Coreboot und Nitrokey: Mein acht Jahre alter Laptop wird zur Festung

Nachdem mein altes Thinkpad T430 ein umfangreiches Hardware-Update erhalten hat und schneller ist denn je, will ich es noch sicher machen.

Artikel von veröffentlicht am
Harmonieren gut miteinander: das Thinkpad T430 und ein Nitrokey.
Harmonieren gut miteinander: das Thinkpad T430 und ein Nitrokey. (Bild: Martin Wolf/Golem.de)

Schritt für Schritt habe ich mein zwei Jahre altes Thinkpad T430 mit neuen Teilen aufgerüstet, damit es wieder mit den Laptops der Kollegen mithalten kann. Doch drei Punkte auf meiner Wunschliste blieben erst mal unerfüllt: eine freie Firmware für meine WLAN-Karte, ein freies Bios für meinen Rechner sowie ein abgesicherter Bootprozess - sprich eine Kombination aus Coreboot, dem Payload Heads und einem Nitrokey.

Inhalt:
  1. Coreboot und Nitrokey: Mein acht Jahre alter Laptop wird zur Festung
  2. Das Security-Update mit Coreboot und Heads hat einen tollen Nebeneffekt

Als Erstes ging ich den Bootprozess mit Coreboot, Heads und Nitrokey an. Die Komponenten überprüfen den Rechner beim Starten auf Veränderungen. Blinkt der Nitrokey grün, ist alles in Ordnung. Blinkt er rot oder erscheint eine Warnung auf dem Bildschirm, wurde das Bios oder die unverschlüsselte Bootpartition des Linux-Systems verändert, beispielsweise wenn der Rechner unbeaufsichtigt im Hotelzimmer lag (Evil-Maid-Angriff).

Zwar kann man Coreboot und Heads selbst auf die Bios-Chips flashen. Da ich aber ernsthaft Angst hatte, mein geliebtes T430 dadurch ins Jenseits zu befördern, fragte ich lieber jemanden, der sich auskennt: die Leute von Nitrokey. Dort war man der Idee nicht abgeneigt, das T430 mit einem sicheren Bootprozess auszustatten. Mit dem Nitropad (Test) hat Nitrokey ohnehin ein fast baugleiches Thinkpad X230 mit Coreboot und Heads im Angebot.

Eine Reise zu Nitrokey

Im November war es so weit: Nitrokey hatte ein Image für meinen T430 erstellt und ich durfte CEO Jan Suhr und Techniker Niklas Pauli im Nitrokey Office besuchen und ihnen beim Flashen über die Schulter gucken - natürlich mit Abstand und Masken. Auf Paulis Schreibtisch stapeln sich die X230-Thinkpads, die er von ihrer bisherigen, unfreien Firmware befreit und deren Bauteile und Kühlpaste er austauscht - und sie so zum Nitropad macht. "Mit dem X230 geht das deutlich einfacher, weil wir es nicht komplett auseinanderbauen müssen", erklärt Pauli. Bei dem X230 liegen die Bios-Chips leicht erreichbar auf der Oberseite des Mainboard, beim T430 unten. Mit einem Trick kann Pauli die Chips jedoch auch von der Oberseite aus flashen. Mehr auseinanderbauen muss er dennoch.

Die Bios-Chips von Hand überschreiben

Stellenmarkt
  1. Senior Data Engineer (m/w/d) für Data Warehouses, ETL, SSAS & SSRS
    Behörde für Schule und Berufsbildung, Hamburg
  2. Testingenieur Software- / System-Test (m/w/d)
    Schaeffler Engineering GmbH, 58791 Werdohl
Detailsuche

Wir zerlegen also mein Thinkpad. Normalerweise werden die beiden Bios-Chips mit einer Klammer direkt an den Kontakten der Chips geflasht, die Klammer ist mit einem SPI-Flash-Programmer und damit mit einem anderen PC verbunden. Über diesen wird die neue Firmware auf die Chips übertragen.

Pauli zeigt mir eine Reihe von Steckkontakten auf dem Mainboard. Statt der Klammer kann er die Pins des SPI-Flash-Programmers an die Kontakte anlegen, die auch von der Oberseite der Platine aus erreichbar sind. So muss Pauli den Laptop nicht komplett zerlegen. Er fummelt die Pins in die Kontakte. "Das ist der zweite Rechner, den wir damit flashen", erklärt er. In Zukunft wollen sie einen Adapter bauen, den sie direkt einstecken können.

Die Verbindung steht. Pauli beginnt mit dem unteren der beiden Bios-Chips. Dort kümmert er sich zuerst um die proprietäre Firmware-Komponente Intel ME. Diese hat in der Vergangenheit immer wieder durch Sicherheitsprobleme auf sich aufmerksam gemacht und ist eine Art Black Box auf Computern mit Intel-Chips - also etwas, was auf einem sicheren Laptop nichts zu suchen hat.

Pauli deaktiviert Intel ME zuerst, dann löscht er alle Dateien, die nicht unbedingt zum Booten benötigt werden. Dafür dürfe das System nicht laufen, betont Suhr. Sonst schütze sich ME vor dem Zugriff.

Anschließend liest Pauli aus dem unteren Chip noch mehrere Blobs aus, also proprietäre Firmware-Komponenten, die für den Start des Laptops benötigt werden und später mit Coreboot wieder zurückgeflasht werden. Das ganze Prozedere hat Nitrokey per Skript automatisiert - inklusive Checks dauert es ungefähr fünf Minuten.

Nitrokey FIDO2

Flashen geht schnell, das Auseinanderbauen und Restaurieren dauert

Dann geht es an den oberen Chip. Hier spielt Pauli Coreboot und einen Teil von Heads auf. Anschließend startet er den Rechner neu und flasht den Rest von Heads über einen USB-Stick. Das etwas umständliche Verfahren habe lizenzrechtliche Gründe, erklärt Suhr. Heads dürfe nicht mit den Blobs verteilt werden. Nach weiteren zehn Minuten sind wir fertig.

"Die Rechner auseinanderzubauen, sie zu reinigen, die Kühlpaste zu erneuern und Komponenten zu tauschen, dauert deutlich länger als das eigentliche Flashen", sagt Suhr. Insgesamt sitze ich ganz schön lange bei Nitrokey, aber das liegt auch daran, dass mir alles gezeigt und erklärt wird.

Mittlerweile bietet Nitrokey auch den T430 als Nitropad an. Und was ist, wenn man, wie ich, schon einen T430 besitzt? "Auf Anfrage können wir auch das Flashen übernehmen", antwortet Suhr. Updates können die Nutzer anschließend über die GUI von Heads leicht selbst durchführen.

Jetzt muss ich Heads noch konfigurieren und kann mit der WLAN-Karte ein weiteres Modul in meinem Rechner tauschen - was bisher nicht möglich war. Denn Lenovos Bios erlaubt nur einige wenige WLAN-Karten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Das Security-Update mit Coreboot und Heads hat einen tollen Nebeneffekt 
  1. 1
  2. 2
  3.  


demon driver 29. Dez 2020

Ja, schließe mich an!

sofries 27. Dez 2020

Golem ist zwar ein deutsches Unternehmen, aber als Onlineunternehmen hat man es häufiger...

nedschlecht 25. Dez 2020

Ist halt ein hobbyprojekt. Habe bei meinem erfolgreich ein full hd display eingebaut...

gamer998 24. Dez 2020

Frage ich mich auch. Kann wie diese Schweizer Firma von der CIA betrieben werden.

Blaubaer 24. Dez 2020

Spannendes Thema! Was mich interessieren würde - wird der Nitrokey auch zur...



Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /