Software::Distributionen

Qubes OS legt neue Zertifizierung für Laptops auf

Die auf Sicherheit ausgelegte Distribution Qubes OS will eine in mehrere Ebenen unterteilte Zertifizierung auflegen um Laptops zu kennzeichnen, die nicht nur kompatibel zu Qubes sind, sondern auch vertrauenswürdig und sicher.

Joanna Rutkowska Anlegen von VMs in Qubes OS 3.1

Die seit 2010 entwickelte Distribution Qubes OS hat ein eigenes Sicherheitskonzept entwickelt und nennt es »Sicherheit durch Isolation«. Dabei wird ein minimales Gastsystem ohne Netzzugang, in dem die Desktopumgebung läuft, durch virtuelle Maschinen erweitert, die auf dem Hypervisor Xen basieren. In den virtuellen Maschinen (VMS) werden Applikationen voneinander getrennt, wobei verschiedene Sicherheitslevel zur Anwendung kommen. Diese werden in den Fensterleisten der Applikationen durch verschiedene Farben markiert.

Ein Problem für Anwender von Qubes OS ist, die passende Hardware für das Betriebssystem zu finden. Neben einer schnellen und aktuellen CPU, die die Virtualisierungstechniken von Intel und AMD unterstützt, sollte das BIOS zur vollen Ausschöpfung der Möglichkeiten von Qubes Trusted Platform Module (TPM) unterstützen. Zudem sollte ausreichend Hauptspeicher für mehrere VMs vorhanden sein. Der Grafikchip sollte bei Verwendung von Intel-Hardware möglichst auch von Intel stammen.

Um den Anwendern hier hilfreich zur Hand zu gehen hat Qubes ein Zertifizierungsprogramm aufgelegt, um Laptops auszuzeichnen, die für Qubes OS besonders geeignet sind. Der einzige Laptop, der diese Auszeichnung erhielt war Ende 2015 der Open-Source-Laptop Librem 13. Hersteller Purism hat eigene Mainboards entworfen und ist auf Wunsch mit Killswitches für Microfon, Kamera und WLAN ausgestattet.

Da aber das Librem 13v1 als einzig zertifizierter Laptop nicht mehr produziert wird und den Entwicklern von Qubes derzeit kein weiteres Gerät bekannt ist, dass den Anforderungen genügt, will Qubes jetzt ein dreistufiges Zertifizierungsprogramm auflegen. Dem voraus gingen Gespräche mit einem möglichen Partner zur Produktion eines »reasonable secure« Laptops. Das ist Qubes Definition für einen annehmbar sicheren Laptop, geleitet von der Einsicht, dass es absolute Sicherheit nicht geben kann.

Auf der ersten Ebene, die als Level 0 bezeichnet wird, sieht das neue Modell einen Laptop vor, dessen Hardware kompatibel zu Qubes ist. Das sagt nichts über seine Sicherheit oder Vertrauenswürdigkeit aus. Dabei sind Vorgaben zur verwendeten GPU, WLAN und Bluetooth einzuhalten und die zertifizierte Version muss für mindestens ein Jahr unverändert angeboten werden. Auf Level 1 muss das Gerät zusätzlich auch die aktualisierten Anforderungen von Qubes 4.0 erfüllen.

Level 2 geht noch einen Schritt weiter und fordert eine »zustandslose Maschine«, wie sie die Projektgründerin Joanna Rutkowska in einem Papier (PDF) beschreibt. Zustandslos meint hier, dass das Gerät keine permanent gespeicherten Elemente enthält. Dies zielt beispielsweise auf bei Librem-Laptops mittlerweile neutralisierte Intel Management Engine (ME), aber auch weitere mit Firmware bestückte Chips. Jegliche permanente Speicherung soll auf einem vertrauenswürdigen USB-Stick oder einer ebensolchen SD-Karte gespeichert sein.

In der Ankündigung wird darauf hingewiesen, dass die auf der Kompatibilitätsliste des Projekts stehenden Geräte keinem Level des neuen Programms entsprechen. Diese Liste beruht mehr auf Erfahrungen von Anwendern und ist nicht von Qubes oder deren Labor getestet.