Coreboot: Purism integriert Heads-Firmware für Laptop-TPMs

Die von Hersteller Purism verkauften Laptops verwenden als Firmware das freie Coreboot als Ersatz für ein proprietäres BIOS oder UEFI. Neue Geräte von Purism werden künftig standardmäßig mit einem TPM-Chip (Trusted Platform Module) ausgeliefert und die Coreboot-Firmware macht von dem eigens integrierten TPM-Chip ebenfalls Gebrauch. Dazu wird die Firmware-Komponente Heads integriert, die von Sicherheitsforscher Trammell Hudson stammt, der auch an dem Linuxboot-Projekt mitwirkt.

Heads misst laut der Ankündigung mit Hilfe der TPM-Register den Bootprozess, was sicherstellen soll, dass Angreifer die Boot-Firmware oder -Konfiguration nicht manipuliert haben. Hat die Überprüfung von Heads festgestellt, dass keine Manipulationen vorliegen, wird das TPM als Schlüsselsafe für die Festplatten-Entschlüsselung genutzt.

Zeitbasierte Einmal-Passwörter dank Heads

Auch der kryptografische LUKS-Header für die Festplattenverschlüsselung lässt sich zum Beispiel an ein TPM PCR (Platform Configuration Register) binden. Zudem ist es möglich, zeitbasierte Einmal-Passwörter (Time-based One-time Password, TOTP) zu generieren. Diese vom System beim Booten erzeugten Einmal-Passwörter sind an das TPM gebunden, das sie wiederum erst dann generiert, wenn sicher ist, dass die Boot-Firmware und -Konfiguration nicht angetastet wurden. Über das Handy und zum Beispiel Apps wie den Google Authenticator lässt sich der gezeigte Code dann abgleichen.

Purism integriert den TPM-Chip seit November 2017 auf Wunsch der Kunden zum Aufpreis. Da sich 98 Prozent der Kunden für diese Konstellation entschieden haben, bringen die Laptops diese TPM-Chips seit Februar 2018 standardmäßig und kostenlos mit. Auch die Heads-Integration hat das Purism-Team schon länger vorbereitet. Seit April 2017 arbeitet der Hersteller mit dem Heads-Entwickler Trammell Hudson zusammen. Der hielt auf dem vergangenen Chaos Communication Congress 34c3 einen Vortrag zu Heads und Linuxboot.