Sicherheits-Firmware Heads

Bild: Purism

Bei Purism geht es derzeit Schlag auf Schlag und ich staune, wie so ein kleines Unternehmen so viele neue Entwicklungen umsetzen kann. Vor wenigen Tagen erst gab das Unternehmen bekannt, dass alle neuen Notebook-Modelle ab sofort ohne Aufpreis mit einem TPM-Chip ausgestattet sind. Jetzt erfahren wir, dass die Entwickler Trammell Hudsons Projekt Heads integriert haben. Die Arbeiten daran begannen vor rund einem Jahr und konnten jetzt zum Abschluss gebracht werden. Nach eigenen Angaben verkauft Purism damit die sichersten Notebooks unter voller Kontrolle des Besitzers.

Heads verbessert die Sicherheit

Heads ist eine Open Source Custom Firmware- und Betriebssystem-Konfiguration für Laptops und Server, die darauf abzielt, die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Im Gegensatz zu Tails, das darauf abzielt, ein zustandsloses Betriebssystem zu sein, das keine Spuren auf dem Computer hinterlässt, ist Heads für den Fall gedacht, dass Daten und Zustände auf dem Computer gespeichert werden müssen. Nicht zu verwechseln ist die Heads-Firmware mit der gleichnamigen Distribution aus dem Umfeld von Devuan.

Keine Manipulation von BIOS und Kernel

Neben deaktivierter Intel Management Engine, dem von der FSF empfohlenen PureOS, Coreboot anstatt herkömmlichem BIOS und TPM-Chip fügt Purism nun mit Heads einen weiteren Baustein zu einem möglichst sicheren Notebook hinzu. Die Entwickler betonen, dass Sicherheit zwingend Freiheit voraussetzt. Dazu gehört die Freiheit, vom Start des Notebooks an kontrollieren zu können ob der ausgeführte Code in irgendeiner Weise verändert wurde. Das betrifft in besonderer Weise die Komponenten BIOS und Kernel, deren Manipulation sehr schwer zu entdecken ist und die Kontrolle über den Rechner völlig einem Angreifer übereignen kann. Das wurde uns gerade erst wieder mit Meltdown und Spectre eindringlich demonstriert.

Wenn schon beim Booten eine Software wie Heads sicherstellt, dass der Code nicht manipuliert wurde, gibt das Sicherheit bereits vor der eigentlichen Nutzung. Mit Purisms kombiniertem Ansatz wird das erste Bit, das in die CPU geladen wird, analysiert und vom Benutzer signiert, um zu belegen, dass nichts manipuliert wurde. Wie Purism schreibt, gab es viele mögliche Wege, die Rechner bereits ab dem Bootprozess abzusichern, jedoch lege kaum eine davon die Kontrolle in die Hände des Anwenders.

In der Hand des Anwenders

Heads hat viele Vorteile gegenüber allen anderen Boot-Verifikationstechnologien, die es für Librem-Laptops geeignet erscheinen lässt. Erstens ist es Freie Software, die mit dem Open Source Coreboot-BIOS zusammenarbeitet. Darüber hinaus stellt die Art und Weise, wie Heads das TPM des Systems verwendet, um Manipulationssicherheit zu gewährleisten die Schlüssel unter volle Kontrolle des Anwenders. So können diese auch, anders als etwa bei Secure Boot, jederzeit vom Besitzer geändert werden.

Vom einzelnen Laptop bis zur Unternehmensflotte

Damit sind nicht nur Privatanwender, sondern auch Unternehmen mit einer Flotte von Laptops in der Lage, einen mit selbstsignierten Schlüsseln versehenen, gegen  Manipulation resistenten und ständig auf Malware überprüften Laptop zu realisieren, der bei Bedarf trotzdem ein selbst erstelltes angepasstes Distributions-Image verwenden kann.

Der Heads-Entwickler zur Zusammenarbeit mit Purism:

»Purism’s Librem Laptops sind ideal für die Philosophie des Heads-Firmware-Projekts geeignet. Purism stellt moderne Hardware her, die den Benutzern die Kontrolle über ihre eigenen Systeme ermöglicht. Sie sind der einzige Anbieter, der es den Anwendern erlaubt, ihre eigene »Hardware-Root of Trust« mit CPU-Features wie Bootguard zu etablieren, und ihre Unterstützung für Coreboot und Heads verbessert die Sicherheit, indem sie offen, prüfbar, flexibel und messbar sind.«Trammell Hudson

 

Verwandte Themen

Neuer Lagebericht zum Librem 5
views 651
Librem 5 UI-Shell   Die Entwickler des Linux-Smartphones Librem 5 haben einen neuen detaillierten Bericht zum Entwicklungsstand veröffentl...
Librem Key: Mehr Sicherheit für Notebooks
views 474
  Bild: Librem Key | Quelle: Purism | Lizenz: CC-by-SA 4.0   Im Mai hatte Purism, Ausrüster von auf den Schutz der Privatsphäre a...
Purism entwickelt SMS-App für das Librem 5
views 358
    Bild: Chatty-App auf dem Librem 5 | Lizenz: CC-by-SA 4.0   Für viele Menschen sind SMS und Messaging allgemein eine d...
Librem 5 Linux-Phone nimmt weiter Gestalt an
views 1.6k
Bild: Librem 5 UI-Shell | Quelle: Purism | Lizenz: CC BY-SA 4.0 Die meisten Mitglieder des Librem-5-Teams, die für Purism an deren Linux-Smartphon...
Intel x86 – Sackgasse ohne Ausweg
views 1.1k
Bild: Hacker | Quelle: The Preiser Project | Lizenz: CC BY 2.0 Intels CPU-Sparte hat viele Probleme und es werden nicht weniger. Neben den Pro...

Beitrag kommentieren

Alle Kommentare
  • tuxnix

    01.03.2018, 07:57 Uhr

    „…und ich staune, wie so ein kleines Unternehmen so viele neue Entwicklungen umsetzen kann.“
    Ganz so erstaunlich ist das nicht. Man könnte sich genauso fragen, wieso es so lange gedauert hat bis endlich einmal etwas passiert.
    Seit Jahr und Tag sind die Sicherheitsmängel und Möglichkeiten der IT bekannt und wurden auch immer von der Szene angemahnt. Als Snowden dann mit der Wahrheit herauskam war das im Grunde von der Sache her keine Überraschung mehr. Allenfalls die Nachricht, dass die Wirklichkeit um ein Vielfaches die schlimmsten Befürchtungen noch übertreffen kann, sorgte für Entsetzen.

    Inzwischen sind viele Teillösungen entwickelt worden.
    Was es brauchte, um umgesetzt zu werden ist ein Kristallisationspunkt wie Purism. Hier scheint Weaver die Persönlichkeit zu haben, die nötige Bodenständigkeit auszustrahlen um die richtigen Leute auch zusammenzubringen.

  • Purism integriert Hardware-Verschlüsselung beim Librem 5 | linuxnews.de linuxnews.de

    08.03.2018, 22:35 Uhr

    […] Im Blog der Firma Purism ist aktuell zu lesen, dass in Zusammenarbeit mit dem Kryptographie-Experten $wwtj( document ).ready( function() { add_wiki_box( 1, "8203211", "Werner Koch (Softwareentwickler)", "https://de.wikipedia.org/w/api.php", "https://de.wikipedia.org/wiki/Werner_Koch_(Softwareentwickler)", "default" ); } );Werner Koch eine Hardware-Verschlüsselung für Purism Librem-Produktreihe entworfen werden soll. Das betrifft sowohl das in Entwicklung befindliche Linux-Smartphone Librem 5 als auch die Notebooks Librem 13 und 15. […]