Ohne einen TPM lässt sich Pureboot in Minuten umgehen

Um die fragwürdige Sicherheit des TPMless-Ansatzes zu unterstreichen, hat Laurion einen einfachen Angriff in mehreren Schritten beschrieben: Es reiche, wenn ein Eindringling den Librem Mini starte und mit "r" in die Wiederherstellungs-Shell wechsle. Aus dieser heraus könne ein Backup des aktuellen Firmware-ROM erstellt und auf einem USB-Stick gespeichert werden.

Anschließend könne der Hash des ROM ermittelt werden, der wiederum als Schlüssel für HOTP (HMAC-based One Time Password) genutzt wird. Mit diesem HOTP-Schlüssel wird ein Code generiert, der mit einem Librem Key/Nitrokey abgeglichen wird. Stimmen beide überein, blinkt der Sicherheitsschlüssel grün und zeigt damit an, dass keine Veränderung an der Firmware vorgenommen wurde.

Bei dem geschilderten Angriff wird jedoch die Prüfroutine, die den Hash-/HOTP-Schlüssel ermittelt, einfach durch den bereits ermittelten Hash-/HOTP-Schlüssel ersetzt. Entsprechend wird immer noch das richtige HOTP erzeugt, die Firmware jedoch nicht mehr auf Änderungen überprüft. Also kann diese um beliebige Schadfunktionen ergänzt werden, bis hin zum Überspringen der Überprüfung der Bootpartition. Einzige Limitierung ist der beschränkte Speicherplatz der Bios-Chips.

Zu guter Letzt müsse das so veränderte Firmware-ROM per USB-Stick auf den Rechner mit TPMless Pureboot - in unserem Fall der Librem Mini - aufgespielt werden, schreibt Laurion. Das klappt sogar über die Heads-GUI, da Pureboot keine Signaturprüfung unterstützt, wie Purism auf Nachfrage von Golem.de bestätigt.

Wird das Gerät anschließend gestartet, gaukelt es eine falsche Sicherheit vor: Der HOTP-Code wird generiert und an den Librem Key/Nitrokey geschickt, welcher anschließend grün blinkt - alles scheint in Ordnung, obwohl die Firmware verändert und die Überprüfung ausgetauscht wurde. Ein vergleichsweise einfacher Evil-Maid-Angriff, vor welchem Purbeoot/Heads eigentlich schützen sollte. Tut es ja auch - wenn ein TPM verbaut ist.

"Ohne TPM würde ich das ROM vor einer Nutzung meines X230-Laptops neu flashen, wenn ich ihn unbeaufsichtigt gelassen habe", schreibt Laurion. Doch auch die Variante mit TPM ist nicht absolut sicher, wie die Heads-Entwickler betonen.

"TPM ist keine Wunderwaffe, aber eine weitere Barriere"

Projektgründer Trammell Hudson meldete sich bei der Diskussion nicht zu Wort. Wir kontaktierten ihn und fragten, was er von dem TPMless-Ansatz hält. "Das TPM ist keine Wunderwaffe", sagte er uns. Da es keinen echten Hardware-Vertrauensanker (wie Bootguard oder ein Onboard-Boot-ROM wie bei vielen ARM-CPUs) gebe, könne ein Eindringling mit physischem Zugriff beispielsweise unbemerkt Hardware-Modifikationen vornehmen, die viele der Schutzmechanismen von Heads umgehen.

So seien Hardware-Implantate bekannt, die das TPM stören (etwa TPM Genie). Auch seien Implantate möglich, die das TPM nachahmen. Solche fänden sich beispielsweise im ANT-Katalog der NSA. Dennoch sei das TPM immerhin eine weitere Barriere, die Angreifer überwinden müssen. Hudson ist kein Freund der TPMless-Heads-Implementierung: Auch wenn ein USB-Sicherheitsschlüssel zum Einsatz komme, sei dieser niemals so eng an das System gebunden wie ein TPM und könne entsprechend einfacher umgangen werden.