• IT-Karriere:
  • Services:

Ohne einen TPM lässt sich Pureboot in Minuten umgehen

Um die fragwürdige Sicherheit des TPMless-Ansatzes zu unterstreichen, hat Laurion einen einfachen Angriff in mehreren Schritten beschrieben: Es reiche, wenn ein Eindringling den Librem Mini starte und mit "r" in die Wiederherstellungs-Shell wechsle. Aus dieser heraus könne ein Backup des aktuellen Firmware-ROM erstellt und auf einem USB-Stick gespeichert werden.

Stellenmarkt
  1. ING Deutschland, Frankfurt am Main
  2. Kraftverkehr Nagel SE & Co. KG, Versmold

Anschließend könne der Hash des ROM ermittelt werden, der wiederum als Schlüssel für HOTP (HMAC-based One Time Password) genutzt wird. Mit diesem HOTP-Schlüssel wird ein Code generiert, der mit einem Librem Key/Nitrokey abgeglichen wird. Stimmen beide überein, blinkt der Sicherheitsschlüssel grün und zeigt damit an, dass keine Veränderung an der Firmware vorgenommen wurde.

Bei dem geschilderten Angriff wird jedoch die Prüfroutine, die den Hash-/HOTP-Schlüssel ermittelt, einfach durch den bereits ermittelten Hash-/HOTP-Schlüssel ersetzt. Entsprechend wird immer noch das richtige HOTP erzeugt, die Firmware jedoch nicht mehr auf Änderungen überprüft. Also kann diese um beliebige Schadfunktionen ergänzt werden, bis hin zum Überspringen der Überprüfung der Bootpartition. Einzige Limitierung ist der beschränkte Speicherplatz der Bios-Chips.

Zu guter Letzt müsse das so veränderte Firmware-ROM per USB-Stick auf den Rechner mit TPMless Pureboot - in unserem Fall der Librem Mini - aufgespielt werden, schreibt Laurion. Das klappt sogar über die Heads-GUI, da Pureboot keine Signaturprüfung unterstützt, wie Purism auf Nachfrage von Golem.de bestätigt.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    19.-22 April 2021, online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

Wird das Gerät anschließend gestartet, gaukelt es eine falsche Sicherheit vor: Der HOTP-Code wird generiert und an den Librem Key/Nitrokey geschickt, welcher anschließend grün blinkt - alles scheint in Ordnung, obwohl die Firmware verändert und die Überprüfung ausgetauscht wurde. Ein vergleichsweise einfacher Evil-Maid-Angriff, vor welchem Purbeoot/Heads eigentlich schützen sollte. Tut es ja auch - wenn ein TPM verbaut ist.

"Ohne TPM würde ich das ROM vor einer Nutzung meines X230-Laptops neu flashen, wenn ich ihn unbeaufsichtigt gelassen habe", schreibt Laurion. Doch auch die Variante mit TPM ist nicht absolut sicher, wie die Heads-Entwickler betonen.

Neuer Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)

"TPM ist keine Wunderwaffe, aber eine weitere Barriere"

Projektgründer Trammell Hudson meldete sich bei der Diskussion nicht zu Wort. Wir kontaktierten ihn und fragten, was er von dem TPMless-Ansatz hält. "Das TPM ist keine Wunderwaffe", sagte er uns. Da es keinen echten Hardware-Vertrauensanker (wie Bootguard oder ein Onboard-Boot-ROM wie bei vielen ARM-CPUs) gebe, könne ein Eindringling mit physischem Zugriff beispielsweise unbemerkt Hardware-Modifikationen vornehmen, die viele der Schutzmechanismen von Heads umgehen.

So seien Hardware-Implantate bekannt, die das TPM stören (etwa TPM Genie). Auch seien Implantate möglich, die das TPM nachahmen. Solche fänden sich beispielsweise im ANT-Katalog der NSA. Dennoch sei das TPM immerhin eine weitere Barriere, die Angreifer überwinden müssen. Hudson ist kein Freund der TPMless-Heads-Implementierung: Auch wenn ein USB-Sicherheitsschlüssel zum Einsatz komme, sei dieser niemals so eng an das System gebunden wie ein TPM und könne entsprechend einfacher umgangen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Purism: Sicherheit zweiter Klasse im Librem MiniOhne TPM ist Pureboot nicht viel sicherer als eine freie Firmware 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)
  2. (u. a. Ryzen 5 5600X 358,03€)

sambache 30. Mär 2021 / Themenstart

Leider ist Purism nicht optimal, aber das beste, was es zur Zeit gibt.

Kommentieren


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /