Menü

Coreboot-Entwickler empfehlen TPM für sicheres Booten

Die Diskussion um Intels "Boot Guard"-Technik nehmen Coreboot-Entwickler zum Anlass, um auf die Vorteile von Trusted Platform Modules hinzuweisen.

vorlesen Drucken Kommentare lesen 72 Beiträge
TPM 1.2 von Infineon

TPM 1.2 von Infineon

Wenn PC-Hersteller die Funktion "Boot Guard" jüngerer Intel-Chipsätze nutzen, blockiert sie alternative Firmware wie Coreboot. Die Firmware muss vielmehr mit einer digitalen Signatur des PC- oder Firmware-Herstellers versehen sein, deren Hash-Wert der PC-Hersteller unveränderlich über Intels Management Engine (ME) in den Chipsatz "einbrennt".

Der Coreboot-Entwickler Patrick Georgi erklärt, dass sich ein ähnlicher Schutz der Firmware vor Manipulation auch durch Einsatz eines Trusted Platform Module (TPM) erreichen ließe. Ein TPM böte den Vorteil, dass der Besitzer des Systems beziehungsweise des Mainboards die Hoheit über sein Eigentum behält – also insbesondere auch alternative Firmware installieren könne. Georgi hebt in seinem Blog-Beitrag auch hervor, dass das TPM dem Nutzer noch weitere Funktionen zur Verfügung stellt. Unter Pro-Versionen von Windows lässt es sich etwa für die BitLocker-Vollverschlüsselung von Festplatten nutzen. Der Hypervisor VMware ESXi prüft per TPM, ob das System in einem vertrauenswürdigen Zustand ist (Measured Boot).

Ein TPM ist allerdings derzeit nicht in allen x86-Systemen vorhanden. Auch Chromebooks besitzen zwar ein TPM und booten via Coreboot, sichern den Startvorgang aber auf andere Weise ab – allerdings abschaltbar, wenn man in den Entwickler-Modus schaltet. Auch alternative Firmware lässt sich dort installieren. Alternative Coreboot-Versionen für Chromebooks mit Intel-Technik enthalten aber auch den signierten und verschlüsselten Code der Intel-ME, ohne den aktuelle Intel-Systeme nicht starten.

Intels Boot Guard sichert die Integrität des UEFI-BIOS und kommt dabei ohne TPM aus. Das ist auch für den Einsatz in Ländern wie Russland oder China – einem wichtigen Wachstumsmarkt – wichtig, wo der Import und die Nutzung von TPMs beschränkt sind. (ciw)