Sicherheits-Firmware Heads

Bild: Purism

Bei Purism geht es derzeit Schlag auf Schlag und ich staune, wie so ein kleines Unternehmen so viele neue Entwicklungen umsetzen kann. Vor wenigen Tagen erst gab das Unternehmen bekannt, dass alle neuen Notebook-Modelle ab sofort ohne Aufpreis mit einem TPM-Chip ausgestattet sind. Jetzt erfahren wir, dass die Entwickler Trammell Hudsons Projekt Heads integriert haben. Die Arbeiten daran begannen vor rund einem Jahr und konnten jetzt zum Abschluss gebracht werden. Nach eigenen Angaben verkauft Purism damit die sichersten Notebooks unter voller Kontrolle des Besitzers.

Heads verbessert die Sicherheit

Heads ist eine Open Source Custom Firmware- und Betriebssystem-Konfiguration für Laptops und Server, die darauf abzielt, die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Im Gegensatz zu Tails, das darauf abzielt, ein zustandsloses Betriebssystem zu sein, das keine Spuren auf dem Computer hinterlässt, ist Heads für den Fall gedacht, dass Daten und Zustände auf dem Computer gespeichert werden müssen. Nicht zu verwechseln ist die Heads-Firmware mit der gleichnamigen Distribution aus dem Umfeld von Devuan.

Keine Manipulation von BIOS und Kernel

Neben deaktivierter Intel Management Engine, dem von der FSF empfohlenen PureOS, Coreboot anstatt herkömmlichem BIOS und TPM-Chip fügt Purism nun mit Heads einen weiteren Baustein zu einem möglichst sicheren Notebook hinzu. Die Entwickler betonen, dass Sicherheit zwingend Freiheit voraussetzt. Dazu gehört die Freiheit, vom Start des Notebooks an kontrollieren zu können ob der ausgeführte Code in irgendeiner Weise verändert wurde. Das betrifft in besonderer Weise die Komponenten BIOS und Kernel, deren Manipulation sehr schwer zu entdecken ist und die Kontrolle über den Rechner völlig einem Angreifer übereignen kann. Das wurde uns gerade erst wieder mit Meltdown und Spectre eindringlich demonstriert.

Wenn schon beim Booten eine Software wie Heads sicherstellt, dass der Code nicht manipuliert wurde, gibt das Sicherheit bereits vor der eigentlichen Nutzung. Mit Purisms kombiniertem Ansatz wird das erste Bit, das in die CPU geladen wird, analysiert und vom Benutzer signiert, um zu belegen, dass nichts manipuliert wurde. Wie Purism schreibt, gab es viele mögliche Wege, die Rechner bereits ab dem Bootprozess abzusichern, jedoch lege kaum eine davon die Kontrolle in die Hände des Anwenders.

In der Hand des Anwenders

Heads hat viele Vorteile gegenüber allen anderen Boot-Verifikationstechnologien, die es für Librem-Laptops geeignet erscheinen lässt. Erstens ist es Freie Software, die mit dem Open Source Coreboot-BIOS zusammenarbeitet. Darüber hinaus stellt die Art und Weise, wie Heads das TPM des Systems verwendet, um Manipulationssicherheit zu gewährleisten die Schlüssel unter volle Kontrolle des Anwenders. So können diese auch, anders als etwa bei Secure Boot, jederzeit vom Besitzer geändert werden.

Vom einzelnen Laptop bis zur Unternehmensflotte

Damit sind nicht nur Privatanwender, sondern auch Unternehmen mit einer Flotte von Laptops in der Lage, einen mit selbstsignierten Schlüsseln versehenen, gegen  Manipulation resistenten und ständig auf Malware überprüften Laptop zu realisieren, der bei Bedarf trotzdem ein selbst erstelltes angepasstes Distributions-Image verwenden kann.

Der Heads-Entwickler zur Zusammenarbeit mit Purism:

»Purism’s Librem Laptops sind ideal für die Philosophie des Heads-Firmware-Projekts geeignet. Purism stellt moderne Hardware her, die den Benutzern die Kontrolle über ihre eigenen Systeme ermöglicht. Sie sind der einzige Anbieter, der es den Anwendern erlaubt, ihre eigene »Hardware-Root of Trust« mit CPU-Features wie Bootguard zu etablieren, und ihre Unterstützung für Coreboot und Heads verbessert die Sicherheit, indem sie offen, prüfbar, flexibel und messbar sind.«Trammell Hudson

 

Sicherheits-Firmware »Heads« für Purism-Laptops

Verwandte Themen

Librem 5 Update für Juli
views 799
Bild: Purism | Lizenz: CC-by-SA 4.0Das Linux-Smartphone Librem 5, das derzeit bei Purism in der Entwicklung ist, wurde bereits zwei Mal verscho...
Purism erhöht die Sicherheit des Librem Key
views 477
Bild: Librem Key | Quelle: Purism | Lizenz: CC-by-SA 4.0Purism, Hersteller von Notebooks und anderer Hardware mit Fokus auf Sicherheit und Priv...
Purisms verfehlte Marketingaktion
views 1.2k
Purism schwächelt beim MarketingWer dieses Blog verfolgt, weiß, dass ich die Firma Purism mit ihrem Konzept von freier Software und dem Schutz de...
Librem 5 Fortschritte
views 1.5k
Librem 5 DevkitDie Entwickler des Linux-Phones Librem 5 bei Purism geben Ende Mai einen weiteren Überblick über den Entwicklungsstand in Sachen S...
»Librem One«-Crowdfunding erfolgreich
views 685
Logo: Purism | Lizenz: CC-by-SA 4.0Erst kürzlich stellte Purism, Hersteller von Geräten, die hohe Sicherheit mit Datenschutz und dem Schutz der P...

Beitrag kommentieren

Alle Kommentare
  • tuxnix

    01.03.2018, 07:57 Uhr

    “…und ich staune, wie so ein kleines Unternehmen so viele neue Entwicklungen umsetzen kann.”
    Ganz so erstaunlich ist das nicht. Man könnte sich genauso fragen, wieso es so lange gedauert hat bis endlich einmal etwas passiert.
    Seit Jahr und Tag sind die Sicherheitsmängel und Möglichkeiten der IT bekannt und wurden auch immer von der Szene angemahnt. Als Snowden dann mit der Wahrheit herauskam war das im Grunde von der Sache her keine Überraschung mehr. Allenfalls die Nachricht, dass die Wirklichkeit um ein Vielfaches die schlimmsten Befürchtungen noch übertreffen kann, sorgte für Entsetzen.

    Inzwischen sind viele Teillösungen entwickelt worden.
    Was es brauchte, um umgesetzt zu werden ist ein Kristallisationspunkt wie Purism. Hier scheint Weaver die Persönlichkeit zu haben, die nötige Bodenständigkeit auszustrahlen um die richtigen Leute auch zusammenzubringen.