Abo
  • Services:

Linux: Qubes-Projekt führt Security-Zertifizierung ein

Dem Qubes-Projekt fehlt es zwar generell noch an passender Hardware, die das sichere Betriebssystem auf eine verlässliche Basis stellt. Aber sollte diese je auftauchen, bringen neu eingeführte Zertifizierungen den Nutzern mehr Klarheit.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Qubes OS versucht die Teile des Betriebssystem stark voneinander zu trennen, damit Lücken schwerer ausgenutzt werden können.
Qubes OS versucht die Teile des Betriebssystem stark voneinander zu trennen, damit Lücken schwerer ausgenutzt werden können. (Bild: Vincent Tcheng Chang Folgen, flickr.com/CC-BY 2.0)

Das Qubes-Projekt nimmt die Sicherheit extrem ernst, was wohl der Hauptgrund dafür ist, dass es bislang kein einziges Laptop als sicher empfiehlt. Eine 2015 eingeführte Zertifizierung empfiehlt zwar das inzwischen nicht mehr hergestellte Purism Librem 13v1, aber die bisherige Zertifizierung betraf in erster Linie die Kompatibilität, nicht die Sicherheit.

Stellenmarkt
  1. WMF Group GmbH, Geislingen an der Steige
  2. Consors Finanz, München

Nun hat das Projekt seine Zertifizierungen an diesen Umstand angepasst. Unter dem Motto "Towards a Reasonably Secure Laptop" stellt Andrew David Wong die neuen Zertifizierungen Level 0 bis Level 2 in einem Blogpost vor. Den Level 0 erreicht etwa das erwähnte Purism Librem 13v1, er betrifft nur die Kompatibilität. Um diesen Level zu erreichen, muss ein Hersteller nicht nur eine bestimmte Auswahl in Sachen GPU, Wifi und Bluetooth treffen, er muss diese Konfiguration auch mindestens ein Jahr unverändert anbieten.

Quelloffene Fimware und sauberes ACPI

Erfüllt das Laptop auch die aktualisierten Anforderungen für die Qubes-4.x-Zertifizierung, erreicht es Level 1. Dafür muss das Gerät nicht nur eine quelloffene Firmware an Bord haben, das BIOS muss das ACPI auch in einer sauberen DMA-Remapping-Tabelle aufbereiten, welche die VT-x-, VT-d- und SLAT-Funktionalität (Second Level Address Translation) der darunterliegenden Hardware abbildet.

Zugleich muss das Laptop für Level 1 Support für eine hardwaregestützte Speichervirtualisierung bieten. Die SLAT, Intel nennt sie EPT, ist eine Erweiterung zur VT-x-Virtualisierung. Ursprünglich war sie nur in der Lage, die CPU zu virtualisieren, nicht aber den Speicher. Letzteres führte dazu, dass eine Pagetable-Sicherheitslücke in Xen (XSA-148) auch Qubes betreffen konnte.

Den zurzeit höchsten Level 2 erreichen nur Laptops mit zustandsloser Hardware, die Projektleiterin Joanna Rutkowska frühestens in zwei Jahren für erreichbar hält. In einem PDF zum Thema erklärt sie, warum zustandsorientierte Geräte nicht sicher sein können. Auch hier könne es dann verschiedene Grade an Kompatibilität geben. Aufgrund der Anforderungen peilt das Qubes-Projekt allerdings zunächst an, ein Level-1-Laptop zu zertifizieren. Welches das sein wird, verrät der Blogpost noch nicht.



Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 111€
  4. 55,11€ (Bestpreis!)

Everyday... 11. Jul 2017

Im Post auf der Qubes Webseite bezieht man sich auf folgendes Paper. https://blog...


Folgen Sie uns
       


HP Z2 Mini Workstation - Test

Die Z2 Mini Workstation G3 kann uns im Test überzeugen - und das nicht als sehr schnelle Maschine, sondern als gut durchdachtes Gesamtkonzept.

HP Z2 Mini Workstation - Test Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /