Purism: Sicherheit zweiter Klasse im Librem Mini

Eigentlich sind die Purism-PCs mit Pureboot besonders sicher, doch dem Librem Mini fehlt ein wichtiger Teil der Sicherheitskette.

Artikel von veröffentlicht am
Durch das fehlende TPM ist der Schutz von Pureboot auf dem Librem Mini stark eingeschränkt.
Durch das fehlende TPM ist der Schutz von Pureboot auf dem Librem Mini stark eingeschränkt. (Bild: Pixabay/Montage: Golem.de)

Mit Pureboot bietet der Hersteller von Linux-Hardware Purism einen abgesicherten und authentifizierten Bootprozess an, der die Librem-Rechner vor Angriffen schützen soll. Dieser setzt auf die freie Firmware Coreboot, den Payload Heads, ein TPM (Trusted Platform Module) und einen Librem Key.

Die Komponenten überprüfen den Rechner beim Starten auf Veränderungen. Blinkt der Librem Key grün, ist alles in Ordnung. Blinkt er rot, wurde das Bios oder die unverschlüsselte Bootpartition des Linux-Systems verändert, beispielsweise wenn der Rechner unbeaufsichtigt im Hotelzimmer lag (Evil-Maid-Angriff). Doch dem Nuc-artigen Mini-Rechner Librem Mini von Purism fehlt das TPM und damit auch ein wichtiger Teil der Sicherheitskette.

Das sei kein Problem, wenn nicht sogar sicherer, erklärte uns Purism beim Test des Librem Mini. Doch in einem Pull-Request, mit welchem Purism den TPMless-Ansatz direkt in Heads integrieren will, wird dieser heftig kritisiert und der Vorschlag abgelehnt. Denn die Sicherheit ist eben nicht wie von Purism behauptet vergleichbar, sondern lässt vergleichsweise einfache Angriffe zu.

Hauptentwickler Thierry Laurion von der Firma Insurgo, die mit dem Privacy Beast ein abgesichertes Thinkpad X230 von Lenovo anbietet, spricht von einem "Gefühl falscher Sicherheit", das der TPMless-Ansatz erzeuge. In der Diskussion um ein solches Heads light wird von mehreren Entwicklern gefordert, dies zumindest im Marketing zu berücksichtigen.

Purism bewirbt TPMless Pureboot als sicher, widerspricht sich aber selbst

Stellenmarkt
  1. SAP Fiori / ABAP / ABAP OO Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Berlin
  2. Zentrale Koordination / Projektleitung (w/m/d) Technik / Information und Kommunikation, Hochschul- ... (m/w/d)
    Hochschule für Polizei Baden-Württemberg, Villingen-Schwenningen
Detailsuche

Doch auf der Produktseite des Librem Mini und in der Beschreibung von Pureboot findet sich kein Hinweis auf das fehlende TPM des Librem Mini oder auf die dadurch herabgesetzte Sicherheit. Im Gegenteil: Pureboot ohne TPM wird in den FAQ und in einem Blogeintrag nur für ältere Legacy-Laptops (und nicht für den Librem Mini) angepriesen, denen der entsprechende Sicherheitschip fehlt. Diese würden "einen gleichwertigen Schutz gegen Manipulationen erhalten", heißt es dort.

Beim Test des Librem Mini hatte Golem.de das Fehlen des TPM bemerkt und bei Purism nachgehakt. Damals erklärte uns Matt DeVillier, Firmware-Developer bei Purism, dass man durchaus argumentieren könne, dass der TPMless-Ansatz sogar sicherer sei, da die komplette Firmware ausgelesen und gehasht werde.

Doch im Pull-Request schreibt Kyle Rankin, CSO bei Purism, dass es darum gehe, "zu versuchen *ein* gewisses Maß an Schutz von Heads auf Hardware zu bringen, die über kein physisches TPM verfügt". Zwar schütze der Ansatz nicht vor gezielten Evil-Maid-Angriffen, allerdings biete er die anderen Schutzmaßnahmen, wie das Erkennen von Änderungen an der Bootpartition des Betriebssystems oder "möglicherweise eine Erkennung von Firmware-Änderungen von weniger raffinierten Angreifern".

Neuer Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)

Doch das ist gerade nicht das, was man von einem System erwartet, das mit dem "leichtem Überprüfen, ob die Software Ihres Geräts manipuliert wurde, während Sie nicht anwesend waren", beworben wird. Was gleichzeitig ungefähr die Definition von Evil-Maid-Angriffen ist - also Veränderungen durch Dritte am physischen Gerät, während man selbst nicht anwesend ist.

Zudem zeigt ein einfaches und vergleichsweise schnell durchzuführendes Angriffsszenario im Pull-Request, dass das TPM-lose Pureboot des Librem Mini nicht einmal vor weniger raffinierten Angriffen schützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ohne einen TPM lässt sich Pureboot in Minuten umgehen 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

  2. Samsung Galaxy Tab S7 FE bei Amazon zum Sparpreis
     
    Samsung Galaxy Tab S7 FE bei Amazon zum Sparpreis

    Das hochwertige Tablet von Samsung ist bei Amazon während der Last Minute Angebote um 135 Euro reduziert. Außerdem: Apple und die Galaxy Watch 3.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Pixel Watch: Google will 2022 eine eigene Smartwatch bringen
    Pixel Watch
    Google will 2022 eine eigene Smartwatch bringen

    Die erste Google-Smartwatch soll preislich mit der Apple Watch konkurrieren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /