Die Intel Management Engine (ME) ist eine Art separater Computer innerhalb aller modernen Intel Prozessoren (CPU). Die ME fungiert als Master-Controller für deine CPU und hat weitgehenden Zugriff auf deinen Computer (Systemspeicher, Bildschirm, Tastatur, Netzwerk). Intel kontrolliert den Code der ME und es wurden bereits schwere Schwachstellen in der ME gefunden, die lokale und entfernte Angriffe ermöglichen. Daher kann ME als Hintertür betrachtet werden und sollte deswegen deaktiviert werden.
Mehr zu Coreboot: https://www.coreboot.org
Wiki: https://doc.coreboot.org/index.html
Statusliste von Coreboot: https://coreboot.org/status/board-status.html
WAS IST EIN PSP ÜBERHAUPT?
Der AMD Platform Security Processor ist funktional das Äquivalent des Unternehmens zur Intel Management Engine (ME), die wir bereits besprochen haben. AMD bezeichnet es als ein Subsystem, das "für die Erstellung, Überwachung und Wartung der Sicherheitsumgebung verantwortlich ist". Es besteht aus einem ARM-Mikrocontroller-Kern, der in den Haupt-CPU-Die integriert ist und mit dem Hauptsystemspeicher, den E/A- und CPU-Registern verbunden ist.
Kurz gesagt, es handelt sich um einen Coprozessor, der Zugriff auf fast jeden Teil des Computers hat, in dem er sich befindet. Das macht sie zu einem bevorzugten Ziel für Angriffe. Es wurde um 2013 eingeführt und ist außerdem vollständig Closed Source und existiert als unbekannte Blackbox in modernen AMD-CPUs, was Sicherheitsbewusste sehr vorsichtig macht. Die PSP arbeitet auf einer niedrigen Ebene, die völlig außerhalb des Zuständigkeitsbereichs der Haupt-CPU und des Betriebssystems liegt, und wird wie der IME oft als potenzielle Hintertür in einen Computer angesehen.
CPUs werden seit Jahren mit Sicherheitsfunktionen ausgestattet, darunter AMDs Secure Memory Encryption und Intels System Guard Extensions. Diese Subsysteme ermöglichen es, Speicherabschnitte abzupartitionieren und für spezielle Verwendungszwecke zu sichern. Allerdings haben sich auch diese Funktionen als anfällig für Schwachstellen erwiesen.
Das Problem bei generischen PCs ist jedoch, dass sie mit gesperrter und undokumentierter Firmware (Intel ME oder AMD PSP) geliefert werden. Diese Firmware hat privilegierten Zugriff auf die gesamte Hardware. Mit anderen Worten, es gibt eine systemweite Hintertür in fast jedem modernen Computer da draußen.
​
Spezialisierte Laptops wie Purism, StarLabs, NitroKey und System76 werden mit einem Open-Source-Ersatz für diese Firmware ausgeliefert, der die Hintertüren des Herstellers deaktiviert. Sie bieten auch Datenschutz- und Sicherheits-Upgrades wie mechanische Kill-Switches für Kameras, Mikrofone und Wireless; und sie sind mit Linux vorinstalliert.
​
Auf der anderen Seite sind diese Laptops jedoch nur online erhältlich. Einige Anbieter akzeptieren Bitcoin, aber du musst immer noch eine Lieferadresse organisieren, Zollgebühren zahlen und auf die Lieferung warten. Eine weitere Herausforderung sind die Einschränkungen in der Lieferkette. Diese Nischenanbieter waren in den letzten Jahren immer wieder nicht vorrätig, was zu mehrmonatigen Wartezeiten führte.
​
Der größte Nachteil bei spezialisierten Laptops ist jedoch, dass sie genau das sind: etwas Besonderes. Mit anderen Worten, du fällst auf.
​
Je mehr Sicherheits- und Datenschutzmaßnahmen du ergreifst, desto kleiner wird deine Anonymität – online und offline. Ein typisches Beispiel: Spezialisierte Laptops haben im Vergleich zu handelsüblichen Computern eine einzigartigere Online-Signatur. Purism zum Beispiel läuft mit PureOS, einem Betriebssystem, das einzigartiger ist als Windows, MacOS und beliebte Linux-Varianten.
​
Anstatt auf High-Tech-Datenschutz-Tools zu verlassen, bevorzuge ich Low-Tech-Maßnahmen:
-
Sicher, du kannst einen speziellen Laptop mit Kamera- und Mikrofon-Kill-Switches bekommen. Aber ist es nicht effektiver (und vertrauenswürdiger), Kamera und Mikrofon mit Klebeband abzudecken? Oder doch gar selber auszubauen und etwas über die Technik zu erfahren. Am besten wäre es dennoch, den ME oder PSP selbst zu deaktivieren.
-
Sicher, du kannst Qubes OS verwenden, um deine Workloads voneinander zu trennen, aber ist es nicht effektiver (und vertrauenswürdiger), deine Workloads auf separaten Computern auszuführen?
Coreboot Service
Wir bieten Ihnen die Möglichkeit, Coreboot auf Ihrer Hardware zu installieren, nachdem wir die erforderlichen Hardware-Voraussetzungen überprüft haben.
Wenn Sie selbst den Coreboot durchführen möchten, stehen wir Ihnen gerne zur Verfügung, um Ihnen bei diesem Prozess zu helfen. Unser Coreboot-Beratungs- und Hilfe-Service ist eine kostengünstige Alternative, wenn Sie den Vorgang selbst durchführen möchten.