlicher behandelt.

Auch Interessant?

  1. UEFI Secure Boot Saga: Nun meldet sich Red Hats Vize-Präsident zu Wort
  2. Der Fokus während des Entwicklungszyklus für Ubuntu 14.04 LTS wird Ubuntu Tablet sein
  3. Fedora 18 wird Samba 4, ownCloud und MATE-Desktop bekommen
  4. Was machen eigentlich die 31 Linux-Distributionen in 31 Tagen?
  5. Linus Torvalds reagiert verschnupft auf de Icazas Desktop-Behauptungen

 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.