Heads – Sicherheit beginnt beim ersten Befehl

In der IT-Sicherheit entscheidet sich vieles in den ersten Millisekunden nach dem Einschalten eines Systems. Wer den Boot-Prozess kontrolliert, kontrolliert letztlich die gesamte Plattform. Genau hier setzt Heads an: eine individuell angepasste Open-Source-Firmware und Betriebssystemkonfiguration für Laptops und Server, die den Vertrauensanker konsequent in den schreibgeschützten Bereich des SPI-Flashs verlagert. Damit wird verhindert, dass Angreifer den Boot-Code nachträglich manipulieren können.

Heads ist nicht einfach eine weitere Linux-Distribution, sondern eine Kombination aus spezifischen Hardware-Plattformen mit Flash-Sicherheitsfunktionen, einer maßgeschneiderten Coreboot-Firmware und einem im ROM integrierten Linux-Bootloader. Auf unterstützten Plattformen nutzen wir zusätzlich Intel Boot Guard, um Angriffe auf die Hardwareebene bereits im Ansatz zu blockieren. Die Kontrolle über den ersten Befehl, den die CPU ausführt, erlaubt es uns, jeden Schritt des Bootvorgangs im Trusted Platform Module (TPM) zu messen und kryptographisch abzusichern. So lässt sich zweifelsfrei nachweisen – lokal oder remote –, dass ein System unverändert und vertrauenswürdig ist.

Auch die unvermeidbaren binären Blobs moderner Intel-CPUs bleiben nicht unberücksichtigt. Heads integriert sie in die Messkette, sodass sie zwar nicht frei, aber unveränderlich und überprüfbar sind. Sobald das System nachweislich in einem funktionierenden Zustand ist, dient das TPM als sicherer Schlüsselspeicher, um Laufwerke zu entschlüsseln. Darüber hinaus werden Hypervisor-, Kernel- und initrd-Images mit Schlüsseln signiert, die ausschließlich unter der Kontrolle des Nutzers stehen. Damit wird sichergestellt, dass nur autorisierte Software ausgeführt wird und Supply-Chain-Angriffe keine Chance haben.

Heads adressiert gezielt die Angriffsvektoren, die in klassischen Installationen oft vernachlässigt werden: Manipulation des Boot-Codes, Angriffe auf Firmware und Hardware-Schnittstellen sowie Missbrauch physischer Zugriffe. Natürlich kann keine Lösung alle Risiken ausschließen, doch Heads erhöht die Eintrittshürde für Angreifer erheblich und macht Angriffe teurer und komplexer, als es für die meisten Akteure praktikabel ist.

Besonders stark wird Heads in Kombination mit QubesOS. Während QubesOS durch Isolation und Virtualisierung kompromisslose softwareseitige Sicherheit bietet, sorgt Heads dafür, dass diese Umgebung auf einer nachweislich unveränderten Hardwareplattform startet. Zusammen entsteht eine Sicherheitsarchitektur, die sowohl physische als auch digitale Angriffe abwehrt und neue Maßstäbe setzt.

Weitere Informationen zu Heads und seinem Bedrohungsmodell finden sich hier:

• Heads Threat Model

• Vortrag auf dem 33C3

Heads ist unser Beitrag zu einer Zukunft, in der Vertrauen nicht erst beim Betriebssystem beginnt, sondern bereits beim allerersten Befehl der CPU.