Ja es ist geschafft! Ich habe mein komplettes Sicherheitskonzept umgesetzt. Es gab zwar Kolateralschaden (musste das System neu installieren, da das Backup warum auch immer nicht funktioniert hatte), aber es steht. Von dem neu installierten Gutsy scheint mein System auch zu profitieren. Die Altlasten sind nun mal gelöscht und zumindest subjektiv startet das System schneller.
Folgendes ist nun umgesetzt:
- Festplatten als RAID 1
- LVM im RAID
- Jedes Logisches Volume mit dm-crypt verschlüsselt
- Schlüssel für dm-crypt befinden sich auf externem Gerät
- Authentifizierung am System mit OpenPGP Smartcard
Über die Tatsache, dass der Schlüssel auf einem externen Speichergerät ist, lässt sich streiten. Hier hat bei mir die Bequemlichkeit gegenüber der Sicherheit gewonnen. Oder vielleicht doch nicht? Das physikalische Gerät ist so sicher wie ich auf es aufpasse und ein Passwort, das man nicht eintippt, kann man auch nicht mit einem Keylogger herausbekommen. Das ganze System ist jetzt nur so sicher wie ich auf USB-Stick und Smartcard aufpasse. Deshalb habe ich auch schon ein Verließ in Gringotts angemietet 😉
Was hat denn nun nicht funktioniert? Das Speichern des dm-crypt Keys auf der Smartcard. Das dürfte kaum möglich sein, da ein Userspace-Programm für den Kontakt zum Smartcard-Reader zuständig ist. Wie ich das in das Initial Ramfilesystem bekommen soll, ist mir ein Rätsel. Auch konnte ich meinen Smartcard Reader noch nicht dazu bewegen das Keypad zu verwenden. Angeblich funktioniert es mit GnuPG 2.x, aber pinentry weiß nichts von dem keypad 🙁 Ich glaube kaum, dass ich diesen Punkt noch hinbekomme.