12
Linux System Verschlüsselung mit 2-Wege Authentifizierung
Hallo Welt!
Ich stehe vor folgender Problematik:
Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.
Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Dafür muss aber die Systempartition wieder verschlüsselt sein und mittels SC + PIN. Das ganze sollte wegen VS NfD auch vom BSI zugelassen sein.
Die erste Frage die sich mir stellt ist, ob die 2-Wege-Authentifizierung für VS NfD zwingend erforderlich ist?
Und zweitens, wenn nein, sind Linux Bordmittel wie LUKS zugelassen?
Auf diversen Seiten vom BSI habe ich nichts gefunden was mir final weiterhilft, bzw. ich habe den Eindruck dass einige der dort aufgeführten Informationen nicht ganz aktuell sind.
Gibt es eine Möglichkeit dieses umzusetzen?
VG Timmy
Ich stehe vor folgender Problematik:
Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.
Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Dafür muss aber die Systempartition wieder verschlüsselt sein und mittels SC + PIN. Das ganze sollte wegen VS NfD auch vom BSI zugelassen sein.
Die erste Frage die sich mir stellt ist, ob die 2-Wege-Authentifizierung für VS NfD zwingend erforderlich ist?
Und zweitens, wenn nein, sind Linux Bordmittel wie LUKS zugelassen?
Auf diversen Seiten vom BSI habe ich nichts gefunden was mir final weiterhilft, bzw. ich habe den Eindruck dass einige der dort aufgeführten Informationen nicht ganz aktuell sind.
Gibt es eine Möglichkeit dieses umzusetzen?
VG Timmy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 503083
Url: https://administrator.de/contentid/503083
Printed on: April 19, 2024 at 06:04 o'clock
12 Comments
Latest comment
Moin,
die beste Antwort bekommst du hierzu vom BSI selbst: https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukt ...
Einfach eine formlose E-Mail an die angegebene Adresse schicken
Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.
Viel Erfolg!
Gruß
Chris
die beste Antwort bekommst du hierzu vom BSI selbst: https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukt ...
Einfach eine formlose E-Mail an die angegebene Adresse schicken
Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.
Viel Erfolg!
Gruß
Chris
1
Moin,
Wobei ich es ja schon interessant finde, daß Windows für so etwas überhaupt zugelasen wird.
Aber Chris hat schon recht, wenn , dann ist das BSI der richtige Ansprechpartner.
lks
Wobei ich es ja schon interessant finde, daß Windows für so etwas überhaupt zugelasen wird.
Aber Chris hat schon recht, wenn , dann ist das BSI der richtige Ansprechpartner.
lks
2
Moin,
Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.
Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Das ist nicht irgendeine Geheimhaltungsstufe. Da kann schon solch ein vermeidlich einfaches Vergehen große Probleme für Mitarbeiter und Unternehmen mit sich bringen. Je nachdem ist genau definiert, was wo auf welchen Notebook sein muss. Das ist in diversen Dokumenten genau festgehalten und natürlich bindend.
Gruß,
Dani
Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.
das macht den Kohl nicht mehr dick... denn folgende Aussagen sind aus meiner Sicht schon ein fristlosiger Kündigungsgrund.Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.
Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Das ist nicht irgendeine Geheimhaltungsstufe. Da kann schon solch ein vermeidlich einfaches Vergehen große Probleme für Mitarbeiter und Unternehmen mit sich bringen. Je nachdem ist genau definiert, was wo auf welchen Notebook sein muss. Das ist in diversen Dokumenten genau festgehalten und natürlich bindend.
Gruß,
Dani
Moin Dani,
Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Zumal man dafür schon die gesamte Situation und Umstände kennen sollte.
Wie mit VS umgegangen wird und in welchen Dokumenten dies beschrieben ist ist mir bekannt.
Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)
VG
Timmy
Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Zumal man dafür schon die gesamte Situation und Umstände kennen sollte.
Wie mit VS umgegangen wird und in welchen Dokumenten dies beschrieben ist ist mir bekannt.
Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)
VG
Timmy
Hallo @timmyonfire
Unterstellen möchte ich dir nichts! Du darfst aber gerne die Vermutungen aus der Welt schaffen und sagen wie es ist. Wir haben leider immer wieder Beiträge/Fragen, wo hinterher klar wurde, dass böse Absichten dahinter gesteckt haben. Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein.
Gruß,
Dani
Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Naja, du lässt die Katze in deinem Beitrag auch nicht aus dem Sack - Es ist so lala formuliert. Es klingt für mich so, als bist du mit deinem geschäftlichen Gerät bzw. Windows 10 & Co nicht zufrieden. Eure interne IT hat wahrscheinlich dein Anliegen abgelehnt oder es wird in unbekannter Zeit prüfen. Daher liegt der Verdacht schon etwas sehr nahe, dass du dein Notebook entsprechend "heimlich" umrüsten möchtest.Unterstellen möchte ich dir nichts! Du darfst aber gerne die Vermutungen aus der Welt schaffen und sagen wie es ist. Wir haben leider immer wieder Beiträge/Fragen, wo hinterher klar wurde, dass böse Absichten dahinter gesteckt haben. Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein.
Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)
Vielen Dank für die Korrektur. Du hast natürlich recht.Gruß,
Dani
Hi @Dani
Zur Erklärung; Ich bin schon vom Fach. Zu meinem Vorhaben stehe ich in direktem Kontakt zu meinen Kollegen in der Abteilung die für unsere Endgeräte zuständig sind. Da aber niemand von meinen Kollegen sich je mit Linux als OS auf unseren Endgeräten beschäftigt hat, habe ich die Freigabe mir selbst zu helfen. -Wenn ich alle allgemeinen, internen Vorgaben und natürlich die des BSI bezüglich VS umsetzen kann.
Warum möchte ich das Ganze?
-Zum einen weil mich der ganze Windows-Kram massiv nervt. Wir arbeiten mit extrem performanten Enterprise Laptops die vom OS überall ausgebremst werden. Da ich viel mit virtuellen Umgebungen arbeite benötige ich jedes Byte und jedes Hertz.
Zum Anderen möchte ich einfach auch beruflich mehr mit Linux arbeiten, da ich plane mich in diesem Bereich weiter zu entwickeln. Und dazu muss man einfach täglich mit Linux arbeiten.
Aber Hauptgrund ist einfach dieser ganze Windows- &$%§'*
VG
Timmy
Unterstellen möchte ich dir nichts!
Aber mich direkt in entsprechende Schublade gesteckt. Und das wirkte schon sehr ähnlich. Obwohl ich den Hintergrund schon etwas nachvollziehen kann. Zu schnell gibt man "Laien" Anleitungen oder Informationen zu brisanten Dingen. Egal, zurück zum Thema! Zur Erklärung; Ich bin schon vom Fach. Zu meinem Vorhaben stehe ich in direktem Kontakt zu meinen Kollegen in der Abteilung die für unsere Endgeräte zuständig sind. Da aber niemand von meinen Kollegen sich je mit Linux als OS auf unseren Endgeräten beschäftigt hat, habe ich die Freigabe mir selbst zu helfen. -Wenn ich alle allgemeinen, internen Vorgaben und natürlich die des BSI bezüglich VS umsetzen kann.
Warum möchte ich das Ganze?
-Zum einen weil mich der ganze Windows-Kram massiv nervt. Wir arbeiten mit extrem performanten Enterprise Laptops die vom OS überall ausgebremst werden. Da ich viel mit virtuellen Umgebungen arbeite benötige ich jedes Byte und jedes Hertz.
Zum Anderen möchte ich einfach auch beruflich mehr mit Linux arbeiten, da ich plane mich in diesem Bereich weiter zu entwickeln. Und dazu muss man einfach täglich mit Linux arbeiten.
Aber Hauptgrund ist einfach dieser ganze Windows- &$%§'*
Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein.
Seh ich auch so! VG
Timmy
Und, hast du das BSI kontaktiert, gibt es zugelassene Verschlüsseler für Linux?
Vom BSI kam die Aussage, dass es leider kein zugelassenes Verschlüsselungsverfahren (FDE) für Linux Clients gibt.
Jetzt versuche ich herauszufinden ob FDE für VS-NfD überaupt Vorgabe ist, oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.
Desweiteren werde ich die Fa. Rohde&Schwarz mal anschreiben. Angeblich war mal eine FDE für Linux in Planung.
Wenn das alles nichts wird, gibt es noch die Möglichkeit auf eine SINA Workstation zurückzugreifen. Das wäre allerdings die letzte Option.
Jetzt versuche ich herauszufinden ob FDE für VS-NfD überaupt Vorgabe ist, oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.
Desweiteren werde ich die Fa. Rohde&Schwarz mal anschreiben. Angeblich war mal eine FDE für Linux in Planung.
Wenn das alles nichts wird, gibt es noch die Möglichkeit auf eine SINA Workstation zurückzugreifen. Das wäre allerdings die letzte Option.
Ich stimme zu, mir war auch kein Produkt für Linux bekannt, das für NfD oder höher zugelassen ist, außer als SINA-Virtual-Workstation.
oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.
Äh, und du meinst, Dateiverschlüsseler müssten dann nicht auch zugelassen sein? Es gibt keine zugelassenen ausgewiesenen Dateiverschlüsseler, nicht einmal für Windows, soweit ich weiß.
Chiasmus ist für Winblows und Linux zugelassen.
Das ist richtig, Chiasmus nutzen wir sogar - fast vergessen. Ich habe eher an Dateiverschlüsseler gedacht, die sich in den Filemanager einbetten.
Wenn Du News von Rohde und Schwarz hast, bitte teilen.
Wenn Du News von Rohde und Schwarz hast, bitte teilen.
GnuPG wäre auch (wieder) zugelassen.
Im aktuellen Merkblatt ( Stand: 29.04.2014) des BMWi für Behandlung von VS-NfD habe ich unter II 1.4 noch gefunden:
"Werden für die Bearbeitung oder Speicherung von VS-NfD eingestufte Daten tragbare IT-Systeme (z.B. Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln."
Das Merkblatt klingt zwar in einigen Teile ziemlich veraltet, dieser Passus liest sich aber so dass FDE vorausgesetzt wird.
Wenn ich was von R&S höre werde ich es weitergeben.
Im aktuellen Merkblatt ( Stand: 29.04.2014) des BMWi für Behandlung von VS-NfD habe ich unter II 1.4 noch gefunden:
"Werden für die Bearbeitung oder Speicherung von VS-NfD eingestufte Daten tragbare IT-Systeme (z.B. Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln."
Das Merkblatt klingt zwar in einigen Teile ziemlich veraltet, dieser Passus liest sich aber so dass FDE vorausgesetzt wird.
Wenn ich was von R&S höre werde ich es weitergeben.
