rg2525
Goto Top

Restore TPM verschlüsselter Partition auf neuen Computer

Hallo,
Bin Linux Anfänger.
Ich möchte Testweise ein CENTOS Server auf einem anderen Server rücksichern.
Nachdem ich eine Sicherung mit dd auf eine USB Platte erstellt habe, habe ich diese auf einem anderen computer rückgesichert.
NAch dem Starten habe bemerkt, dass die Partition, wo die Daten darauf sind verschlüsselt ist.
Wie kann ich vorgehen um trotzdem den Server zum Laufen zu bringen?
Danke
R.

Content-ID: 373958

Url: https://administrator.de/forum/restore-tpm-verschluesselter-partition-auf-neuen-computer-373958.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 15.05.2018 aktualisiert um 18:39:34 Uhr
Goto Top
Moin,

durch den SInn von der Einbindung eines TPM Chips her ist es eben nicht möglich. Es sei denn du bekommst es hin, den Chip von dem Ursprünglichen Rechner auszubauen.

Der Chip dient eben dazu diese Platte nicht in einem anderen Rechner ans laufen zu bekommen und somit unbrauchbar zu machen. Dein Backup läuft nur in Verbindung mit dem entsprechenden Chip.

Für dein Vorhaben müssen die Daten vor dem Backup entschlüsselt werden.

Gruß
Spirit
NetzwerkDude
NetzwerkDude 15.05.2018 um 18:40:24 Uhr
Goto Top
Naja, wenn der Key im TPM ist, dann den TPM Chip vom alten Rechner nehmen - wenns fest auf dem Mainboard ist, hast du verloren.

Persönlich würde ich Keyfiles oder Passwort TPM Chips vorziehen...
DerWoWusste
DerWoWusste 15.05.2018 aktualisiert um 19:08:58 Uhr
Goto Top
Hi.

Um mal in Analogie zu Bitlocker zu gehen: Es ist nichts an den TPM gebunden. Der TPM speichert lediglich einen Schlüssel, aber niemand hindert dich, weitere Schlüssel auf dem Quellsystem zu erstellen und unabhängig vom TPM aufzubewahren, so dass du die verschlüsselte Partition oder Platte beliebig anderswo anbinden kannst, auch ohne den TPM-Chip.

Welche Linux-Verschlüsselung nutzt Du denn da und woher weißt Du, dass ein TPM dabei eine Rolle spielt?
RG2525
RG2525 15.05.2018 um 19:09:17 Uhr
Goto Top
Danke für die Antworten.
Für mich persönlich heißt es dann, dass eine TPM Verschlüsselung unbrauchbar ist, da wenn ich die Sicherungen 10 Jahre aufheben muss und den Server dann nicht mehr habe, dann habe ich ein Problem!
Ich gehe davon aus, dass man diese Verschlüsselung rückgängig machen kann und dann werde ich ein keyfile Verschlüsselung nutzen.
Danke nochmals...
R.
DerWoWusste
DerWoWusste 15.05.2018 aktualisiert um 19:19:44 Uhr
Goto Top
Es scheint, du hast meinen Kommentar nicht gelesen, bzw. hattest schon begonnen, deinen zu schreiben.
RG2525
RG2525 15.05.2018 aktualisiert um 19:16:06 Uhr
Goto Top
Hallo DerWoWusste,
Ich habe eine Fehlermeldung bekommen nachdem ich das System restort und hochgefahren habe.
Siehe Bild unten. Es steht dort TPM Error!
Die Partition wurde nicht von mir verschlüsselt.
Danke
R.
error
DerWoWusste
DerWoWusste 15.05.2018 um 19:19:08 Uhr
Goto Top
A-ha. Und da vermutest Du mal, dass der TPM benutzt wurde, interessante Folgerung. Nein, mir ist keine Linuxverschlüsselung bekannt, die überhaupt einen TPM benutzt. Ich denke nicht, dass die Platte überhaupt verschlüsselt ist. Teste doch mal den Zugriff über ein Knoppix bzw. über ein Linux-Setup.
RG2525
RG2525 15.05.2018 um 19:24:45 Uhr
Goto Top
Oh. OK mache ich. Ich werde zuerst mal beim restorten system versuchen.
Melde mich dann...
Danke für das Antworten.
R.
Spirit-of-Eli
Spirit-of-Eli 15.05.2018 aktualisiert um 22:39:07 Uhr
Goto Top
Zitat von @DerWoWusste:

A-ha. Und da vermutest Du mal, dass der TPM benutzt wurde, interessante Folgerung. Nein, mir ist keine Linuxverschlüsselung bekannt, die überhaupt einen TPM benutzt. Ich denke nicht, dass die Platte überhaupt verschlüsselt ist. Teste doch mal den Zugriff über ein Knoppix bzw. über ein Linux-Setup.


Ubuntu kann dies z.B. schon in den neueren Versionen ;)
ggf. gibts nur noch die Treiberhürde.
NetzwerkDude
NetzwerkDude 16.05.2018 um 09:36:51 Uhr
Goto Top
Naja, wobei das schon ein bisschen seltsan erscheint Linux mit TPM zu nutzen, weil es nicht gerade für freiheit steht face-smile
NetzwerkDude
NetzwerkDude 16.05.2018 um 09:45:09 Uhr
Goto Top
Scheint doch eher ein Problem mit dracut zu sein, also dem "initial ram filesystem"

Ich würd an deiner Stelle mal nach dem Fehler Googeln und schauen ob man nicht mit zusätzlichen Grub Parametern mehr Debug info bekommt
Lochkartenstanzer
Lochkartenstanzer 16.05.2018 um 09:46:18 Uhr
Goto Top
Zitat von @NetzwerkDude:

Naja, wobei das schon ein bisschen seltsan erscheint Linux mit TPM zu nutzen, weil es nicht gerade für freiheit steht face-smile

TPM ist dann frei, wenn man selbst als Admin die Kontrolle über die Schlüssel hat und nciht der hersteller der Kiste oder eines OS!

Ein sicherer lokaler Tresor für die eigenen privaten Schlüssel ist schon sinnvoll.

lks
NetzwerkDude
NetzwerkDude 16.05.2018 um 09:51:35 Uhr
Goto Top
Ich meinte das eher in richtung ob das TPM nicht ala Blackbox gegen das offene Prinzip von GNU/Linux steht - weil dann ja z.b. so ein bockmist rauskommen:
https://m.heise.de/security/meldung/Hunderttausende-Infineon-Sicherheits ...

Weiß der Geier welche Backdoors die Herszeller sonst noch auf den Chip auflöten
RG2525
RG2525 17.05.2018 um 19:56:46 Uhr
Goto Top
Hi,

Mit Ubuntu live hochgefahren: Partitionen werden nicht angezeigt, wieder TPM error beim booten
Mit Fedora Live hochgefahren: Sehe die Partitionen!!!

Mein Hauptproblem ist, dass ein dd backup (von 2,5TB RAID System HP Server) und danach dd restore (auf 3TB SATA Platte auf HP Desktop) nicht bootet (boot device not found)
Die TPM Fehlermeldung im vorigen Beitrag habe ich bekommen, nachdem ich versucht habe mit "Super Grub2 Disk" doch irgendwie zu booten.

Habe so gesichert:
[root@SRVHost02 ntfs]# dd if=/dev/sda conv=sync,noerror bs=128K | gzip -c > 20180503.image.gz

Und so rückgesichert:
root@ubuntu:/media/ubuntu/USBSTORAGE02# gunzip -c 20180503.image.gz | dd of=/dev/sda status=progress

Ist das korrekt?

Danke
R.