Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Unter den Herstellern von Linux-Hardware ist Purism der Spezialist für Open Source und Sicherheit. Die Firma hat eine neue Version ihres Minirechners Librem Mini herausgebracht, die wir als Vorabmodell getestet haben. Mit seinem Comet-Lake-Prozessor verspricht der Librem Mini v2 nicht nur deutlich mehr Leistung, sondern hebt sich durch seine freie Firmware, die von Linux gut unterstützten Komponenten und einen abgesicherten Bootvorgang deutlich von der Konkurrenz ab. Betrieben wird er mit Purisms Linux-Distribution PureOS, die auf Debian basiert.
Äußerlich ähnelt Purisms Minirechner der Nuc-Reihe von Intel. Sein Gehäuse besteht jedoch nahezu komplett aus mausgrauem Aluminium, entsprechend wertig und stabil fühlt es sich an. Bei einer Grundfläche von 12,8 auf 12,8 und einer Höhe von 3,8 Zentimetern wiegt der Librem rund 1 Kilogramm.
Auf der Vorderseite sind der Einschaltknopf, eine 3,5-mm-Klinkenbuchse für Audioausgabe und Mikrofon sowie vier USB-A-Anschlüsse untergebracht. Zwei davon unterstützen USB 2.0, die anderen beiden USB 3.2 Gen1 (5 GBit/s), das früher USB 3.0 genannt wurde . Auf der Rückseite befinden sich zwei weitere USB-A-Anschlüsse (3.2 Gen1) sowie eine USB-C-Buchse (3.2 Gen2, 10 GBit/s). Sie unterstützt jedoch weder Power Delivery noch die Alternate Modes für Displayport oder HDMI.
Neben den USB-Ports befinden sich auf der Rückseite ein Anschluss für das 40-Watt-Netzteil, ein HDMI-2.0- und ein Displayport-1.2-Anschluss für die Bildausgabe in 4K sowie eine RJ45-Buchse als Gigabit-Netzwerkanschluss. Anschlussseitig überzeugt uns der Librem Mini insgesamt, wir hätten uns jedoch mehr USB-C-Funktionen und mindestens einen USB-C-Anschluss auf der Vorderseite gewünscht.
Auch auf die inneren Werte kommt es an
Im Inneren des Librem Mini gibt es zwei SO-DIMM-Slots, die sich beide mit DDR4-2400-Riegeln bestücken lassen. Purism verkauft den Librem Mini nicht als Barebone, sondern bestückt ihn mit mindestens einem 8-GByte-Riegel. In unserem Testsystem stecken zweimal 16 GByte, maximal sind 64 GByte möglich.
Ein M.2-Slot kann zudem eine NVMe- oder eine SATA-3-SSD aufnehmen. In unserem Testmodell steckt eine Samsung 970 Evo Plus mit 500 GByte. Laut der CTO von Purism, Nicole Faerber, werden die Rechner meist mit Evo-SSDs von Samsung oder Microns Crucial bestückt. Im Deckel kann zudem eine 7-mm-2,5-Zoll-SATA-SSD oder -Festplatte eingeschraubt werden, die sich über ein mitgeliefertes Kabel mit dem Mainboard verbinden lässt.
Ein Mini-PCIe-Slot ist je nach Konfiguration mit einer WLAN- und Bluetooth-4.0-Karte bestückt, die mit freier Firmware betrieben werden kann. Die Karte enthält einen Atheros-Chip (ath9k), der Wi-Fi 4 beziehungsweise 802.11n unterstützt. Für WLAN-Karten mit neueren Funkstandards gibt es bis dato leider keine freie Firmware. Sie können aber im Librem Mini verwendet werden. Das Neue am Librem Mini v2 ist jedoch dessen Herzstück: ein Comet-Lake-Prozessor.
Der neue Comet-Lake-Prozessor im Benchmark
In unserem Librem Mini der neuen, zweiten Generation gibt also ein Intel Core i7-10510U-Prozessor (Comet Lake) den Takt an. Dessen vier Kerne haben je 1,8 GHz. Neben Hyperthreading unterstützt die CPU auch einen Boost-Modus, bei der ein Kern vorübergehend mit bis zu 4,8 GHz takten kann.
Dabei beschränkt sich der Prozessor auf eine thermische Verlustleistung (TDP) von 15 Watt. Im ersten Librem Mini, der Anfang des Jahres veröffentlicht wurde , steckte ein Core i7-8565U (Whiskey Lake).
In einem Benchmark lassen wir den neuen Prozessor das BMW27-Testbild mit Blender rendern. Mit Blender 2.83 braucht er 633 Sekunden für den BMW27-Benchmark, mit Blender 2.79 705 Sekunden. Zum Vergleich: Ein Thinkpad T480s (Core i5-8250U) benötigt mit Blender 2.79 822 Sekunden für das Bild, der offene Selbstbau-Laptop MNT Reform (Test) mit seinen ARM-Kernen gar über zwei Stunden.
Die Grafik liefert die in den Prozessor integrierte UHD 620 von Intel, die native Hardwarebeschleunigung für 4K-Videos in H.265 und VP9 bietet. Die Linux-Unterstützung des integrierten Grafikchips ist wie zu erwarten gut. Die Ausgabe an einem 4K-Display bei 60 Hz bereitet weder über HDMI noch über Displayport Probleme.
Wird der Rechner minimal genutzt, beispielsweise um einen Text in einem Editor zu tippen, ist er leise, aber hörbar. Aber schon bei etwas mehr Belastung, etwa wenn ein Browser geöffnet und ein Video gestreamt wird, springt der Lüfter an. Unter Last ist ein deutliches Summen zu hören. Das kann allerdings auch an unserem Vorabmodell liegen.
PureOS - ein pures Debian?
Als Betriebssystem kommt Purisms hauseigenes Betriebssystem PureOS zum Einsatz. Das gibt es in verschiedenen Varianten, die entweder auf Debian Stable oder Debian Testing basieren. Letzteres ist der Entwicklungszweig für die nächste Stable-Version - entsprechend viele Änderungen und Updates gibt es. Beide Debian-Versionen haben den Ruf, sehr stabil zu sein.
Auf unserem Testrechner kam PureOS Byzantium zum Einsatz, das auf Testing basiert. PureOS unterscheidet sich jedoch nur minimal von einer normalen Debian-Testing-Installation. Die offensichtlichsten Unterschiede sind das andere Look and Feel, das vor allem durch ein eigenes Icon-Set hervorgerufen wird, und eine etwas andere Software-Auswahl.
Unsicherer Chromium
So ist neben dem Firefox beispielsweise auch Chromium vorinstalliert, die freie Variante von Googles Browser Chrome. Beide werden um mehrere Privacy-Erweiterungen ergänzt, beispielsweise Privacybadger und Ublock Origin.
Mit dem Chromium-Paket von Debian gibt es jedoch ein Sicherheitsproblem: Es wird von der Distribution schlecht gepflegt und seit Monaten nicht mehr aktualisiert. Entsprechend basiert das Paket noch auf Version 83(öffnet im neuen Fenster) , während in der aktuellen Version 87 mehrere aktiv ausgenutzte Sicherheitslücken geschlossen wurden. Eigentlich müsste dieses Paket umgehend aus Debian und PureOS entfernt, auf keinen Fall jedoch vorinstalliert werden.
Auf dem Librem Mini kann problemlos auch jede andere Linux-Distribution wie Debian, Ubuntu, Fedora oder Arch Linux installiert werden. Bei der Installation müsse man nur darauf achten, kein UEFI-Boot einzurichten, das unterstütze Purisms abgesicherter Bootvorgang Pureboot nämlich noch nicht, betont Faerber.
Eine freie Firmware
Apropos Booten: Eine Besonderheit des Librem Mini v2 ist die Nutzung der freien Firmware Coreboot. Bisher gibt es kaum Rechner damit, die allermeisten starten mit einem nicht-freien Bios oder mit UEFI. Folglich laufen die meisten Linux-Rechner zwar mit einem Open-Source-Betriebssystem, die Ebene darunter bleibt jedoch Closed Source.
Manche Linux-Hardwarehersteller wie System76 bieten ausgewählte Laptops mit Coreboot an, ansonsten ist die freie Firmware vor allem auf Chromebooks zu finden.
Bei Purism hingegen werden alle Computer standardmäßig mit der freien Firmware ausgestattet. Der Librem Mini dürfte einer der ersten frei verkäuflichen Desktop-Rechner mit Coreboot sein.
Sicherer mit Pureboot und Librem Key
In der Standardausführung startet der Librem mit einer Kombination aus Coreboot und Seabios das installierte Linux. Gegen Aufpreis ist ein mit verschiedenen Komponenten abgesicherter Bootmodus erhältlich, den Purism Pureboot nennt. Hier startet Coreboot mit dem Payload Heads, welches den Bootprozess verifiziert.
Das soll den Librem Mini vor unbemerkten Manipulationen an der Firmware oder am Bootprozess bis hin zur verschlüsselten Linux-Partition schützen, beispielsweise wenn der Rechner unbeaufsichtigt zu Hause oder im Büro steht (Evil-Maid-Attacke).
Das von Trammell Hudson entwickelte Heads ist eine sehr kleine Linux-Distribution, die von Coreboot gestartet wird und anschließend jeden Schritt des Bootvorgangs mit Hashwerten überprüft. Dazu greift Heads normalerweise auf ein Trusted Platform Module (TPM) zurück, mit dessen Hilfe ein HOTP- (HMAC based One Time Password) und ein TOTP-Code (Time based One Time Password) generiert werden. Letzterer kann mit einer TOTP-App auf dem Smartphone abgeglichen werden.
Deutlich komfortabler ist es jedoch, den USB-Sicherheitsschlüssel Librem Key zu verwenden, der baugleich mit dem Nitrokey 2 Pro ist. Er blinkt grün, wenn beim Bootvorgang keine Veränderung festgestellt wurde, ansonsten warnt er durch rotes Blinken.
Pureboot geht auch ohne TPM - ist aber weniger sicher
Der Librem Mini verfügt im Unterschied zu den Librem-Laptops jedoch nicht über ein TPM. "Bei Geräten ohne TPM lesen wir stattdessen die gesamte Firmware aus dem Flashspeicher und hashen sie. Anschließend bilden wir daraus das HOTP," sagte Matt DeVillier, Firmware Developer bei Purism, Golem.de.
Das Lesen und Hashen der kompletten Firmware dauere etwas länger, sagt DeVillier. Man könne argumentieren, dass der Ansatz sogar sicherer sei, da wirklich alles berücksichtigt werde. Auch auf der Purism-Webseite(öffnet im neuen Fenster) heißt es, dass Pureboot ohne TPM "einen gleichwertigen Schutz gegen Manipulationen" bieten würde. Doch in einem Pull-Request, der den TPMless-Ansatz in Heads selbst implementieren soll, gesteht Purism ein niedrigeres Sicherheitsniveau ein .
Der Heads-Maintainer Thierry Laurion spricht von einem "Gefühl falscher Sicherheit" , die von Pureboot/Heads ohne TPM vermittelt werde, da bei weitem nicht das gleiche Schutzniveau erreicht werde. Im Pull-Request beschreibt er einen einfachen Angriff, vor dem der TPMlose-Ansatz nicht schützen könne . Zudem unterstützt das TPM-freie Heads kein TOTP, der Bootvorgang des Librem Mini könne daher nur mit dem Librem Key oder Nitrokey, nicht jedoch mit einer TOTP-App auf dem Smartphone überprüft werden.
Intel ME wird aus Sicherheitsgründen gelöscht
Doch nicht nur die Firmware wird überprüft. Auch die unter Linux üblicherweise nicht verschlüsselte Boot-Partition, auf der unter anderem der Linux-Kernel liegt, wird bis hin zum verschlüsselten System mit einem GPG-Schlüssel auf dem Librem Key signiert und anschließend bei jedem Bootvorgang überprüft. Wird eine Veränderung festgestellt, schlägt das System Alarm. Allerdings muss bei jedem Update, das die Boot-Partition verändert, auch neu gestartet und signiert werden. Das kann insbesondere bei den häufigen Updates von PureOS Byzantium/Debian Testing doch etwas nerven.
Neben dem abgesicherten Bootvorgang deaktiviert und löscht Purism Intel ME soweit wie möglich auf seinen Rechnern. Die proprietäre Firmware-Komponente hat in der Vergangenheit immer wieder durch Sicherheitsprobleme auf sich aufmerksam gemacht und ist eine Art Black Box auf Computern mit Intel-Chips.
Librem Mini v2: Verfügbarkeit und Fazit
Den Librem Mini v2 kann in verschiedenen Konfigurationen direkt auf der Hersteller-Webseite bestellt werden(öffnet im neuen Fenster) . In der Basisversion enthält er 8 GByte RAM und eine 250 GByte umfassende SATA-SSD. In dieser Konfiguration kostet er 700 US-Dollar. Mehr RAM oder schnellere und größere NVMe-SSDs gibt es gegen Aufpreis. Auch ein WLAN-/Bluetooth-Modul ist nicht enthalten, kann aber bei Bedarf für 29 US-Dollar dazu geordert werden.
Standardmäßig bootet der Librem Mini mit Coreboot und Seabios. Wer Pureboot bevorzugt, kann dies beim Bestellvorgang auswählen. Neben einer Installation des Payloads Heads umfasst dies auch den Librem Key. Kostenpunkt: 69 US-Dollar. Sollen Librem Key und Librem Mini in getrennten Paketen verschickt werden, kostet dies 84 US-Dollar. Purism bietet zudem einen Anti-Interdiction-Service für 250 US-Dollar an, bei dem unter anderem die Schrauben des Librem Mini mit Glitzernagellack versiegelt werden.
Preislich vergleichbar mit Intels Nuc
Damit ist der Librem Mini preislich durchaus mit ähnlich bestückten Nucs von Intel vergleichbar. So gibt es den NUC10 alias Frost Canyon (Test) mit ähnlicher Ausstattung und einem geringfügig langsameren Prozessor für ungefähr 640 Euro im Handel - ohne freie Firmware.
Wie alle anderen Geräte von Purism wird der Librem Mini v2 aus den USA verschickt. Entsprechend wird bei einer Lieferung nach Deutschland die Mehrwertsteuer von 19 Prozent fällig, Zoll muss auf Computer hingegen nicht entrichtet werden.
Purism setzt beim Versand auf DHL Express. "DHL übernimmt dann die Abwicklung und weist die MwSt auf der Rechnung aus," sagt Faerber. Dafür verlange DHL eine Servicegebühr von zwei Prozent des Zollwertes, mindestens jedoch 12,50 Euro. Diese entfalle jedoch, wenn man DHL eine Einzugsermächtigung erteile. Weitere Versandkosten verlange Purism nicht. Bei einer Lieferung nach Deutschland könne ein bis drei Wochen nach Bestellung mit dem Gerät gerechnet werden, erklärt Faerber.
Fazit
Kurz zusammengefasst ist der Librem Mini ein Nuc für Linux, mit einer freien Firmware und einem verifizierten, abgesicherten Bootprozess.
Insbesondere bei Minirechnern oder Laptops ist nicht immer gesagt, dass jedes Bauteil problemlos mit Linux oder gar mit freier Firmware funktioniert, insbesondere das WLAN braucht fast immer eine unfreie Firmware. Beim Librem Mini muss man sich hier als Linux-Nutzender keine Sorgen machen.
Die Leistung und der Preis des Geräts überzeugen. Einzig mehr USB-C-Funktionen und -Anschlüsse vermissen wir. Ansonsten bietet der Rechner alles, was man zum Arbeiten oder zum Betreiben eines Mini-Servers oder einer Multimediastation braucht.
Das Besondere an dem Rechner ist die freie Firmware, sowie Pureboot, durch das der Minirechner ein immens hohen Grad an Security bekommen soll. Durch das fehlende TPM reicht die Sicherheit von letzterem jedoch nicht an die der anderen Librem-Laptops oder den Nitropads (Test) heran, die ebenfalls Coreboot und Heads implementieren - allerdings in Kombination mit einem TPM.
Ob man Pureboot mit einem Rolling-Release-System wie Debian Testing beziehungsweise PureOS Byzantium betreiben möchte, steht auf einem anderen Blatt. Immerhin steht und fällt die Sicherheitsfunktion mit einem Signieren der Boot-Partition nach einer Änderung. Vergisst man dies, weiß man beim nächsten Neustart nicht, ob tatsächlich ein Angriff durchgeführt oder doch nur das Signieren nach dem Update vergessen wurde.
Abgesehen von Systemupdates bekommen wir im Alltag von den zentralen Sicherheitskomponenten Heads und Coreboot bis auf einen grün blinkenden Librem Key nichts mit - aber so soll es ja auch sein.
Nachtrag vom 22. März 2021, 10:00 Uhr
Wir haben den Artikel um Sicherheitsbedenken bei der TPMlosen Implementierung von Pureboot/Heads ergänzt. Außerdem haben wir den Mehrwertsteuersatz angepasst.