Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
nitrokey:nitropadx230 [22.08.2020 21:17. ] – [Aktualisierung der Head-Idaten nach einem System-/Kernel/-glibc-Update] django | nitrokey:nitropadx230 [06.10.2020 17:27. ] (aktuell) – [NitroPad X230] django | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
Ein besonderes Augenmerk beim **NitroPad X230** wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene **[[https:// | Ein besonderes Augenmerk beim **NitroPad X230** wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene **[[https:// | ||
- | <WRAP center round tip 80%> | ||
- | Das Entfernen der IME hat natürlich auch zur Folge, dass z.B. das Schlafenlegen des Laptops nicht mehr funktionieren kann, was aber aus sicherheitstechnischen Überlegungen durchaus vertretbar ist und somit auch voölllig akzeptabel ist! | ||
- | </ | ||
Gestartet wird der Laptop per **[[https:// | Gestartet wird der Laptop per **[[https:// | ||
Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde! | Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde! | ||
Zeile 31: | Zeile 28: | ||
~~codedoc: | ~~codedoc: | ||
- | Dieser **Measured Boot** wird beim NitroPad mit Hilfe von Coreboot und Heads, aber ohne der **IME**((**I**ntel **M**anagement **E**ngine => [[https:// | + | Dieser **Measured Boot** wird beim NitroPad mit Hilfe von Coreboot und Heads, aber ohne der **IME** realisiert: |
- Die aus Sicherheitsaspekten durchaus fragwürdige **IME**((https:// | - Die aus Sicherheitsaspekten durchaus fragwürdige **IME**((https:// | ||
- Das sonst übliche **UEFI**((**U**nified **E**xtensible **F**irmware **I**nterface => https:// | - Das sonst übliche **UEFI**((**U**nified **E**xtensible **F**irmware **I**nterface => https:// | ||
Zeile 128: | Zeile 125: | ||
{{ : | {{ : | ||
- | Als erstes ändern | + | Als erstes ändern |
{{ : | {{ : | ||
Zeile 165: | Zeile 162: | ||
Wir werden nun nochmals gefragt, ob der Stick auch wirklich angesteckt wurde: | Wir werden nun nochmals gefragt, ob der Stick auch wirklich angesteckt wurde: | ||
- | Please confirm that you PGP card is inserted [Y/ | + | Please confirm that you PGP card is inserted [Y/n]: |
<WRAP center round alert 80%> | <WRAP center round alert 80%> | ||
Zeile 172: | Zeile 169: | ||
</ | </ | ||
- | Wir drücken also die Taste **z** auf der Tastatur und bestätigen so mit **//yes//** dass der Nitrokey Stick angesteckt ist. | + | Wir drücken also entweder **RETURN** zur Übernahme des Defaultwertes " |
< | < | ||
Zeile 195: | Zeile 192: | ||
==== Aktualisierung der Head-Daten nach einem System-/ | ==== Aktualisierung der Head-Daten nach einem System-/ | ||
- | **//... coming soon - in Bearbeitung | + | Aktualisierungen der Head-Daten stehen in aller Regel nach einem System-/Kernel/-glibc-Update an, bzw. wenn direkt nach dem Updatevorgang ein Neustart des Systems gefordert wird. |
+ | Wie auch schon beim [[# | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier wählen wir den gewohnten Menüpunkt **Default boot** aus und sehen natürlich nach einem Systemstart eine entsprechende Warnmeldung statt der erhofften **[[# | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Je nach Art und Umfang der Meldungen, kann es sein, dass die Meldung **'' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Falls noch nicht geschehen stecken wir nun unseren Nitrokey Stick an einem der beiden USB-Ports und bestätigen die vorbelegte Auswahl **[ Yes ]** durch drücken der **Return**-Taste. | ||
+ | |||
+ | Wir werden nun nochmals gefragt, ob der Stick auch wirklich angesteckt wurde: | ||
+ | |||
+ | Please confirm that you PGP card is inserted [Y/n]: | ||
+ | |||
+ | <WRAP center round alert 80%> | ||
+ | **ACHTUNG**: | ||
+ | Bevor wir nun die Frage mit der eingabe von **y** bestätigen, | ||
+ | </WRAP> | ||
+ | |||
+ | Wir drücken also entweder | ||
+ | |||
+ | < | ||
+ | |||
+ | 42112666: 000e1412197100000009 | ||
+ | Please unlock the card | ||
+ | |||
+ | Number: 0005 000067E8 | ||
+ | Holder: | ||
+ | Counter: 10 | ||
+ | PIN: | ||
+ | </ | ||
+ | Hier geben wir nun unsere [[# | ||
+ | |||
+ | Im Anschluss daran befinden wir uns wieder beim bekannten **Coreboot**-Prompt. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier können wir nun den ersten Menüpunkt **Default boot** auswählen und bekommen im Anschluss eine Fehlermeldung **'' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Diese Meldung bestätigen wir durch Druck der Taste **RETURN**-Taste. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier wählen wir den gewünschten Boot-Eintrag, | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Auf der gezeigten Auswahl wählen wir den zweiten Eintrag durch einem Druck der **↓**-Taste aus und bestätigen die Auswahl mit der **ENTER**-Taste. | ||
+ | |||
+ | Bei den folgenden drei Abfragen bestätigen wir die Defaultwerte jeweils mit der **ENTER**-Taste. | ||
+ | |||
+ | < | ||
+ | |||
+ | Do you wish to add a disk encryption to the TPM? [y/N]: | ||
+ | |||
+ | Please confirm that you PGP card is inserted [Y/ | ||
+ | |||
+ | Anschließend wir der am USB-Port angesteckte Nitrokey Stick geprüft. | ||
+ | < | ||
+ | |||
+ | 42112666: 000e1412197100000009 | ||
+ | Please unlock the card | ||
+ | |||
+ | Number: 0005 000067E8 | ||
+ | Holder: | ||
+ | Counter: 11 | ||
+ | PIN: | ||
+ | </ | ||
+ | |||
+ | Hier geben wir nun unsere [[# | ||
+ | |||
+ | Anschließend bottet das system und nach Eingabe der LUKS-Passphrase befinden wir uns beim Cinnamon Anmeldefenster. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Nach Eingabe der Anmeldeinformationen befinden wir uns auf der gewohnten aktualisierten Linux Mint Umgebung. | ||
+ | |||
+ | {{ : | ||
====== Links ====== | ====== Links ====== |