ROM für Vollverschlüsselung

[BlackMatrix]

Ich danke dir für deine Mühe. Ich werde dir morgen nochmal ausführlich antworten und es die Tage nochmal probieren. Vielleicht krieg ich es ja noch zum Laufen

Einen schönen Sonntag Abend wünsche ich dir noch.

 

[BOotnoOB]

@BlackMatrix Bedenke aber nur, dass eine Custom ROM immer ein großes Sicherheitsrisiko darstellt. Auch wenn die Datenpartition verschlüsselt ist, hat man uneingeschränkten Zugriff auf alle anderen Partitionen. Um z.B. eine App auf das Handy zu schleusen, muss die APK nur auf /system/app abgelegt werden, was mit TWRP eine Sachen von zwei Minuten ist. Während des folgenden Boots wird das System sie selbstständig installieren. Das ist nur eines von vielen Beispielen.

Dir auch einen schönen Sonntagabend!

 

[BlackMatrix]

Würde man das unterbinden, wenn man im TWRP Recovery die Modifikation unterbindet und das System nur read-only zulässt? Zumindest wird mir diese Frage beim Starten von TWRP gestellt und ich frage mich immer was ich dort eigentlich am besten drücken soll.
Dein genanntes Problem wird aber nur dann zum Sicherheitsrisiko, wenn ich, während ich mein Gerät nicht beaufsichtigt habe und währenddessen jemand diese APK in der Systempartition aufgespielt hat und ich diese ungewollt beim nächsten Start mit installiere, oder täusche ich mich da? Oder könnte, wenn ich das Gerät verloren habe, trotzdem jemand darauf zugreifen können?

Mal anders gefragt, könnte ich auch einfach das ganze Gerät unverschlüsselt lassen und meine sensiblen Daten und den OTP Generator auf eine verschlüsselte SD legen und dann zusätzlich eine APK installieren, die die SD Karte, während ich sie brauche, einhänge und auch wieder aushänge, sobald ich sie nicht mehr brauche? Sodass auch der Arbeitsspeicher von möglichen Schlüsseln geleert wird und beim Verlust, dann theoretisch nichts auslesbar ist?

Beiträge automatisch zusammengeführt: 16.03.2021

Ich weiß nicht, wie die das im xda Forum geschafft haben sollen, die Verschlüsselung zu aktivieren. Ich habe nochmal von vorne angefangen. Vielleicht kannst du nochmal kurz drüber schauen.
Mein Windows Rechner erkennt das Gerät nicht, ich mache das Flashen der Recovery über Heimdall in Linux:

heimdall flash --repartition --pit i9100-LOS-16.0-Emulated-Storage.pit --RECOVERY TWRP-3.4.0-i9100-Android-10.img

Danach gehe ich nur noch in TWRP rein und installiere

lineage-17.1-20210301-UNOFFICIAL-i9100.zip

und im Anschluss

lineage-17.1-20210301-UNOFFICIAL-i9100_boot_magisk.img

Muss ich evtl. beim Heimdall Flash noch einen Kernel mit angeben oder bei boot.img? Das System läuft, aber eine Verschlüsselung geht nach wie vor nicht.

 

[BOotnoOB]

Würde man das unterbinden, wenn man im TWRP Recovery die Modifikation unterbindet und das System nur read-only zulässt?

Nein, ich kann /system jederzeit wieder als r/w mouten. Außerdem kann die APK auch auf /vendor, /oem oder anderen Partitionen liegen.
Du brauchst /system nicht schreibgeschützt zu mounten. Diese Option ist schon älter und spielt aktuell keine Rolle mehr.

Dein genanntes Problem wird aber nur dann zum Sicherheitsrisiko, wenn ich,

Ja, du brauchst natürlich Zugriff. Theoretisch wäre einiges vllt. möglich, aber dann müsste auch schon gezielt die Absicht dahinterstecken und auch spezielles Wissen vorhanden sein.

meine sensiblen Daten und den OTP Generator auf eine verschlüsselte SD legen

Wenn du so eine App findest, warum nicht. Ich kenne jetzt keine, hab mich damit aber bisher auch nicht beschäftigt.

Das System läuft, aber eine Verschlüsselung geht nach wie vor nicht.

Solange das System läuft, kannst du ja nichts falsch gemacht haben. Poste bitte mal den Link zu dem XDA-Thread, indem die Verschlüsselung erwähnt wird.

 

[BlackMatrix]

Interessante Antwortuhrzeit

Entweder habe ich mich verschaut oder ich hab noch nicht alle Threads bei xda mit LOS abgecheckt und es deswegen nicht mehr gefunden. Ich finde die Suche dort auch irgendwie wenig hilfreich.

Hier hatte er was geschrieben bei LOS 17.1:

[ROM][UNOFFICIAL][10.0.0][r41][I9100] LineageOS 17.1

und jemand hatte es dann später zitiert, ob da noch etwas geschehen ist:

[ROM][UNOFFICIAL][10.0.0][r41][I9100] LineageOS 17.1

Im anderen LOS 16 Thread habe ich noch das hier gefunden:

[ROM][UNOFFICIAL][9.0.0][r46][I9100] LineageOS 16.0

Was wäre eigentlich dein bevorzugtes Setup? Neues Smartphone kaufen? Wie kann ich da meinen gewünschten Einsatzzweck sicherstellen? Ich finde halt das Galaxy S2 ist von der Minigröße (handlich für die Hosentasche) und der Robustheit genial. Es wäre perfekt für mein Vorhaben. Wenn das jetzt schon 10 Jahre gehalten hat, hält das vielleicht auch noch weitere 10 Jahre. Aber irgendwie sind mir da noch zu viele Unsicherheiten, die sich scheinbar nicht abstellen lassen.

 

[BOotnoOB]

Ich finde die Suche dort auch irgendwie wenig hilfreich.

Das geht mir so auf die Nerven!! Vor der Umstellung der Software war das so genial bei XDA. Begriff in die Suchleiste eingeben und alle passenden Posts werden gelistet. Und jetzt? Wenn du Pech hast, musst du 80-100 Seiten durchsuchen. Vielen Dank für das Update!

Du willst eine Funktion nutzen, die eigentlich niemand haben will. Verschlüsselung und Custom ROM ist immer so ne Sache. Ich glaube nicht, dass der Entwickler sich besonders viel Mühe gibt dabei, weil es eh keinen stören wird, sollte es nicht funktionieren - mit ein paar wenigen Ausnahmen. Also wenn es bei Lineage nicht funktioniert, dann ist das halt so. Diese Funktion lässt sich auch nicht mal eben so nachträglich einfügen. Das hat Auswirkungen auf das gesamte Framework.

Mein Setup: "Neues" Gerät mit Android 6+, welches sich problemlos modifizieren lässt, z.B. Geräte von Motorola (eigene Erfahrung). Sind und waren schon immer günstig und haben ein pures Android. Für den Fall, dass du den Bootloader öffnen willst, ist das auch kein Problem. Bei Motorola geht das online und dauert mit allem drum und dran 10-15 Min.
Das Sicherheitsrisiko für dich ist dabei zwar vorhanden, aber da müsste es schon jemand auf dich abgesehen haben und zudem erweiterte bis spezielle Programmierkenntnisse besitzen. Ansonsten bist du auch mit offenem Bootloader sicher unterwegs.

 

[BlackMatrix]

Das geht mir so auf die Nerven!! Vor der Umstellung der Software war das so genial bei XDA. Begriff in die Suchleiste eingeben und alle passenden Posts werden gelistet. Und jetzt? Wenn du Pech hast, musst du 80-100 Seiten durchsuchen. Vielen Dank für das Update!

Haha und ich dachte ich bin einfach nur zu blöd dafür die Suche zu bedienen. Gut, dass es nicht daran liegt

Mittlerweile glaube ich, dass an meinem Setup für das Galaxys S2 doch noch irgendetwas nicht so richtig passt. Vielleicht muss ich wirklich nochmal auf Stock ROM zurückgehen um dann nochmal LOS zu probieren, oder macht das keinen Sinn? Ich wollte nämlich gerade mal probieren, die SD Karte, die ich eingeschoben habe zu formatieren und diese als internen Speicher zu nutzen, aber auch das hat dafür gesorgt, dass das Handy nach kurzem Formatierungsvorgang einfach nur neustartet und nun auch nicht mehr stabil läuft.
Was könnte das sein? Ich flashe mit Heimdall nur das Recovery, sollte ich da noch was anderes mitgeben? im LOS Thread wird manchmal neben der PIT auch eine PDA erwähnt, die habe ich noch an keiner Stelle aufgespielt. Kenne mich da aber auch ehrlich gesagt nicht so gut aus.

Ich könnte mir im Allgemeinen halt gut vorstellen, dass wenn ich erstmal das System bestmöglich verschlüsselt habe (wenn auch noch mit genügend Einfallstoren) und dann auf Anwendungsebene ähnlich TrueCrypt oder VeraCrypt eine SD Karte einhängen könnte, ich bei Verlust schon ziemlich auf der sicheren Seite wäre. Wobei ich mir dann auch wiederum sagen müsste, selbst wenn ich das Ding verliere, hätte ich wahrscheinlich so viel Angst, dass doch jemand rankommt, dass ich lieber doch meine ganzen privaten Schlüsseln schnellstmöglich austauschen würde.

 

[BOotnoOB]

@BlackMatrix Mal eine andere Überlegung: Wieso machst du die komplette Authentifizierung nicht über eine entsprechende App, mit kompletter Verwaltung online?

Identity Management – Access Management – RSA

Hier die App dazu:
RSA SecurID Software Token - Apps on Google Play

Das ist jetzt nur ein Beispiel von vielen. Jedenfalls kann ich dir sagen, dass mein Arbeitgeber dieses Tool nutzt, um mir den Zugang zum Intranet zu ermöglichen. Da es ein großes internationales Unternehmen ist und ich mich selbst im Intranet für jedes noch so banale Onlinetool mit BenutzerID und Passwort anmelden muss (Passwort muss monatliche gewechselt werden!), halte ich diese App für sehr sicher. Selbst mein gestellter Rechner ist für absolut nichts zu gebrauchen, was über Arbeit hinausgeht. Ich kann ohne VPN fürs Intranet noch nicht mal eine E-Mail versenden, geschweige denn google.com aufrufen. Das soll jetzt nur mal verdeutlichen, wie das Thema Sicherheit behandelt wird und dementsprechend der Gebrauch dieser App zu bewerten ist.

Was dein Projekt angeht: Lass das sein mit der Formatierung der Karte als intern. Das war und ist zu unzuverlässig und auch oft mit Fehlern verbunden. Dann lieber doch auf Drittanbieter zurückgreifen, die du bereits erwähnt hast.
Alternativ: 70-90€ investieren und ein anderes Handy mit A6+ kaufen. Du merkst ja selbst, wie instabil die ganze Sache ist mit so alter Hardware. Die Custom ROMs sind ja gut und schön, aber du kannst auch kein Chassis eines Porsche über einen Golf I schrauben und dadurch Wunder erwarten. Der einzige Vorteil einer Custom ROM ist das aktuelle Android Framework, zurechtgebogen, um auf deinem Gerät zu laufen. Du hast nur nach außen hin ein aktuelles OS, das aber durch die Hardware an allen Ecken ausgebremst wird und dadurch unstabil werden kann.

 

[BlackMatrix]

Ich fand halt grundsätzlich die Idee ziemlich cool, ein Gerät zu haben, dass ohne jeglichen externen Datenzugriff Einmalpasswörter für die 2FA generieren kann. Welches ich aber zusätzlich mit anderen sicherheitskritischen Features erweitern könnte. Es gibt mir irgendwie eine gewisse Sicherheit, wenn das Gerät gar keinen Internetzugriff hat. Es muss somit auch nicht unbedingt aktuell gehalten werden. Würde es ein sicheres System für das S2 geben, wäre es das optimale Gerät, klein, handlich, Kamera für QR Codes scannen und robust ist es auch noch. Ich würde, wenn das klappt, sogar alles mögliche auf 2FA umstellen. Das wäre dann mein täglicher, zusätzlicher Begleiter.

Ich werde mich mal nach einem anderen Gerät umschauen. Ich danke dir für deine sehr hilfreichen Antworten hier

 

[BOotnoOB]

@BlackMatrix Lieber etwas investieren, dann hast du auch ein fertiges Komplettpaket und musst nur noch die Apps installieren. Das wird auch insgesamt deinen Ansprüchen gerecht.

 

[BlackMatrix]

Ich bin gerade auf ein interessantes Projekt gestoßen:

Replicant

Die scheinen aktiv noch an den ROMs zu arbeiten und deren Philiosophie ist Privacy und Security. Ich frage mich daher gerade wieder, ob ich nicht doch das S2 für was halbwegs sicheres verwenden könnte

Warte gerade darauf, dass ich mein Gerät vollgeladen bekomme und mal die Verschlüsselung anschmeißen kann. Laut einem Forumsbeitrag soll das möglich sein, man muss aber einige wie von dir genannte Dinge beachten.

Die Verschlüsselung scheint geklappt zu haben und die sagen auf ihrer Page, dass das GT-i9100, die 2. beste Option ist um ein sicheres Gerät mit Replicant zu haben:

Replicant

Ich habe diesen Beitrag gefunden, der besagt, dass obwohl derjenige die Verschlüsselung angeworfen hat, alle Dateien sichtbar war ohne das Passwort einzugeben, wie du bereits erwähntest. (Internal Storage not Encrypted - I9100 running Replicant 6 - Replicant)

Aber, dafür gibt es wohl einen Patch [PATCH][i9100] Encrypted Emulated Internal Storage - Replicant Mal schauen wie man den einspielen kann.

Kurtis: you have to apply these changes on top of Replicant 6.0 if you would like to use emulated store on it.

We are considering them for Replicant 10, but we are reluctant to add them as default because repartitioning the device causes compatibility issues with other distros. Although, truth be said, other distros like LineageOs and /e/ are already requiring users to repartition their GT-I9100 phones.
We may support this as optional for advanced users.

From what I remember, I removed the UMS from the PIT file and encryption worked flawlessly. UMS is a relict from Android 2.3 and as I wrote, the FACTORYFS partition must to be enlarged to install Replication or, in fact, any newer version of Android. Therefore, PIT file must be changed regardless of the UMS partition. So removing the UMS partition is not an additional or more complicated step.

Moreover, as I wrote, emulated storage has advantages over adoptable storage or even UMS.

So I would highly recommend that Replication recommends to remove the UMS partition, explained, justified and described in the issue description.

 

[BOotnoOB]

@BlackMatrix Ich habe die ROM zwar selbst nicht getestet, aber wenn ich mich in der FW umgucke, überzeugt mich die ROM für den täglichen Gebrauch nicht so ganz. Für deine Zwecke scheint sie wirklich gut zu sein, aber du hast ja auch ganz andere Pläne als der normale User.

Privatsphäre wird anscheinend überwiegend dadurch geschaffen, dass Google komplett ausgesperrt wird. Das macht Lineage auch. Nur bietet Lineage auch Alternativen und die fehlen bei dieser ROM. Du hast unterm Strich nur pures AOSP, dem ohne jegliche Präsenz von Google auch die Entwicklung der letzten Jahre von Google fehlt.

Für dich interessant: Diese ROM wird bei jeder Art von Root-Check gnadenlos versagen! Selbst die älteste und einfachste Variante, wie z.B. Rootbeer, wird sofort anschlagen. Nicht so dolle... Die su-Binary ist ins System integriert, wie auch die BusyBox. So wird eine Firmware seit Jahren schon nicht mehr entwickelt.

Also ist dein Handy jetzt verschlüsselt?

 

[BlackMatrix]

Es ist verschlüsselt, aber wie du bereits sagtest, nur zu Hälfte. So wie ich mich jetzt durch die Threads gewühlt habe, kann man dem wohl umgehen, indem man die eine Partition möglichst klein macht, während die andere, welche dann verschlüsselt ist, möglichst groß macht.

However there were a few things I had to change in order to fully replace the pocket spy with something freer, which include enabling emulated internal storage so that files in /sdcard get encrypted alongside the rest of /data.

The process goes something like this:
- Repartition the memory to increasce the size of /data (mmc0blk10) and decreasce that of /emmc (mmc0blk11)
- Build and install Replicant 4.2 with support for emulated internal memory
- Encrypt /data

Dazu muss man aber wohl die Sourcen auschecken und noch minimale Änderungen vornehmen und selbst kompilieren. Mal schauen, ob ich das alles hinbekomme

So wie ich es verstanden habe, ist es wohl angesetzt, dass mit in replicant 10.0 aufzunehmen (die nächste Version) Siehe: Feature #1873: Remove UMS partition - Replicant

 

[BOotnoOB]

indem man die eine Partition möglichst klein macht, während die andere, welche dann verschlüsselt ist, möglichst groß macht.

Das beste Tool, was es dafür gibt, ist gdisk. Standard bei jeder Linux-Distribution und auch bei Android über die App Termux. Der Speicher deines Handys ist nichts weiterals eine GPT-Partitionstabelle. Super einfach aufgebaut und genauso einfach zu bearbeiten. Mit gdisk sind 3 Befehle nötig, um z.B. eine SD-Karte auf exakt dieselbe Weise so zu formatieren, wie esAndroid bei der intetnen Speichererweiterung macht. Ich kann dir mit diesem Tool daraus auch in 2 Min. einen Linux Bootstick erstellen. Einfach genial!

Beiträge automatisch zusammengeführt: 19.03.2021

Im Anhang ist meine Partitionstabelle. Als Beispiel hier die erste Zeile:

Number​	Start​	End​	Size​	Code​	Name​
1​	256​	7423​	3,5MiB​	A012​	xbl_a​

Eigentlich selbsterklärend: Die 1. Partition xbl_a startet an Block 256 und endet im Block 7423. Damit ist die Größe aber nicht 7423-256=7167! Da musst du aufpassen, denn sie ist 7168 Blöcke (Sektoren) groß. Das entspricht 3.670.016 Byte (=7168*512) und das sind genau 3,5MiB (1024 Byte als Basis).

So geht es weiter bis ganz zum Schluss der restliche Speicher für /data übrig bleibt. Fertig.

 

[BlackMatrix]

Ich nehme an, ich muss beides machen, die Partitionen ändern und die Sourcen ändern, oder?

/devices/platform/dw_mmc/mmc_host/mmc0/mmc0*                  auto    auto    defaults        wait,voldmanaged=sdcard0:11,noemulatedsd,nonremovable

in der fstab.smdk4210 entfernen und

setprop ro.vold.primary_physical 0

in der init.smdk4210.rc hinzufügen.

Ich nehme an die PIT files, die man aufspielen kann, machen nichts anderes als die Partitionen wie in deinem Beispiel zu erstellen? Kann man das eigentlich auch mit Termux im laufenden Betrieb machen?

Letzte Frage, wenn ich meine relevanten Apps, die sicher sein sollen, zu sdcard0 schiebe, wie mir das im App Menü angeboten wird, sind die dann sicher? Ich blicke bei den ganzen Partitionen noch nicht so richtig durch Oder anders gefragt, welche Partitionen müssten jetzt grundsätzlich (hoffentlich) verschlüsselt sein, wenn man beim Start ein Passwort eingeben musste?

 

[BOotnoOB]

@BlackMatrix Dir ist aber schon klar, dass mit dieser ROM vermutlich keine einzige App laufen wird, die einen Root-Check hat? Du kannst weder Root noch die Custom ROM verstecken. Die fehlenden Google Schnittstellen wie SafetyNet, die gerne von vielen solcher Apps verwendet wird, kannst du auch nicht ersetzen.

Beiträge automatisch zusammengeführt: 20.03.2021

Magisk kannst du nicht installieren, da es weder mit dem boot.img noch mit dem recovery.img zurecht kommt. Beide entsprechen nicht der Boot Image Header Version laut Google.
Ich benutze selbst die Binary von Magisk (magiskboot) schon länger, um meine Images zu entpacken. Ich garantiere dir, dass bis runter zu Magisk v18.0 keine der Versionen das schaffen wird. Denn grundlegend hat sich dabei nicht viel verändert, außer mal ne neue Zeile, die hinzugefügt wurde.

 

[BlackMatrix]

Ich habe nicht vor, irgendwelche Google APKs zu installieren oder PlayServices zu nutzen. Nur Apps, die im F-Droid Store oder auf github zu finden sind und da auch nur maximal eine handvoll. Root habe ich auch nicht vor einzurichten.
Mein andOTP läuft schon mal, aber ich bin mir nicht ganz sicher, ob der schon auf einer verschlüsselten Partition liegt und ob der nicht selbst auch nochmal die Keys verschlüsselt ablegt. Optimal wäre natürlich beides, sonst kann ich mir die Verschlüsselung sparen, wenn andOTP sie richtig implementiert hat
Noch einen Passwortmanager drauf, die Patches noch irgendwie reinbekommen und nochmal zu Gemüte führen, welche Partitionen bei meinem S2 nun verschlüsselt sind und welche nicht, dann könnte ich mir vorstellen, dass das meiner Vorstellung entspricht

 

[BOotnoOB]

Root habe ich auch nicht vor einzurichten.

Musst du auch nicht, da es schon vorinstalliert ist. Daher wird eine App, sobald sie einen Root-Check hat, mit dieser ROM nicht laufen. Es geht nicht um Google Apps. Es geht um deine persönlichen Apps für die 2FA.

 

[BlackMatrix]

Ich muss mal schauen. Die Apps, die ich bisher brauche, scheinen erstmal zu gehen. Termux benötigt aber mindestens Android 7.

Ich würde mir ja ganz gerne, um es besser zu verstehen und ein besseres Gefühl zu bekommen, die Daten des S2 auslesen, die ich nun noch vor der Passworteingabe auslesen könnte. Hast du eine Idee wie man das bewerkstelligt? Müsste man dazu erst wieder eine spezielle Recovery installieren und das Gerät in einen adb Mode bringen oder wie wäre da dein Vorgehen? Geht das evtl. auch über den Download Mode?

 

[BOotnoOB]

@BlackMatrix Ich kann dir genau sagen, welche Daten verschlüsselt sind und welche nicht. Alle Partitionen außer /data sind nicht verschlüsselt. Das sind die Systempartitionen. So steht es auch in der fstab drin. Jede einzelne Partition, die gemountet wird, ist dort benannt und ihre individuellen Attribute werden dort deklariert. Bei /data steht dann, sie kann verschüsselt werden. Ab Android 6 würde dort stehen, sie muss verschlüsselt werden. Auch geläufig als "force encryption".