Librem Key: Mehr Sicherheit für Notebooks

 

  Im Mai hatte Purism, Ausrüster von auf den Schutz der Privatsphäre ausgelegten Notebooks und dem Librem 5 Linux-Phone, das Sicherheitstoken Librem Key angekündigt. Dazu wurde eine Partnerschaft mit Nitrokey aufgelegt, dem Hersteller von OpenPGP-Sicherheitstoken und Hardware-Sicherheitsmodulen (HSMs). Nun ist der Librem Key verfügbar und ist die erste und einzige OpenPGP-Smartcard mit einem von Trammel Hudsons Heads Sicherheits-Firmware integrierten manipulationssicheren Bootprozess. Letztes Jahr hat Purism mit Trammell Hudson, einem der führenden Forscher der Infosec-Community,  zusammengearbeitet, um dessen Open-Source-Firmware Heads direkt in Purism-Laptops zu integrieren. Anfang diesen Jahres hat Purism Heads vollständig in seine gesamte Laptop-Linie integriert.

Librem Key

Der neue Librem Key, der ein »Open Hardware USB OpenPGP-Sicherheitstoken« von Nitrokey zur Grundlage hat, kann bis zu 4096-Bit RSA-Schlüssel und bis zu 512-Bit ECC-Schlüssel speichern und sicher direkt auf dem Gerät generieren. Der Librem Key ist in der Lage, grundlegende Sicherheitstoken-Funktionen auf jedem Laptop bereitzustellen, verfügt aber über erweiterte Funktionen, die ausschließlich mit Purisms Laptop-Linie Librem und anderen Geräten funktionieren, die Trammel Hudsons Sicherheits-Firmware unterstützen.

»Purisms Arbeit, Coreboot mit einem externen Sicherheitstoken zu validieren ist die Verwirklichung eines Traums, den wir seit 2005 haben« – Ron Minnich, Coreboot Gründer.

Grünes Licht

Das Token zeigt beim Hochfahren eines Librem-Laptops an, ob auf dem Gerät ein unverändert sicherer Bootprozess läuft oder ob hier manipuliert wurde. Eine grün blinkende LED stellt sicher, dass das Notebook bereits ab dem Bootprozess sauber ist. Es wäre durchaus möglich, einen manipulierten Bootprozess, der nicht von außen, also durch den Librem Key verifiziert wird, als nicht manipuliert erscheinen zu lassen. Das Token verhindert dies im Zusammenspiel mit dem TPM-Chip mit integrierter Heads-Firmware zuverlässig.

Schlüsseldepot

Mit dem Librem Key erhalten Privatpersonen sowie IT-Abteilungen eine integrierte Out-of-the-Box-Lösung für Festplatten- und E-Mail-Verschlüsselung, Authentifizierung und einen manipulationssicheren Boot-Vorganmg, die einfach zu bedienen ist. Zusätzlich zu den beschriebenen Sicherheitsfunktionen bietet der Librem Key auch die Standard-Sicherheitsfunktionen, die in generischen Sicherheitstoken verfügbar sind, wie etwa das Speichern von GPG-Schlüsseln zum Verschlüsseln, Signieren oder für den SSH-Zugang.

Weitere Funktionalität geplant

Im Lauf der Zeit will Purism die Sicherheitsmaßnahmen auf dem Librem Key noch weiter ausbauen. So soll das Token Manipulationen bereits während des Versands zum Kunden erkennen. Damit sollen Vorfälle wie die Manipulation von Routern der Firma Cisco durch die NSA nicht mehr unentdeckt bleiben. Zudem sollen verschlüsselte Installationen mit dem Librem Key aufgeschlossen werden können, was dem Nutzer die Eingabe des Passworts erspart. Nutzer sollen außerdem künftig automatisch am System angemeldet werden und der Bildschirm beim Abziehen des Tokens gesperrt werden können. Der Librem Key ist ab sofort im Shop von Purism einzeln oder in Kombination mit einem Librem 13 oder 15 für 59 US-Dollar zu bestellen. Er arbeitet mit den aktuell ausgelieferten Librem-Notebooks, aber auch mit älteren Geräten, die ein TPM-Modul besitzen. Hier kann Heads über ein BIOS-Update nachgerüstet werden.

Librem 5 mit eigenem Smartcard-Reader

Der aktuelle Librem Key ist ein USB-A-Gerät und würde auch mit dem USB-C-Anschluss des Librem 5 per Adapter funktionieren. Das Librem 5 wird jedoch auch einen eigenen OpenPGP-Smartcard-Reader beinhalten, der in der Lage sein wird, einige der Funktionen des Librem-Keys, wie etwa das Speichern privater Schlüssel, nativ auszuführen.