Was das Nitropad sicher macht

Wie eingangs erwähnt, soll die Heads-Firmware helfen, die Manipulation der Firmware beziehungsweise des genutzten Betriebssystems schnell und einfach erkennen zu können. Vorgestellt hat Heads der Entwickler Trammell Hudson erstmals auf dem 33. Chaos Communication Congress als mögliche Maßnahme gegen den sogenannten Evil Maid Attack, also eine Firmware-Manipulation in einem Moment, bei dem der eigene Rechner nicht unter eigener Kontrolle ist, etwa weil dieser im Hotelzimmer liegt.

Stellenmarkt
  1. Senior Software / Data Base Engineer (m/w/d)
    Allianz Deutschland AG, Unterföhring
  2. Softwareentwickler (m/w/d) Automatisierungstechnik
    Dürr Systems AG, Goldkronach
Detailsuche

Grundlegend ist Heads eine sehr kleine Linux-Distribution, die direkt von der Coreboot-Firmware als sogenanntes Payload geladen wird. Heads selbst greift für seine eigentliche Aufgabe auf ein Trusted Platform Module (TPM) zurück. Dieses wird genutzt, um die Daten und den Code beim Boot mit Hilfe von Hashwerten zu überprüfen. Dies geschieht auch mit den kryptographischen Headern der verschlüsselten Festplatten, die so ebenfalls vor Manipulation geschützt werden sollen.

Um diesen Messvorgang beim Neustart verifizieren zu können, bietet Heads die Nutzung eines Time-based One-time Password (TOTP) an. Dieses wiederum kann dann mit einer Authenticator App auf dem Smartphone überprüft werden. Statt mit Hilfe der App kann dieses gemeinsame Secret beim Nitropad eben auch mit dem Nitrokey selbst überprüft werden, dann jedoch per HOTP (HMAC-based One-time Password), das einen zwischen den Geräten ausgehandelten Zähler statt der Uhrzeit verwendet.

Heads, wir haben ein Problem

Neben dem Bootvorgang wird auch die unverschlüsselte Linux-Bootpartition überprüft. Hier befinden sich beispielsweise der Linux-Kernel und weitere zum Start des Betriebssystems notwendige Programme, die das Grundsystem starten und zu einer Passworteingabe für den verschlüsselten Teil des Linux-Systems auffordern. Auch die Dateien auf der Boot-Partition werden durch Heads abgesichert, indem sie mit einem GPG-Schlüssel, der sich auf dem Nitrokey befindet, signiert werden. Diese Signaturen prüft Heads unter Rückgriff auf den Nitrokey ebenfalls bei jedem Bootvorgang. Wurden die Dateien verändert, warnt Heads mit einer Fehlermeldung auf rotem Grund.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Das passiert allerdings auch bei jedem Update, bei dem die Boot-Partition verändert wird. Der Rechner startet nicht wie gewohnt, sondern die Warnmeldung weist auf geänderte Hash-Werte auf der Boot-Partition hin. Entsprechend müssen die Hashes nach jedem Update, das Änderungen an der Boot-Partition vorgenommen hat, aktualisiert werden. Um die Signaturen zu erneuern, fragt Heads, ob der Nitrokey eingesteckt ist. Diese Frage sollten Nutzer nicht - wie gefordert - mit der Y-Taste für Yes beantworten, da Heads das US-Tastatur-Layout verwendet, bei dem Y und Z getauscht sind. Drücken Nutzer auf Y wird dieses zu Z und der Vorgang bricht sofort ab, ein Reboot ist notwendig.

Stattdessen können Nutzer ganz ohne Y und Z einfach auf Enter drücken, auch dann fordert Heads zur Eingabe des Nitrokey-PINs auf und die Dateien in der Boot-Partition werden neu signiert. Das ist zwar etwas nervig, geht aber schnell von der Hand. Aus Sicherheitsgründen empfiehlt es sich, das Nitropad nach jedem Systemupdate, bei dem auch Dateien in der Boot-Partition verändert wurden, neu zu starten und die Dateien zu signieren - sonst könnte eine Veränderung in Abwesenheit nicht erkannt werden.

  • Nitropad X230 mit Nitrokey Pro (Bild: Martin Wolf/Golem.de)
  • Ist der Nitrokey nicht eingesteckt, gibt es eine Warnung - starten lässt es sich auch ohne Key. (Bild: Martin Wolf/Golem.de)
  • Nitrokey blinkt grün: Alles ist in Ordnung. (Bild: Martin Wolf/Golem.de)
  • Das Boot-Menü von Heads ist schlicht. (Bild: Martin Wolf/Golem.de)
  • Das Optionsmenü von Heads. (Bild: Martin Wolf/Golem.de)
  • Verified Boot: Unser Ubuntu wird beim Start mit dem Nitrokey überprüft. (Bild: Martin Wolf/Golem.de)
  • Ubuntu will ein Passwort um unsere Daten und Software zu entschlüsseln. (Bild: Martin Wolf/Golem.de)
  • Nach dem Anlegen eines Benutzerkontos begrüßt uns Ubuntu 18.04 LTS mit Gnome 3.28. (Bild: Martin Wolf/Golem.de)
  • Trotz seines Alters bringt der Dual-Core-Prozessor mit dem M-Suffix noch eine solide Leistung. (Bild: Martin Wolf/Golem.de)
  • Heads warnt vor Veränderungen auf der Boot-Partition - beispielsweise nache einem Angriff oder einem Update. (Bild: Martin Wolf/Golem.de)
  • Nach einem Update der Dateien auf der Boot-Partitionen müssen neue Hashes erzeugt werden. (Bild: Martin Wolf/Golem.de)
  • Die Y-Taste auf der deutschen Tastatur führt zum Z und damit zum Abbruch des Signiervorganges. (Bild: Martin Wolf/Golem.de)
Nitropad X230 mit Nitrokey Pro (Bild: Martin Wolf/Golem.de)

Wird ein neuer Kernel installiert, müssen Nutzer zudem die Default-Boot-Einstellung ändern und den entsprechenden Kernel, der standardmäßig gestartet werden soll, festlegen. Denn Heads überspringt den Bootloader des Linux-Systems (beispielsweise Grub) und startet das Ubuntu oder ein anderes Linux direkt.

Das Updaten nervt im Alltag zwar etwas, allerdings gehört es zu den elementaren Sicherheitsfunktionen von Heads: den überprüften und abgesicherten Boot-Vorgang bis zum verschlüsselten System sicherzustellen. Sicherheit ist eben häufig nicht komfortabel.

Weniger ME für mehr Sicherheit

Neben den Signaturen lassen sich auch Coreboot und Heads selbst updaten. "Wir werden zukünftig Updates auf unserer Webseite zum Download anbieten. Aber man kann sich Heads und Coreboot natürlich jederzeit selber kompilieren", sagt Suhr. Für das Update müsse nur die Update-Datei auf einen USB-Stick kopiert und der Computer neu gestartet werden. Aus dem Heads-Menü könne dann einfach das Update getriggert werden, erklärt Suhr.

Nitrokey ersetzt nicht nur das Bios des X230-Laptops durch freie Firmware, sondern kümmert sich auch um die Management Engine (ME), eine proprietäre Firmware-Komponente von Intel. Diese hatte in der Vergangenheit immer wieder Sicherheitsprobleme und ist eine Art Black Box auf Computern mit Intel-Chips. "Es gibt derzeit zwei Möglichkeiten, ME zu verhindern", erläutert Suhr. Zum einen könne ein Bit gesetzt werden, das die Ausführung von ME verhindert, zum anderen könne ein großer Teil des ME-Binary-Blobs überschrieben werden. "Am sichersten ist es, beide Methoden zu verwenden und das machen wir auch", sagt Suhr.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervtVerfügbarkeit und Fazit 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


cpt.dirk 24. Feb 2020

Aufgrund der Sicherheitsprobleme mit Intel würde ich mir derzeit keinen Rechner mit...

cpt.dirk 24. Feb 2020

Wenn dir das nicht behagt, kannst du dir ein Librem von puri.sm besorgen - da hast du...

Neuro-Chef 17. Feb 2020

Und das genau wegen der guten Coreboot-Unterstützung, mir ist nach Basteln. Im Moment...

Schattenwerk 14. Feb 2020

Und das ist nun Problem vom Projekt? Das schöne ist doch, dass man es nun überhaupt...

Schattenwerk 14. Feb 2020

Wenn man das Forum in der richtigen Darstellung nutzt, dann sieht man, dass ich auf...



Aktuell auf der Startseite von Golem.de
Microsoft
11 gute Gründe gegen den Umstieg auf Windows 11

Microsoft hat mit Windows 11 ein besseres Windows versprochen. Momentan fehlt aber viel und Funktionen werden hinter mehr Klicks versteckt.
Ein IMHO von Oliver Nickel

Microsoft: 11 gute Gründe gegen den Umstieg auf Windows 11
Artikel
  1. Rastplätze: Warnung vor Ladeplätzen zweiter Klasse an Autobahnen
    Rastplätze
    Warnung vor Ladeplätzen zweiter Klasse an Autobahnen

    An unbewirtschafteten Rastplätzen sollen tausend neue Ladesäulen installiert werden. Das führe zu einem Zweiklassensystem, warnen Ladenetzbetreiber.

  2. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  3. Sportuhr im Hands-on: Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom
    Sportuhr im Hands-on
    Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom

    Bis zu 37 Tage Akku und erstmals ein Touchscreen: Golem.de hat bereits die Outdoor-Smartwatch-Reihe Fenix 7 von Garmin ausprobiert.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /