Ohne TPM ist Pureboot nicht viel sicherer als eine freie Firmware

Letztlich gebe es eben - wie überall - keine absolute Sicherheit, erklärt Hudson. Dem stimmt Laurion zu. Natürlich gebe es auch Angriffsvektoren auf Heads oder Pureboot mit einem TPM, beispielsweise über SHA-1-Kollisionen, da die verwendeten TPM-1.x-Chips nur SHA-1 unterstützen. Solche Angriffe sind jedoch sehr viel aufwendiger: "Wir reden hier von weitaus mehr Arbeit, als den Inhalt einer Funktion unter Heads, die secret_from_hash heißt, mit dem berechneten Geheimnis zu verändern - was fünf Sekunden dauert", sagt Laurion.

Stellenmarkt
  1. SAP Consultant (m/w/d) FI/CO/PS
    Universitätsklinikum Regensburg, Regensburg
  2. DevOps Software Engineer im Bereich "Software Factory" (m/w / divers)
    Continental AG, Frankfurt
Detailsuche

Er kritisiert, dass es bei der Abstimmung um Marketing und wirtschaftliche Interesse gehe, was ihn in eine eigenartige Situation bringe. "Ich versuche einfach zu tun, was das Beste für das Heads-Projekt und die globale Sicherheit in der Blobless-Welt ist", schreibt uns Laurion.

Auch Nitrokey hat einen baugleichen Rechner wie den Librem Mini im Angebot - ohne TPM. Nitrokey habe beim NitroPC bewusst auf eine Implementierung von Heads verzichtet, erklärte CEO Jan Suhr Golem.de. "Ohne TPM sehen wir durch Heads keinen realen Sicherheitsgewinn gegenüber einem BIOS oder UEFI, solange es Open Source ist." Um keine falschen Sicherheitserwartungen zu erzeugen und den TPM-losen NitroPC von den Nitropads (Test) mit TPM und Heads abzugrenzen, biete man die NitroPCs daher mit Coreboot und Tianocore an, sagte Suhr.

Purism zwischen Marketing und Bedrohungsmodellen

Mit der Kritik der Heads-Entwickler konfrontiert, erklärte uns Matt DeVillier von Purism, dass der Schutz gegen Evil-Maid-Angriffe nicht der Hauptzweck von Pureboot sei. "Ein absoluter Schutz vor Evil-Maid-Attacken (sogar mit einem TPM) ist nicht möglich", schrieb DeVillier an Golem.de. "Jeder Nutzer muss daher sein eigenes Bedrohungsmodell definieren und bewerten, wie die Heads-/Pureboot-Lösung zu diesem Modell passt."

Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)
Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Doch warum wird auf das fehlende TPM nicht auf der Webseite eingegangen? "Im Marketing wird üblicherweise nicht auf die Features eingegangen, die ein Gerät nicht hat", erklärte DeVillier. Warum nicht wenigstens auf die von ihm und Rankin beschriebene "leichte Abschwächung der Sicherheit" eingegangen werde, könne er nicht beantworten, da es nicht sein Zuständigkeitsbereich sei. So bleibt es für die Purism-Kunden schwierig, die Produkte nach dem eigenen Bedrohungsmodell auszuwählen, während das Marketing Sicherheit verspricht, die offensichtlich nicht immer gegeben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ohne einen TPM lässt sich Pureboot in Minuten umgehen
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Vantage Towers: 1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start
    Vantage Towers
    1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start

    Einige Wochen hat es gedauert, bis 1&1 Mobilfunk eine klare Schuldzuweisung gemacht hat. Doch Vantage Towers verteidigt seine Position im Gespräch mit Golem.de.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /