2024-09-03

Nicht mehr ganz taufrischer, aber gut gemachter Artikel zum Thema "Boot Security" unter Linux.

Ich befürchte es ist auch heute noch so, dass die initial Ramdisk (initrd) unverschlüsselt auf der Platte liegt und beim Boot auch nicht authentisiert wird, so dass das "Evil Maid"-Szenario ein Problem bleibt.

Ob dies wie vorgeschlagen mit TPM und Systemd gelöst werden kann/sollte, wird in der Community wohl noch (kontrovers) diskutiert werden.

Ergänzung: Bei Fedora scheinen Bemühungen für signiertes initrd im Gange zu sein.