Abo
  • IT-Karriere:

Freie Firmware: Coreboot erhält Code von NSA

Ein NSA-Mitarbeiter arbeitet an einer Sicherheitsfunktion für X86-Prozessoren in Coreboot. Das ist nicht unumstritten.

Artikel veröffentlicht am ,
Das Maskottchen von Coreboot ist ein Hase.
Das Maskottchen von Coreboot ist ein Hase. (Bild: Pixabay)

Die Coreboot-Entwickler arbeiten an einer komplett freien Firmware für Rechner. Neben einigen Firmen beteiligt sich nun auch der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) an der Entwicklung, wie das Onlinemagazin Toms Hardware berichtet.

Stellenmarkt
  1. Stadtwerke Heidelberg GmbH, Heidelberg
  2. Lebensversicherung von 1871 a. G. München, München

Seit Kurzem trägt der NSA-Mitarbeiter Eugene Myers Code zu Coreboot bei. Bei dem Geheimdienst arbeitet er in der Trusted Systems Research Group, die laut der NSA-Webseite "Erforschung und Förderung von Technologien und Techniken zur Sicherung der amerikanischen Informationssysteme von morgen." Bereits im vergangenen Jahr hatte Myers ein Papier zu Intels SMI Transfer Monitor (STM) veröffentlicht. Nun möchte er Intels STM in Coreboot integrieren. Dabei handelt es sich um einen Hypervisor, der innerhalb des X86 System Management Mode (SMM) betrieben wird und die vertrauenswürdige Ausführung von Code ermöglicht.

Die NSA und die Sache mit den Hintertüren

Wenn die NSA zu freier Software beiträgt, stehen schnell Befürchtungen im Raum, dass der Überwachungsgeheimdienst Hintertüren einbauen könnte. Zwar kann der Code von Open-Source-Software naturgemäß von jedem überprüft werden, der Geheimdienst kann eine Hintertür jedoch als Programmierfehler tarnen und verstecken. Auch könnte die NSA entsprechenden Code erst später einbringen, wenn die Mitarbeit des Geheimdienstes an Coreboot weniger Aufmerksamkeit erregt.

Neben der Mitarbeit an Coreboot entwickelt die NSA auch die Linux-Kernelerweiterung SELinux (Security Enhanced Linux), über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. SELinux kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz. Erst Anfang des Jahres veröffentlichte die NSA das Reverse-Engineering-Tool Ghidra als Open Source. Coreboot möchte dieses Tool in Zukunft zum Reverse Engineering von proprietärer Firmware nutzen.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Auch dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. In einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten wie Smartphones mit Android Go eine Systemverschlüsselung zu ermöglichen.



Anzeige
Spiele-Angebote
  1. 51,99€
  2. 4,56€
  3. 4,19€
  4. (-90%) 5,99€

Megusta 01. Jul 2019

Echt gutes Beispiel! Ist das vielleicht der Grund warum Android löchrig ist wie...

Bonita.M 29. Jun 2019

... die als Fehler getarnt sind. Ganz einfach weil sich das nicht lohnt weil Coreboot...

plutoniumsulfat 28. Jun 2019

Du behauptest, dass offener Code schlechter wäre, also doch.


Folgen Sie uns
       


Elektro-SUV Nio ES 8 Probe gefahren

Der ES8 ist ein SUV des chinesischen Herstellers Nio. Wir sind damit über die Alpen gefahren.

Elektro-SUV Nio ES 8 Probe gefahren Video aufrufen
Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

FX Tec Pro 1 im Hands on: Starkes Tastatur-Smartphone für 650 Euro
FX Tec Pro 1 im Hands on
Starkes Tastatur-Smartphone für 650 Euro

Ifa 2019 Smartphones mit physischer Tastatur sind oft klobig - anders das Pro 1 des Startups FX Tec. Das Gerät bietet eine umfangreiche Tastatur mit gutem Druckpunkt und stabilem Slide-Mechanismus - wie es in einem ersten Kurztest beweist. Zusammengeklappt ist das Smartphone überraschend dünn.
Ein Hands on von Tobias Költzsch

  1. Galaxy A90 5G Samsung präsentiert 5G-Smartphone für 750 Euro
  2. Huami Neue Amazfit-Smartwatches kommen nach Deutschland
  3. The Wall Luxury Samsungs Micro-LED-Display kostet 450.000 Euro

    •  /