Graphene OS

Oh sehr schön das es hier auch ein paar Graphene OS Interessenten gibt. Da fühlt man sich doch gleich etwas heimisch ich nutze Graphene OS eigentlich seit der Trennung von Copperhead. Also schon eine ganze Weile und ich muss sagen es hat sich eine Menge getan. Insbesondere das Duress Passwort und zuletzt der zwei Faktor Fingerabdruck sorgen dafür das ich mir bei diesem OS absolut sicher sein kann.

Das Pixel 4a hat extended Support und es wird angeraten sich bald etwas Neues zu suchen auch wenn es super schade ist da es dieses Gerät so kein 2. Mal geben wird was Abmessung und Gewicht betrifft

Zitat von andree4live

( . . . ) Insbesondere das Duress Passwort und zuletzt der zwei Faktor Fingerabdruck sorgen dafür das ich mir bei diesem OS absolut sicher sein kann.

( . . . )

Moin andree4live,

kannst du mir kurz erklären, wobei es sich bei dem 'Duress Passwort' handelt und wie ich mir den 'zwei Faktor Fingerabdruck' vorstellen kann?
Ist da ein Fingerabdruck mit 'nem zweiten Finger nötig?

Danke dir

Zitat von Boedel

kannst du mir kurz erklären, wobei es sich bei dem 'Duress Passwort' handelt

Ich wurde zwar nicht angesprochen, aber erklären kann ich dir es dennoch.

Man vergibt 2 verschiedene Pins. Die eine Pin ist deine normale Pin mit Zugriff auf alles. Die andere, die Duress Pin (Zwangs-Pin), nutzt du, wenn dich jemand zwingt dein Smartphone zu entsperren. Damit wird das Smartphone zwar auch entsperrt, man hat aber nur Zugriff auf die Daten, welche man vorher mit der ersten Pin explizit freigeschaltet hat.

Ob Sinn oder Unsinn, kann auch jeder selbst aussuchen.

ich versuche es auch einmal an Hand meines Nutzungsprofils zu erklären.

2. Faktor zum Fingerabdruck

Ich habe ein sehr langes Passwort zum Entsperren meines Gerätes. Fährt das Gerät hoch, muss ich also zunächst einmal dieses sehr lange Passwort eingeben. Anschließend kann ich das Gerät mit meinem Fingerabdruck entsperren. Da nur der Fingerabdruck sehr unsicher ist was Übergriffe angeht habe ich zusätzlich einen 2. Faktor hinterlegt, einen zusätzlichen 6 Stelligen PIN. Da mein PIN Eingabefeld zusätzlich noch gewürfelt ist (also die Reihenfolge jedesmal geändert ist) ist hier ein Höchstmaß an Sicherheit vorhanden.

Sollte trotzdem jemand dafür sorgen das ich meinen Finger nutze um das Gerät zu entsperren wird er also vor die nächste Herausforderung gestellt, nämlich der PIN Eingabe. Hier kann ich ganz einfach den

Duress PIN

anwenden. Ich habe hierzu einen leicht zu eratenden PIN verwendet. Gibt man also den Duress PIN ein, werden die Schlüssel des Gerätes unwiederbringlich gelöscht und das Gerät ist anschließend komplett gelöscht, inklusive aller auf dem Gerät befindlicher esims. Bis heute ist keine Möglichkeit bekannt da irgendetwas auszulesen.

Sollte ich nach dem ersten entsperren Mit dem Finger das Gerät nicht mehr anrühren, wird nach 4 Stunden ohne Nutzung das lange Hauptkennwort zur Entsperrubg wieder abgefragt.

Zusätzlich kann man eine Zeit einstellen nach der sich das Gerät rebootet und sich so wieder im sicheren bfu status befindet

Zur Erklärung

Man unterscheidet in der digitalen Forensik zwei Zustände von Smartphones

BFU (before first unlock / also vor dem ersten Entsperren). Das Gerät wird eingeschaltet aber es ist kein Passwort oder PIN eingegeben worden. Die Entschlüsselungsschlüssel sind sicher und können auch durch Datenextdaktionstools nach heutigem Stand nicht ausgelesen werden.

AFU (after first Unlock / nach dem ersten Entsperren) Das Gerät wurde eingeschaltet und das Passwort bzw PIN wurde eingegeben. Nun liegen die Verschlüsselungsschlüssel im RAM des Gerätes wo sie theoretisch auslesbar sind (Graphene OS hat hier aber noch weitere Schutzmechanismen).

Da ich Zugriff auf eine Cellebrite Touch habe konnte ich in diesem Status sogar bei einen IPhone 15 eine teilweise Daten Extraktion vornehmen. Bei einem Pixel 8a mit Graphene OS jedoch nicht.

Graphene OS hat die zusätzliche Funktion den USB C Port zu sperren so das hier kein Datenfluß stattfinden kann.

Ich hoffe das war einigermaßen verständlich formuliert

PS die sichersten frei käuflichen Geräte sind iphones der neuen Generation und Google Pixel Geräte danach kommt eine ganze zeitlang gar nichts. Google Pixel der neuen Generation mit Graphene OS sind sicherer als iphones wenn sie richtig konfiguriert sind. Samsung zB selbst wenn Knox aktiviert ist, stellen für moderne Datenextraktionstools kein Hindernis dar. Ein S23 Ultra zB war in wenigen Sekunden ausgelesen ... Da muss man wirklich verstehen das hinter einigen Äußerungen der Hersteller nur Marketingabsichten stecken.

Also meine ersten Versuche sind leider gescheitert.

Es kommt immer kurz, bevor der Flash-Vorgang beendet wird, die Fehlermeldung:

"Error: Failed to execute 'transferOut' on 'USBDevice': A transfer error has occurred."

Im Brave Browser ging es gar nicht, in Chrome und Edge die o.g. Meldung, bestimmt 7-8x den Vorgang durchlaufen lassen

Betriebssystem am Desktop Windows 11 Enterprise LTSC.

Morgen probiere ich es am Laptop (Lenovo, BS Windows 10 Enterprise LTSC).

Wenn alle Stricke reißen, hätte ich noch einen alten SONY Laptop, wo ich Linux Mint installiert habe

Beschreib doch bitte genau was du bzw wie du es machst.

Vorbereitung Pixel

-Original Kabel verwenden

-Akku laden

-Neustes Update für das Pixel instalieren

-Developermodus aktivieren

-OEM Entsperrung aktivieren

-Gerät ausschalten

-Gerät im Recoverymodus starten

-Auf dem Rechner nun (am besten via chromebrowser) den Webinstaller öffnen

-Pixel an das Kabel stecken und den Button Bootloader unlock klicken

-auf dem Pixel den Bootloaderunlock bestätigen

-Nachdem der Bootloader entsperrt ist einfach dem Webinstaller folgen

bei Problemen schreib einfach