Meego: Framework für Sicherheit und DRM
Das Nokia N900 mit dem offenen Maemo-System ist bei Hackern hoch im Kurs. Im Unterschied zu iPhone und Android versperrt Nokia nicht den Eingriff ins System, sondern bietet sogar eine Anleitung, um in zwei einfachen Schritten den begehrten Root-Zugriff zu erhalten. Doch Mobilfunknetzbetreiber sind weniger begeistert, ist doch so ein funktionierendes SIM-Locking unmöglich.
Als Nokia im Oktober 2009 erstmals sein Sicherheitskonzept für Maemo vorstellte, war das Interesse seitens der Open-Source-Entwickler groß, gab aber wegen der geplanten Restriktionen auch Anlass zur Sorge. Mittlerweile wurde Maemo mit Intels Netbook-Linux zu Meego zusammengelegt und Nokia überarbeitete das Konzept für das neue Betriebssystem(öffnet im neuen Fenster) .
Das Mobile Simple Security Framework versucht den Spagat zwischen der Offenheit von Open Source und den Restriktionen einer Rechteverwaltung. Hauptentwicklerin Elena Reshetova von Nokia betont, dass ein Großteil der Entwicklung in den offiziellen Linux-Kernel einfließe. Wo es möglich ist, sollen vorhandene Technologien genutzt und erweitert werden. Der gesamte Source-Code befindet sich in einem öffentlichen Repository auf Gitorious(öffnet im neuen Fenster) .
Hardwarebasierte Sicherheit
Basis des Sicherheitssystems ist eine Hardwarelösung, ein sogenanntes Trusted Execution Environment (TrEE), ähnlich dem TPM (Trusted Platform Module). Nokia hat bisher laut eigenen Angaben(öffnet im neuen Fenster) an der in ARM-Chips integrierten Trustzone(öffnet im neuen Fenster) gearbeitet. Der Chip enthält im Wesentlichen zwei Schlüssel: einen gerätespezifischen und einen öffentlichen Root-Key. Letzterer verifiziert die Integrität des Bootloaders und des installierten Systems. Die Vertrauenskette (Chain of Trust) soll so vom Chipset über Bootloader und System bis hin zu den einzelnen Anwendungen reichen.
Besser als SELinux
Die Software des Frameworks besteht im Kern aus dem Simple Mandatory Access Kernel (SMACK)(öffnet im neuen Fenster) . Dessen Entwickler Casey Schaufler hat Nokia auch gleich angeheuert. SMACK ist Teil des Linux-Kernels und arbeitet mit dem Vergleich von Zeichenketten, sogenannten Ressource Tokens. Stimmt das gelieferte Label mit dem benötigten überein, erteilt SMACK eine Freigabe. Erst wenn die Prüfung fehlschlägt, werden Ausnahmeregeln geprüft. Laut Schaufler soll es so deutlich schneller sein als etwa SELinux. Gerade für schwache Mobilgeräte ist das ein wichtiger Faktor. Interessant ist, dass nicht nur Dateien anhand der Labels geprüft werden, sondern auch Netzwerkpakete der gleichen Prüfung unterzogen werden.
Abgeschottet und verschlüsselt
Um die Integrität des Systems zu gewährleisten, prüft der Paketmanager bei der Installation von Anwendungen die Regeln. In den Installationspaketen sind die benötigten Zugriffe definiert. Der Paketmanager vergleicht diese mit der Policy eines Systems und wenn diese die Rechte gestattet, aktualisiert der Paketmanager die SMACK-Regeln.
Das Austauschen der einzelnen Paketdaten soll die Integrity Measurement Architecture (IMA)(öffnet im neuen Fenster) verhindern. Sie arbeitet ähnlich wie Apparmor und legt für alle Dateien Prüfsummen an. Vor der Ausführung einer Anwendung wird überprüft, ob der Hashwert und somit die Datei sich nicht verändert hat. Die Hashwerte werden in den Extended file attributes (Xattr) abgelegt. Um das System vor Offlineangriffen zu schützen, werden für die gesamten Sicherheitsattribute wiederum Prüfsummen angefertigt. Hier kommt das Extended Verification Module (EVM) zum Einsatz.
Die Sicherheitsfunktionen sollen das System aber nicht nur abschotten. Einzelne Anwendungen können ihre Daten mittels Kryptofunktionen und Chip verschlüsseln. Das geht entweder mit einem eigenen Key oder durch einen Shared-Key, den sich verschiedene Programme teilen können.
Zuckerbrot und Peitsche
Ohne Zweifel geht es bei MSSF darum, Kontrolle über Hardware und Software zu erhalten. Das Framework soll sicherstellen, dass die Geräte – etwa die Sendeleistung – innerhalb der angedachten Spezifikationen betrieben werden. Ein SIM-Lock muss vor Angriffen und gekaufte Inhalte wie Musik oder Spiele vor dem unerlaubten Kopieren geschützt werden. Für die Nutzer selbst ist der Schutz der Privatsphäre angedacht. Daten einzelner Programme, aber auch Telefonfunktionen, sollen vor anderen Anwendungen geschützt werden. So soll verhindert werden, dass eine Schadsoftware das Adressbuch ausliest oder ungehindert teure Kurzmitteilungen versendet. Auch bei Verlust des Gerätes sollen die privaten Daten durch Verschlüsselung gesichert sein.
Für die Hacker bleibt aber noch der sogenannte Open-Mode. Hier ist der Zugriff auf geschützte Inhalte zwar gesperrt, aber sonst kann das System beliebig modifiziert werden. Die Sache hat nur einen Haken: Es liegt am Hersteller, ob er bei seinen Geräten den Open-Mode gestattet.
Das MSSF implementiert selbst kein DRM. Doch es bietet das Fundament dazu. Viel fehlt nicht mehr, um anhand der genutzten Techniken wie der Hardwareabsicherung, SMACK und Verschlüsselung ein standhaftes Rechtemanagement zu realisieren. Ob die Kette des Vertrauens das hält, was sie verspricht, dürfte sich im Frühjahr 2011 zeigen, wenn Meego 1.2 samt dem Framework veröffentlicht wird. [von Keywan Tonekaboni]