Das Security-Update mit Coreboot und Heads hat einen tollen Nebeneffekt

Mein Rechner ist nun von einem Großteil der proprietären Firmware befreit. Auf den beiden 4 und 8 MByte großen Bios-Chips liegt neben Coreboot der Payload Heads, der letztlich ein Mini-Linux-Betriebssystem mit einer eigenen GUI ist. Dieses kümmert sich um den authentifizierten Start des Rechners. Ich muss Heads nun nur noch mit meinem Nitrokey verdongeln, das mache ich aber selbst zu Hause.

Stellenmarkt
  1. Service Manager AppOps (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Berlin, Frankfurt
  2. Head of IT Operations (w/m/d)
    Schüco International KG, Bielefeld, Home-Office
Detailsuche

Nach dem ersten Start des Laptops soll ich ein Passwort für das Trusted Platform Module (TPM) festlegen, einen Sicherheitschip, der von Hause aus im T430 verbaut ist, und einen GPG-Key auf dem Nitrokey erstellen. Im TPM wird ein Geheimnis abgelegt, mit dem - nach einer erfolgreichen Prüfung der einzelnen Firmware-Module im Bootprozess - ein HOTP- (HMAC-based One Time Password) und ein TOTP-Code (Time-based One Time Password) generiert werden. Ersteres wird mit dem Nitrokey geprüft, Letzteres kann über eine klassische TOTP-App verifiziert werden, wie sie auch häufig zur Zwei-Faktor-Authentifizierung bei Onlinediensten genutzt wird.

Bei Ersterem werden die Bootvorgänge gezählt, die Anzahl wird mit dem Geheimnis verschlüsselt und gehasht. Das ergibt einen Zahlencode. Dieser wird durch den Nitrokey überprüft, der ebenfalls das Geheimnis enthält und die Bootvorgänge zählt und so die gleiche Berechnung durchführt.

Stimmen die Codes miteinander überein, wurden keine Veränderung am System vorgenommen. Der Nitrokey blinkt grün. Analog funktioniert dies per TOTP, nur dass der Code über die aktuelle Uhrzeit statt über die Anzahl der Bootvorgänge generiert wird. Um den ausgegebenen Code mit einer TOTP-App abgleichen zu können, wird das Geheimnis beim Einrichten von Heads per QR-Code gescannt.

Die Bootpartition wird mit GPG abgesichert

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    18./19.07.2022, virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
Weitere IT-Trainings

Nun ist der Bootprozess bis hin zur SSD abgesichert. Auf dieser ist zwar ein verschlüsseltes Linux-Betriebssystem installiert, allerdings ist dessen Bootpartition nicht verschlüsselt. Jede Festplattenverschlüsselung braucht letztlich eine unverschlüsselte Software, mit der die verschlüsselte Partition - beispielsweise durch Eingabe eines Passwortes - geöffnet werden kann. Ein kritischer Punkt, denn Eindringlinge könnten diese manipulieren und so zum Beispiel das Passwort mitloggen. Alle Sicherheit wäre dahin.

An dieser Stelle kommt der im Nitrokey hinterlegte GPG-Schlüssel zum Einsatz. Mit ihm wird die Software auf der Bootpartition signiert. Beim ersten Bootvorgang sowie bei jeder Veränderung der Bootpartition, beispielsweise bei einem Kernel-Update, müssen diese Signaturen angelegt beziehungsweise erneuert werden.

Nitrokey FIDO2

Anschließend werden die auf der SSD gespeicherten Signaturen mittels des privaten GPG-Schlüssels auf dem Nitrokey überprüft, der nicht ausgelesen werden kann. Ist alles in Ordnung, kann das Betriebssystem gestartet werden, ansonsten gibt es eine Warnung.

Mit dem verifizierten, abgesicherten Bootprozess (Measured Boot) wird mein Rechner zu einer kleinen Festung, die einen immens hohen Grad an Security erreicht. Gemeinsam mit einer großen SSD, ordentlich RAM, einem neuen Quadcore-Prozessor und einem neuen Kühler kann mein Rechner nicht nur geschwindigkeitsmäßig mit den Rechnern der Kollegen mithalten, sondern lässt sie in Sachen Security weit hinter sich. Nachhaltig ist das ganze Projekt obendrein, weil ich die Lebensdauer meines Laptops deutlich verlängert habe.

Endlich freies WLAN

Doch das Projekt hat einen weiteren Vorteil: Durch den Austausch des Bios entfällt auch das nervige Whitelisting von Lenovo, das nur den Einbau bestimmter WLAN-Karten erlaubt. Nun kann ich meine WLAN-Karte einfach gegen ein beliebiges Modell austauschen. Ich suche im Internet nach einer Karte mit Atheros-Chip (ath9k), die mit einer freien Firmware betrieben werden kann.

Diese gibt es nur bis Wi-Fi 4 beziehungsweise 802.11n, neuere Funkstandards werden bis dato nicht von freier Firmware unterstützt. Coreboot würde mir aber auch den Einbau einer nicht freien WLAN-Karte mit Wi-Fi 5 oder 6 erlauben. Mir ist jedoch die freie Firmware wichtiger.

Ich baue die bestellte Karte ein und deinstalliere die bisher notwendige, proprietäre Intel-Firmware. Rechtzeitig vor Weihnachten habe ich damit alle Punkte auf meiner Wunschliste erfüllt. Mein T430 ist endlich: frei, sicher und schnell.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Coreboot und Nitrokey: Mein acht Jahre alter Laptop wird zur Festung
  1.  
  2. 1
  3. 2


demon driver 29. Dez 2020

Ja, schließe mich an!

sofries 27. Dez 2020

Golem ist zwar ein deutsches Unternehmen, aber als Onlineunternehmen hat man es häufiger...

nedschlecht 25. Dez 2020

Ist halt ein hobbyprojekt. Habe bei meinem erfolgreich ein full hd display eingebaut...

gamer998 24. Dez 2020

Frage ich mich auch. Kann wie diese Schweizer Firma von der CIA betrieben werden.



Aktuell auf der Startseite von Golem.de
Erdbeben und Vulkanausbrüche
Glasfaserkabel als Frühwarnsystem

Seismografen registrieren Bodenbewegungen, Glasfasern können das aber besser. Forscher hoffen, mit ihnen Erdbeben und Vulkanausbrüche besser vorhersagen zu können.
Ein Bericht von Werner Pluta

Erdbeben und Vulkanausbrüche: Glasfaserkabel als Frühwarnsystem
Artikel
  1. Visual Studio Code im Web mit Gitpod: Ein Gewinn für jede Tool-Sammlung
    Visual Studio Code im Web mit Gitpod
    Ein Gewinn für jede Tool-Sammlung

    Helferlein Der Code-Editor Visual Studio Code erobert den Browser und die Remote-Arbeit - und das Kieler Unternehmen Gitpod ist mit seiner Lösung ganz vorne mit dabei.
    Von Kristof Zerbe

  2. Gigaset GL7: Neues Klapphandy mit KaiOS und Sicherheitsfunktion
    Gigaset GL7
    Neues Klapphandy mit KaiOS und Sicherheitsfunktion

    Das GL7 von Gigaset ist ein klassisches Klapphandy, auf dem auch moderne Apps wie Whatsapp und Google Maps laufen.

  3. Memory Sanitizer: Neues Kernel-Werkzeug findet 300 Speicherfehler
    Memory Sanitizer
    Neues Kernel-Werkzeug findet 300 Speicherfehler

    Trotz Compilerwarnungen und -Werkzeuge gibt es weiter neue Speicherfehler im Linux-Kernel. Ein Memory Sanitizer soll das zum Teil verhindern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • HP HyperX Gaming-Headset -40% • Corsair Wakü 234,90€ • Samsung Galaxy S20 128GB -36% • Audible -70% • MSI RTX 3080 12GB günstig wie nie: 948€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • Cooler Master 34" UWQHD 144 Hz günstig wie nie: 467,85€ [Werbung]
    •  /