timmyonfire
Goto Top

Linux System Verschlüsselung mit 2-Wege Authentifizierung

Hallo Welt!

Ich stehe vor folgender Problematik:

Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.

Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.
Dafür muss aber die Systempartition wieder verschlüsselt sein und mittels SC + PIN. Das ganze sollte wegen VS NfD auch vom BSI zugelassen sein.

Die erste Frage die sich mir stellt ist, ob die 2-Wege-Authentifizierung für VS NfD zwingend erforderlich ist?
Und zweitens, wenn nein, sind Linux Bordmittel wie LUKS zugelassen?

Auf diversen Seiten vom BSI habe ich nichts gefunden was mir final weiterhilft, bzw. ich habe den Eindruck dass einige der dort aufgeführten Informationen nicht ganz aktuell sind.

Gibt es eine Möglichkeit dieses umzusetzen?

VG Timmy

Content-Key: 503083

Url: https://administrator.de/contentid/503083

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: Sheogorath
Sheogorath 10.10.2019 um 17:18:28 Uhr
Goto Top
Moin,

die beste Antwort bekommst du hierzu vom BSI selbst: https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukt ...

Einfach eine formlose E-Mail an die angegebene Adresse schicken face-smile

Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.

Viel Erfolg!

Gruß
Chris
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.10.2019 um 18:27:02 Uhr
Goto Top
Moin,

Wobei ich es ja schon interessant finde, daß Windows für so etwas überhaupt zugelasen wird.

Aber Chris hat schon recht, wenn , dann ist das BSI der richtige Ansprechpartner.

lks
Mitglied: Dani
Dani 12.10.2019, aktualisiert am 13.10.2019 um 14:37:56 Uhr
Goto Top
Moin,
Denn was auch immer wir hier jetzt sagen, kann dich im Nachhinein sonstwo hinbringen.
das macht den Kohl nicht mehr dick... denn folgende Aussagen sind aus meiner Sicht schon ein fristlosiger Kündigungsgrund.
Ich habe zur Zeit ein dienstliches (Win10) Notebook in Gebrauch welches mit Trusted Disk verschlüsselt ist und mittels Smartcard und PIN entsperrt wird.

Aus verschiedenen Gründen würde ich dieses Notebook gerne mit einem Linux (ausschließlich) betreiben.

Das ist nicht irgendeine Geheimhaltungsstufe. Da kann schon solch ein vermeidlich einfaches Vergehen große Probleme für Mitarbeiter und Unternehmen mit sich bringen. Je nachdem ist genau definiert, was wo auf welchen Notebook sein muss. Das ist in diversen Dokumenten genau festgehalten und natürlich bindend.


Gruß,
Dani
Mitglied: timmyonfire
timmyonfire 13.10.2019 um 11:27:51 Uhr
Goto Top
Moin Dani,

Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Zumal man dafür schon die gesamte Situation und Umstände kennen sollte.


Wie mit VS umgegangen wird und in welchen Dokumenten dies beschrieben ist ist mir bekannt.
Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)

VG
Timmy
Mitglied: Dani
Dani 13.10.2019 aktualisiert um 14:56:46 Uhr
Goto Top
Hallo @timmyonfire
Ich kann nicht ganz nachvollziehen warum meine Aussagen für dich schon ein fristloser Kündigungsgrund wären?!
Naja, du lässt die Katze in deinem Beitrag auch nicht aus dem Sack - Es ist so lala formuliert. Es klingt für mich so, als bist du mit deinem geschäftlichen Gerät bzw. Windows 10 & Co nicht zufrieden. Eure interne IT hat wahrscheinlich dein Anliegen abgelehnt oder es wird in unbekannter Zeit prüfen. Daher liegt der Verdacht schon etwas sehr nahe, dass du dein Notebook entsprechend "heimlich" umrüsten möchtest.

Unterstellen möchte ich dir nichts! Du darfst aber gerne die Vermutungen aus der Welt schaffen und sagen wie es ist. Wir haben leider immer wieder Beiträge/Fragen, wo hinterher klar wurde, dass böse Absichten dahinter gesteckt haben. Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein. face-smile

Die Geheimhaltungsstufe "VS-NfD" ist im übrigen nicht die höchste sondern die niedrigste. (VS-NfD -> VS-Vetr. -> Geh. -> Str. Geh.)
Vielen Dank für die Korrektur. Du hast natürlich recht.


Gruß,
Dani
Mitglied: timmyonfire
timmyonfire 13.10.2019 aktualisiert um 21:31:55 Uhr
Goto Top
Hi @Dani

Unterstellen möchte ich dir nichts!
Aber mich direkt in entsprechende Schublade gesteckt. Und das wirkte schon sehr ähnlich. Obwohl ich den Hintergrund schon etwas nachvollziehen kann. Zu schnell gibt man "Laien" Anleitungen oder Informationen zu brisanten Dingen. Egal, zurück zum Thema! face-smile

Zur Erklärung; Ich bin schon vom Fach. Zu meinem Vorhaben stehe ich in direktem Kontakt zu meinen Kollegen in der Abteilung die für unsere Endgeräte zuständig sind. Da aber niemand von meinen Kollegen sich je mit Linux als OS auf unseren Endgeräten beschäftigt hat, habe ich die Freigabe mir selbst zu helfen. -Wenn ich alle allgemeinen, internen Vorgaben und natürlich die des BSI bezüglich VS umsetzen kann.

Warum möchte ich das Ganze?
-Zum einen weil mich der ganze Windows-Kram massiv nervt. Wir arbeiten mit extrem performanten Enterprise Laptops die vom OS überall ausgebremst werden. Da ich viel mit virtuellen Umgebungen arbeite benötige ich jedes Byte und jedes Hertz. face-smile
Zum Anderen möchte ich einfach auch beruflich mehr mit Linux arbeiten, da ich plane mich in diesem Bereich weiter zu entwickeln. Und dazu muss man einfach täglich mit Linux arbeiten.
Aber Hauptgrund ist einfach dieser ganze Windows- &$%§'*


Ein ITler pinkelt dem anderen grundsätzlich nicht ans Bein. face-smile
Seh ich auch so! face-smile

VG
Timmy
Mitglied: DerWoWusste
DerWoWusste 05.11.2019 um 21:56:25 Uhr
Goto Top
Und, hast du das BSI kontaktiert, gibt es zugelassene Verschlüsseler für Linux?
Mitglied: timmyonfire
timmyonfire 08.11.2019 um 14:55:40 Uhr
Goto Top
Vom BSI kam die Aussage, dass es leider kein zugelassenes Verschlüsselungsverfahren (FDE) für Linux Clients gibt.
Jetzt versuche ich herauszufinden ob FDE für VS-NfD überaupt Vorgabe ist, oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.

Desweiteren werde ich die Fa. Rohde&Schwarz mal anschreiben. Angeblich war mal eine FDE für Linux in Planung.

Wenn das alles nichts wird, gibt es noch die Möglichkeit auf eine SINA Workstation zurückzugreifen. Das wäre allerdings die letzte Option.
Mitglied: DerWoWusste
DerWoWusste 08.11.2019 aktualisiert um 15:00:12 Uhr
Goto Top
Ich stimme zu, mir war auch kein Produkt für Linux bekannt, das für NfD oder höher zugelassen ist, außer als SINA-Virtual-Workstation.
oder ob an dieser Stelle evtl. eine Dateiverschlüsselung ausreicht.
Äh, und du meinst, Dateiverschlüsseler müssten dann nicht auch zugelassen sein? Es gibt keine zugelassenen ausgewiesenen Dateiverschlüsseler, nicht einmal für Windows, soweit ich weiß.
Mitglied: timmyonfire
timmyonfire 11.11.2019 um 08:30:56 Uhr
Goto Top
Chiasmus ist für Winblows und Linux zugelassen.
Mitglied: DerWoWusste
DerWoWusste 11.11.2019 um 08:38:57 Uhr
Goto Top
Das ist richtig, Chiasmus nutzen wir sogar - fast vergessen. Ich habe eher an Dateiverschlüsseler gedacht, die sich in den Filemanager einbetten.
Wenn Du News von Rohde und Schwarz hast, bitte teilen.
Mitglied: timmyonfire
timmyonfire 11.11.2019 um 09:53:06 Uhr
Goto Top
GnuPG wäre auch (wieder) zugelassen.

Im aktuellen Merkblatt ( Stand: 29.04.2014) des BMWi für Behandlung von VS-NfD habe ich unter II 1.4 noch gefunden:

"Werden für die Bearbeitung oder Speicherung von VS-NfD eingestufte Daten tragbare IT-Systeme (z.B. Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln."

Das Merkblatt klingt zwar in einigen Teile ziemlich veraltet, dieser Passus liest sich aber so dass FDE vorausgesetzt wird.

Wenn ich was von R&S höre werde ich es weitergeben.