timmyonfire
Goto Top

Linux System Verschlüsselung mit 2-Wege Authentifizierung

Hallo Welt!

Ich stehe vor folgender Problematik:

Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.

Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Dafür muss aber die Systempartition wieder verschlüsselt sein und mittels SC + PIN. Das ganze sollte wegen VS NfD auch vom BSI zugelassen sein.

Die erste Frage die sich mir stellt ist, ob die 2-Wege-Authentifizierung für VS NfD zwingend erforderlich ist?
Und zweitens, wenn nein, sind Linux Bordmittel wie LUKS zugelassen?

Auf diversen Seiten vom BSI habe ich nichts gefunden was mir final weiterhilft, bzw. ich habe den Eindruck dass einige der dort aufgeführten Informationen nicht ganz aktuell sind.

Gibt es eine Möglichkeit dieses umzusetzen?

VG Timmy

Content-Key: 503083

Url: https://administrator.de/contentid/503083

Printed on: July 24, 2024 at 22:07 o'clock

Member: Sheogorath
Sheogorath Oct 10, 2019 at 15:18:28 (UTC)
Goto Top
Moin,

die beste Antwort bekommst du hierzu vom BSI selbst: https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukt ...

Einfach eine formlose E-Mail an die angegebene Adresse schicken face-smile

Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.

Viel Erfolg!

Gruß
Chris
Member: Lochkartenstanzer
Lochkartenstanzer Oct 10, 2019 at 16:27:02 (UTC)
Goto Top
Moin,

Wobei ich es ja schon interessant finde, daß Windows für so etwas überhaupt zugelasen wird.

Aber Chris hat schon recht, wenn , dann ist das BSI der richtige Ansprechpartner.

lks
Member: Dani
Dani Oct 12, 2019, updated at Oct 13, 2019 at 12:37:56 (UTC)
Goto Top
Moin,
Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.
das macht den Kohl nicht mehr dick... denn folgende Aussagen sind aus meiner Sicht schon ein fristlosiger Kündigungsgrund.
Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.

Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.

Das ist nicht irgendeine Geheimhaltungsstufe. Da kann schon solch ein vermeidlich einfaches Vergehen große Probleme für Mitarbeiter und Unternehmen mit sich bringen. Je nachdem ist genau definiert, was wo auf welchen Notebook sein muss. Das ist in diversen Dokumenten genau festgehalten und natürlich bindend.


Gruß,
Dani
Member: timmyonfire
timmyonfire Oct 13, 2019 at 09:27:51 (UTC)
Goto Top
Moin Dani,

Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Zumal man dafür schon die gesamte Situation und Umstände kennen sollte.


Wie mit VS umgegangen wird und in welchen Dokumenten dies beschrieben ist ist mir bekannt.
Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)

VG
Timmy
Member: Dani
Dani Oct 13, 2019 updated at 12:56:46 (UTC)
Goto Top
Hallo @timmyonfire
Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Naja, du lässt die Katze in deinem Beitrag auch nicht aus dem Sack - Es ist so lala formuliert. Es klingt für mich so, als bist du mit deinem geschäftlichen Gerät bzw. Windows 10 & Co nicht zufrieden. Eure interne IT hat wahrscheinlich dein Anliegen abgelehnt oder es wird in unbekannter Zeit prüfen. Daher liegt der Verdacht schon etwas sehr nahe, dass du dein Notebook entsprechend "heimlich" umrüsten möchtest.

Unterstellen möchte ich dir nichts! Du darfst aber gerne die Vermutungen aus der Welt schaffen und sagen wie es ist. Wir haben leider immer wieder Beiträge/Fragen, wo hinterher klar wurde, dass böse Absichten dahinter gesteckt haben. Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein. face-smile

Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)
Vielen Dank für die Korrektur. Du hast natürlich recht.


Gruß,
Dani
Member: timmyonfire
timmyonfire Oct 13, 2019 updated at 19:31:55 (UTC)
Goto Top
Hi @Dani

Unterstellen möchte ich dir nichts!
Aber mich direkt in entsprechende Schublade gesteckt. Und das wirkte schon sehr ähnlich. Obwohl ich den Hintergrund schon etwas nachvollziehen kann. Zu schnell gibt man "Laien" Anleitungen oder Informationen zu brisanten Dingen. Egal, zurück zum Thema! face-smile

Zur Erklärung; Ich bin schon vom Fach. Zu meinem Vorhaben stehe ich in direktem Kontakt zu meinen Kollegen in der Abteilung die für unsere Endgeräte zuständig sind. Da aber niemand von meinen Kollegen sich je mit Linux als OS auf unseren Endgeräten beschäftigt hat, habe ich die Freigabe mir selbst zu helfen. -Wenn ich alle allgemeinen, internen Vorgaben und natürlich die des BSI bezüglich VS umsetzen kann.

Warum möchte ich das Ganze?
-Zum einen weil mich der ganze Windows-Kram massiv nervt. Wir arbeiten mit extrem performanten Enterprise Laptops die vom OS überall ausgebremst werden. Da ich viel mit virtuellen Umgebungen arbeite benötige ich jedes Byte und jedes Hertz. face-smile
Zum Anderen möchte ich einfach auch beruflich mehr mit Linux arbeiten, da ich plane mich in diesem Bereich weiter zu entwickeln. Und dazu muss man einfach täglich mit Linux arbeiten.
Aber Hauptgrund ist einfach dieser ganze Windows- &$%§'*


Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein. face-smile
Seh ich auch so! face-smile

VG
Timmy
Member: DerWoWusste
DerWoWusste Nov 05, 2019 at 20:56:25 (UTC)
Goto Top
Und, hast du das BSI kontaktiert, gibt es zugelassene Verschlüsseler für Linux?
Member: timmyonfire
timmyonfire Nov 08, 2019 at 13:55:40 (UTC)
Goto Top
Vom BSI kam die Aussage, dass es leider kein zugelassenes Verschlüsselungsverfahren (FDE) für Linux Clients gibt.
Jetzt versuche ich herauszufinden ob FDE für VS-NfD überaupt Vorgabe ist, oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.

Desweiteren werde ich die Fa. Rohde&Schwarz mal anschreiben. Angeblich war mal eine FDE für Linux in Planung.

Wenn das alles nichts wird, gibt es noch die Möglichkeit auf eine SINA Workstation zurückzugreifen. Das wäre allerdings die letzte Option.
Member: DerWoWusste
DerWoWusste Nov 08, 2019 updated at 14:00:12 (UTC)
Goto Top
Ich stimme zu, mir war auch kein Produkt für Linux bekannt, das für NfD oder höher zugelassen ist, außer als SINA-Virtual-Workstation.
oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.
Äh, und du meinst, Dateiverschlüsseler müssten dann nicht auch zugelassen sein? Es gibt keine zugelassenen ausgewiesenen Dateiverschlüsseler, nicht einmal für Windows, soweit ich weiß.
Member: timmyonfire
timmyonfire Nov 11, 2019 at 07:30:56 (UTC)
Goto Top
Chiasmus ist für Winblows und Linux zugelassen.
Member: DerWoWusste
DerWoWusste Nov 11, 2019 at 07:38:57 (UTC)
Goto Top
Das ist richtig, Chiasmus nutzen wir sogar - fast vergessen. Ich habe eher an Dateiverschlüsseler gedacht, die sich in den Filemanager einbetten.
Wenn Du News von Rohde und Schwarz hast, bitte teilen.
Member: timmyonfire
timmyonfire Nov 11, 2019 at 08:53:06 (UTC)
Goto Top
GnuPG wäre auch (wieder) zugelassen.

Im aktuellen Merkblatt ( Stand: 29.04.2014) des BMWi für Behandlung von VS-NfD habe ich unter II 1.4 noch gefunden:

"Werden für die Bearbeitung oder Speicherung von VS-NfD eingestufte Daten tragbare IT-Systeme (z.B. Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln."

Das Merkblatt klingt zwar in einigen Teile ziemlich veraltet, dieser Passus liest sich aber so dass FDE vorausgesetzt wird.

Wenn ich was von R&S höre werde ich es weitergeben.