Full Disk Encryption mit TPM2 - Anleitung benötigt

J

jmaitra

Member
Oct 4, 2020
24
7
23
Moin Zusammen,

ich möchte auf aktueller Hardware, die bei mir zuhause steht, ein PROXMOX VE - System neu aufsetzen (Ersatz eines Windows 20216 HYPER-V Hosts). Aus Gründen der Datensicherheit sollen die Daten verschlüsselt gespeichert werden (habe ich auf dem Windows-HOST mit Bitlocker realisiert).

Wo finde ich eine Anleitung wie man das zusammenbaut (idealerweise ohne Eingabe eines Kennwortes nach dem Booten - das habe ich bereits hinbekommen, kommt für mich aber im Betrieb nicht in Frage) ? Wer hat sowas ggfs. schon gemacht und kann mir entsprechende Tipps geben ?


Vielen Dank für Eure Unterstützung und viele Grüße
Jens
 
Last edited:
jmaitra said:
Moin Zusammen,

ich möchte auf aktueller Hardware, die bei mir zuhause steht, ein PROXMOX VE - System neu aufsetzen (Ersatz eines Windows 20216 HYPER-V Hosts). Aus Gründen der Datensicherheit sollen die Daten verschlüsselt gespeichert werden (habe ich auf dem Windows-HOST mit Bitlocker realisiert).

Wo finde ich eine Anleitung wie man das zusammenbaut (idealerweise ohne Eingabe eines Kennwortes nach dem Booten - das habe ich bereits hinbekommen, kommt für mich aber im Betrieb nicht in Frage) ? Wer hat sowas ggfs. schon gemacht und kann mir entsprechende Tipps geben ?


Vielen Dank für Eure Unterstützung und viele Grüße
Jens
Click to expand...
Sehe nicht wie das der Datensicherheit förderlich wäre ohne Passworteingabe, mal abgesehen von RMA von defekten Platten die sich nicht mehr wipen lassen. Ist immer die Frage wogegen du dich schützen willst. Vor Hackern hilft es nicht, da die Daten ja im Betrieb entschlüsselt vorliegen.
Gegen physischen Zugriff bzw Einbruch hilft es nicht, wenn jemand den Server klaut, woanders wieder anschließt und sich die Platten dann von selbst entschlüsseln weil der Schlüssel im TPM oder auf einem USB-Gerät gespeichert ist.
 
Dunuin said:
Sehe nicht wie das der Datensicherheit förderlich wäre ohne Passworteingabe, mal abgesehen von RMA von defekten Platten die sich nicht mehr wipen lassen. Ist immer die Frage wogegen du dich schützen willst. Vor Hackern hilft es nicht, da die Daten ja im Betrieb entschlüsselt vorliegen.
Gegen physischen Zugriff bzw Einbruch hilft es nicht, wenn jemand den Server klaut, woanders wieder anschließt und sich die Platten dann von selbst entschlüsseln weil der Schlüssel im TPM oder auf einem USB-Gerät gespeichert ist.
Click to expand...
Danke für die Rückmeldung. Eigentlich wollte ich genau diese Diskussion nicht führen; idealerweise hättest Du mir einfach auf meine Frage geantwortet. Es ist nicht so, dass ich große Geheimnisse aufzubewahren hätte - andererseits möchte ich, sofern sich ein Einbrecher der Systeme bemächtigt, es ihm aber auch nicht zu einfach machen, an meine persönlichen Daten zu gelangen. In der Literatur ist von einem "angemessenen Schutzniveau" zu lesen. Und genau dieses wäre aus meiner Sicht mit einer Full Disk Encryption incl. Hinterlegung des Schlüssels im TPM2 erreicht.

==> Die Platte ist nicht einfach auszulesen indem man sie einfach nur in ein anderes Gerät einbaut.

a) gegen professinelle Hacker kann ich mich damit nicht schützen - das ist mir bekannt
b) die einzelnen LINUX-VMs sind insofern geschützt, als dass der root-Zugriff nur schlüsselbasiert funktioniert - brute force dürfte damit schwierig werden

Also nochmal zu meiner aktuellen Frage: Wo finde ich eine Anleitung ?


Vielen lieben Dank für die Unterstützung und viele Grüße
Jens
 
Moinsen,

ich habe es für meine Windows-Systeme mittlerweile anders gelöst (erfordert zusätzliche Hardware). Hier nutze ich einen Share auf eine verschlüsselte Netzwerk-Festplatte; auf diesem speichere ich dann die EFI-Partition und die TPM-Partition. Die Systeme selbst werden mit Windows-Bordmitteln (Bitlocker) verschlüsselt. Das sorgt zwar für eine (manchmal unschöne) Abhängigkeit bei Updates, ist aber auch ohne tiefgreifende LINUX-Kenntnisse zu implementieren.

Für mich ist das so ausreichend - trotzdem danke für den Tipp.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back