Purism: Sicherheit zweiter Klasse im Librem Mini - Golem.de

內容

Mit Pureboot bietet der Hersteller von Linux-Hardware Purism einen abgesicherten und authentifizierten Bootprozess an, der die Librem-Rechner vor Angriffen schützen soll. Dieser setzt auf die freie Firmware Coreboot, den Payload Heads, ein TPM (Trusted Platform Module) und einen Librem Key.

Die Komponenten überprüfen den Rechner beim Starten auf Veränderungen. Blinkt der Librem Key grün, ist alles in Ordnung. Blinkt er rot, wurde das Bios oder die unverschlüsselte Bootpartition des Linux-Systems verändert, beispielsweise wenn der Rechner unbeaufsichtigt im Hotelzimmer lag (Evil-Maid-Angriff). Doch dem Nuc-artigen Mini-Rechner Librem Mini von Purism fehlt das TPM und damit auch ein wichtiger Teil der Sicherheitskette.

Das sei kein Problem, wenn nicht sogar sicherer, erklärte uns Purism beim Test des Librem Mini. Doch in einem Pull-Request, mit welchem Purism den TPMless-Ansatz direkt in Heads integrieren will, wird dieser heftig kritisiert und der Vorschlag abgelehnt. Denn die Sicherheit ist eben nicht wie von Purism behauptet vergleichbar, sondern lässt vergleichsweise einfache Angriffe zu.

Hauptentwickler Thierry Laurion von der Firma Insurgo, die mit dem Privacy Beast ein abgesichertes Thinkpad X230 von Lenovo anbietet, spricht von einem "Gefühl falscher Sicherheit", das der TPMless-Ansatz erzeuge. In der Diskussion um ein solches Heads light wird von mehreren Entwicklern gefordert, dies zumindest im Marketing zu berücksichtigen.

Purism bewirbt TPMless Pureboot als sicher, widerspricht sich aber selbst

  1. KfW Bankengruppe, Frankfurt am Main, Berlin
  2. alanta health service GmbH, Hennef (Sieg)

Doch auf der Produktseite des Librem Mini und in der Beschreibung von Pureboot findet sich kein Hinweis auf das fehlende TPM des Librem Mini oder auf die dadurch herabgesetzte Sicherheit. Im Gegenteil: Pureboot ohne TPM wird in den FAQ und in einem Blogeintrag nur für ältere Legacy-Laptops (und nicht für den Librem Mini) angepriesen, denen der entsprechende Sicherheitschip fehlt. Diese würden "einen gleichwertigen Schutz gegen Manipulationen erhalten", heißt es dort.

Beim Test des Librem Mini hatte Golem.de das Fehlen des TPM bemerkt und bei Purism nachgehakt. Damals erklärte uns Matt DeVillier, Firmware-Developer bei Purism, dass man durchaus argumentieren könne, dass der TPMless-Ansatz sogar sicherer sei, da die komplette Firmware ausgelesen und gehasht werde.

Doch im Pull-Request schreibt Kyle Rankin, CSO bei Purism, dass es darum gehe, "zu versuchen *ein* gewisses Maß an Schutz von Heads auf Hardware zu bringen, die über kein physisches TPM verfügt". Zwar schütze der Ansatz nicht vor gezielten Evil-Maid-Angriffen, allerdings biete er die anderen Schutzmaßnahmen, wie das Erkennen von Änderungen an der Bootpartition des Betriebssystems oder "möglicherweise eine Erkennung von Firmware-Änderungen von weniger raffinierten Angreifern".

Neuer Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)

Doch das ist gerade nicht das, was man von einem System erwartet, das mit dem "leichtem Überprüfen, ob die Software Ihres Geräts manipuliert wurde, während Sie nicht anwesend waren", beworben wird. Was gleichzeitig ungefähr die Definition von Evil-Maid-Angriffen ist - also Veränderungen durch Dritte am physischen Gerät, während man selbst nicht anwesend ist.

Zudem zeigt ein einfaches und vergleichsweise schnell durchzuführendes Angriffsszenario im Pull-Request, dass das TPM-lose Pureboot des Librem Mini nicht einmal vor weniger raffinierten Angriffen schützt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed

Page 2

Um die fragwürdige Sicherheit des TPMless-Ansatzes zu unterstreichen, hat Laurion einen einfachen Angriff in mehreren Schritten beschrieben: Es reiche, wenn ein Eindringling den Librem Mini starte und mit "r" in die Wiederherstellungs-Shell wechsle. Aus dieser heraus könne ein Backup des aktuellen Firmware-ROM erstellt und auf einem USB-Stick gespeichert werden.

  1. Statistisches Bundesamt, Wiesbaden
  2. BIM Berliner Immobilienmanagement GmbH, Berlin

Anschließend könne der Hash des ROM ermittelt werden, der wiederum als Schlüssel für HOTP (HMAC-based One Time Password) genutzt wird. Mit diesem HOTP-Schlüssel wird ein Code generiert, der mit einem Librem Key/Nitrokey abgeglichen wird. Stimmen beide überein, blinkt der Sicherheitsschlüssel grün und zeigt damit an, dass keine Veränderung an der Firmware vorgenommen wurde.

Bei dem geschilderten Angriff wird jedoch die Prüfroutine, die den Hash-/HOTP-Schlüssel ermittelt, einfach durch den bereits ermittelten Hash-/HOTP-Schlüssel ersetzt. Entsprechend wird immer noch das richtige HOTP erzeugt, die Firmware jedoch nicht mehr auf Änderungen überprüft. Also kann diese um beliebige Schadfunktionen ergänzt werden, bis hin zum Überspringen der Überprüfung der Bootpartition. Einzige Limitierung ist der beschränkte Speicherplatz der Bios-Chips.

Zu guter Letzt müsse das so veränderte Firmware-ROM per USB-Stick auf den Rechner mit TPMless Pureboot - in unserem Fall der Librem Mini - aufgespielt werden, schreibt Laurion. Das klappt sogar über die Heads-GUI, da Pureboot keine Signaturprüfung unterstützt, wie Purism auf Nachfrage von Golem.de bestätigt.

Wird das Gerät anschließend gestartet, gaukelt es eine falsche Sicherheit vor: Der HOTP-Code wird generiert und an den Librem Key/Nitrokey geschickt, welcher anschließend grün blinkt - alles scheint in Ordnung, obwohl die Firmware verändert und die Überprüfung ausgetauscht wurde. Ein vergleichsweise einfacher Evil-Maid-Angriff, vor welchem Purbeoot/Heads eigentlich schützen sollte. Tut es ja auch - wenn ein TPM verbaut ist.

"Ohne TPM würde ich das ROM vor einer Nutzung meines X230-Laptops neu flashen, wenn ich ihn unbeaufsichtigt gelassen habe", schreibt Laurion. Doch auch die Variante mit TPM ist nicht absolut sicher, wie die Heads-Entwickler betonen.

Neuer Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)

"TPM ist keine Wunderwaffe, aber eine weitere Barriere"

Projektgründer Trammell Hudson meldete sich bei der Diskussion nicht zu Wort. Wir kontaktierten ihn und fragten, was er von dem TPMless-Ansatz hält. "Das TPM ist keine Wunderwaffe", sagte er uns. Da es keinen echten Hardware-Vertrauensanker (wie Bootguard oder ein Onboard-Boot-ROM wie bei vielen ARM-CPUs) gebe, könne ein Eindringling mit physischem Zugriff beispielsweise unbemerkt Hardware-Modifikationen vornehmen, die viele der Schutzmechanismen von Heads umgehen.

So seien Hardware-Implantate bekannt, die das TPM stören (etwa TPM Genie). Auch seien Implantate möglich, die das TPM nachahmen. Solche fänden sich beispielsweise im ANT-Katalog der NSA. Dennoch sei das TPM immerhin eine weitere Barriere, die Angreifer überwinden müssen. Hudson ist kein Freund der TPMless-Heads-Implementierung: Auch wenn ein USB-Sicherheitsschlüssel zum Einsatz komme, sei dieser niemals so eng an das System gebunden wie ein TPM und könne entsprechend einfacher umgangen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed

Page 3

Letztlich gebe es eben - wie überall - keine absolute Sicherheit, erklärt Hudson. Dem stimmt Laurion zu. Natürlich gebe es auch Angriffsvektoren auf Heads oder Pureboot mit einem TPM, beispielsweise über SHA-1-Kollisionen, da die verwendeten TPM-1.x-Chips nur SHA-1 unterstützen. Solche Angriffe sind jedoch sehr viel aufwendiger: "Wir reden hier von weitaus mehr Arbeit, als den Inhalt einer Funktion unter Heads, die secret_from_hash heißt, mit dem berechneten Geheimnis zu verändern - was fünf Sekunden dauert", sagt Laurion.

  1. Fürst Gruppe, Nürnberg
  2. SRAM Deutschland GmbH, Schweinfurt

Er kritisiert, dass es bei der Abstimmung um Marketing und wirtschaftliche Interesse gehe, was ihn in eine eigenartige Situation bringe. "Ich versuche einfach zu tun, was das Beste für das Heads-Projekt und die globale Sicherheit in der Blobless-Welt ist", schreibt uns Laurion.

Auch Nitrokey hat einen baugleichen Rechner wie den Librem Mini im Angebot - ohne TPM. Nitrokey habe beim NitroPC bewusst auf eine Implementierung von Heads verzichtet, erklärte CEO Jan Suhr Golem.de. "Ohne TPM sehen wir durch Heads keinen realen Sicherheitsgewinn gegenüber einem BIOS oder UEFI, solange es Open Source ist." Um keine falschen Sicherheitserwartungen zu erzeugen und den TPM-losen NitroPC von den Nitropads (Test) mit TPM und Heads abzugrenzen, biete man die NitroPCs daher mit Coreboot und Tianocore an, sagte Suhr.

Purism zwischen Marketing und Bedrohungsmodellen

Mit der Kritik der Heads-Entwickler konfrontiert, erklärte uns Matt DeVillier von Purism, dass der Schutz gegen Evil-Maid-Angriffe nicht der Hauptzweck von Pureboot sei. "Ein absoluter Schutz vor Evil-Maid-Attacken (sogar mit einem TPM) ist nicht möglich", schrieb DeVillier an Golem.de. "Jeder Nutzer muss daher sein eigenes Bedrohungsmodell definieren und bewerten, wie die Heads-/Pureboot-Lösung zu diesem Modell passt."

Neuer Apple Mac Mini mit Apple M1 Chip (8 GB RAM, 256 GB SSD)

Doch warum wird auf das fehlende TPM nicht auf der Webseite eingegangen? "Im Marketing wird üblicherweise nicht auf die Features eingegangen, die ein Gerät nicht hat", erklärte DeVillier. Warum nicht wenigstens auf die von ihm und Rankin beschriebene "leichte Abschwächung der Sicherheit" eingegangen werde, könne er nicht beantworten, da es nicht sein Zuständigkeitsbereich sei. So bleibt es für die Purism-Kunden schwierig, die Produkte nach dem eigenen Bedrohungsmodell auszuwählen, während das Marketing Sicherheit verspricht, die offensichtlich nicht immer gegeben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
  1. (u. a. Razer Basilisk X HyperSpeed Wireless Gaming-Maus für 45,99€, Razer Huntsman Tournament...
  2. (u. a. Fire TV Stick 4K für 44,99€, Echo Dot 4. Gen. für 29,99€, Echo Show 5 für 49,99€)
  3. für alle Kunden, mit oder ohne Prime-Mitgliedschaft
  4. (u. a. WD Elements Portable 1TB + Sandisk Crucer Blade 32GB für 44€, Philips 70PUS8545/12 70...

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Gothic: Der Rollenspiel-Klassiker aus dem Ruhrpott

Herz, Schnauze und Diego: Golem.de hat das Kultrollenspiel Gothic zum 20. Geburtstag noch einmal gespielt - und war wieder begeistert.
Von Benedikt Plass-Fleßenkämper

Lenovo Thinkstation P620 im Test: An dieser Workstation lieben wir fast alles

Extrem schnell und absolut wartungsfreundlich: Selten hatten wir so viel Spaß an einem PC wie mit Lenovos Threadripper-Workstation.
Ein Test von Marc Sauter

Asus PN50 und Zotac ZBox Magnus im Test: Mini und Mini gegen den Mac Mini

Zotac und Asus bauen Mini-PCs, die es in unserem Test mit dem Mac Mini aufnehmen. Der ist dank des Apple M1 ein würdiger Gegner.
Ein Test von Oliver Nickel

總結
Pureboot von Purism bietet einen sicheren Bootprozess für Librem-Rechner, der auf Coreboot, Heads, TPM und Librem Key basiert. Der Mini-Rechner Librem Mini fehlt jedoch das TPM, was zu Sicherheitsbedenken führt. Purism verteidigt den TPMless-Ansatz, wird jedoch von Entwicklern kritisiert. Ein einfacher Angriff zeigt, dass das TPM-lose Pureboot nicht ausreichend vor Manipulationen schützt. Purism bewirbt Pureboot ohne TPM als sicher, obwohl es Schwachstellen aufweist. Ein Entwickler beschreibt einen Angriff, bei dem die Firmware des Librem Mini manipuliert werden kann. Dies verdeutlicht die Unsicherheit des TPMless-Ansatzes. Purism wird aufgefordert, die fehlende Sicherheit des Librem Mini transparenter zu kommunizieren. Die Diskussion um die Integration des TPMless-Ansatzes in Heads bleibt kontrovers.