Abo
  • IT-Karriere:

Freie Firmware: Coreboot erhält Code von NSA

Ein NSA-Mitarbeiter arbeitet an einer Sicherheitsfunktion für X86-Prozessoren in Coreboot. Das ist nicht unumstritten.

Artikel veröffentlicht am ,
Das Maskottchen von Coreboot ist ein Hase.
Das Maskottchen von Coreboot ist ein Hase. (Bild: Pixabay)

Die Coreboot-Entwickler arbeiten an einer komplett freien Firmware für Rechner. Neben einigen Firmen beteiligt sich nun auch der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) an der Entwicklung, wie das Onlinemagazin Toms Hardware berichtet.

Stellenmarkt
  1. Lidl Digital, Neckarsulm, Hückelhoven, Venlo (Niederlande)
  2. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe

Seit Kurzem trägt der NSA-Mitarbeiter Eugene Myers Code zu Coreboot bei. Bei dem Geheimdienst arbeitet er in der Trusted Systems Research Group, die laut der NSA-Webseite "Erforschung und Förderung von Technologien und Techniken zur Sicherung der amerikanischen Informationssysteme von morgen." Bereits im vergangenen Jahr hatte Myers ein Papier zu Intels SMI Transfer Monitor (STM) veröffentlicht. Nun möchte er Intels STM in Coreboot integrieren. Dabei handelt es sich um einen Hypervisor, der innerhalb des X86 System Management Mode (SMM) betrieben wird und die vertrauenswürdige Ausführung von Code ermöglicht.

Die NSA und die Sache mit den Hintertüren

Wenn die NSA zu freier Software beiträgt, stehen schnell Befürchtungen im Raum, dass der Überwachungsgeheimdienst Hintertüren einbauen könnte. Zwar kann der Code von Open-Source-Software naturgemäß von jedem überprüft werden, der Geheimdienst kann eine Hintertür jedoch als Programmierfehler tarnen und verstecken. Auch könnte die NSA entsprechenden Code erst später einbringen, wenn die Mitarbeit des Geheimdienstes an Coreboot weniger Aufmerksamkeit erregt.

Neben der Mitarbeit an Coreboot entwickelt die NSA auch die Linux-Kernelerweiterung SELinux (Security Enhanced Linux), über das Zugriffskontrollen implementiert und Programme abgeschottet werden können. SELinux kommt beispielsweise bei der Distribution Fedora standardmäßig zum Einsatz. Erst Anfang des Jahres veröffentlichte die NSA das Reverse-Engineering-Tool Ghidra als Open Source. Coreboot möchte dieses Tool in Zukunft zum Reverse Engineering von proprietärer Firmware nutzen.

Durch die NSA erstellte Software ist jedoch nicht unumstritten. 2012 standardisierte die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) den Zufallszahlengenerator Dual EC DRBG. Auch dieser wurde von der NSA entwickelt. Sicherheitsforscher gehen davon aus, dass der Zufallszahlengenerator eine Hintertür enthält. Das Nist bestätigte die Hintertür 2013 zwar nicht direkt, zog den Standard jedoch zurück. In einer Software der Firma RSA kam der Zufallszahlengenerator standardmäßig zum Einsatz - nachdem die NSA der Firma 10 Millionen US-Dollar dafür bezahlt hatte.

Auch der NSA-Verschlüsselungsalgorithmus Speck wurde nach Kritik aus dem Linux-Kernel entfernt. Dieser war ursprünglich von Google für die Aufnahme in den Kernel vorgeschlagen worden, um auch auf leistungsschwachen Geräten wie Smartphones mit Android Go eine Systemverschlüsselung zu ermöglichen.



Anzeige
Spiele-Angebote
  1. 5,95€
  2. 4,16€
  3. 21,95€
  4. 2,99€

Megusta 01. Jul 2019 / Themenstart

Echt gutes Beispiel! Ist das vielleicht der Grund warum Android löchrig ist wie...

Bonita.M 29. Jun 2019 / Themenstart

... die als Fehler getarnt sind. Ganz einfach weil sich das nicht lohnt weil Coreboot...

plutoniumsulfat 28. Jun 2019 / Themenstart

Du behauptest, dass offener Code schlechter wäre, also doch.

Kommentieren


Folgen Sie uns
       


iPad OS ausprobiert

Apple hat die erste öffentliche Betaversion vom neuen iPad OS veröffentlicht. Wir haben uns das für die iPads optimierte iOS 13 im Test genauer angeschaut.

iPad OS ausprobiert Video aufrufen
Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

    •  /