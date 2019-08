Die Firmen 9elements und der schwedische VPN-Dienstleister Mullvad ersetzen das proprietäre UEFI-BIOS des Supermicro-Serverboads X11SSH-TF durch Coreboot. Damit ist das X11SSH-TF eines der modernsten lieferbaren Mainboards, das mit quelloffener Firmware nutzbar ist.

Das X11SSH-TF hat eine LGA1151-Fassung für einen Intel Xeon E3-1200V6 (Kaby Lake-S) oder Xeon E3-1200V5 (Skylake-S), lässt sich mit bis zu 64 GByte DDR4-ECC-RAM bestücken und nimmt zwei PCIe-Karten auf. Außerdem ist der 10-GBit/s-Ethernet-Controller Intel X550 mit zwei 10GBaseT-Ports an Board, was dessen Preis von über 360 Euro erklärt. Für Fernwartung steht der Aspeed-BMC AST2400 bereit, der auch mit Coreboot funktioniert, allerdings mit seiner eigenen IPMI-Firmware.

Coreboot ist zwar quelloffen, bindet beim X11SSH-TF allerdings zwei Intel-Binärpakete (BLOBs) ein: Das Firmware Support Package FSP 2.0 und die oft kritisierte ME-Firmware.

Als Payload kann Coreboot beim X11SSH-TF LinuxBoot oder SeaBIOS verwenden, letzteres zum Start BIOS-kompatibler Betriebssysteme. Die offene UEFI-Implementierung Tianocore bootet bisher nicht als Coreboot-Payload, weil der Grafikkern im AST2400 nicht UEFI-kompatibel startet. Bisher nicht nutzbar sind auch Intels Software Guard Extensions (SGX). Das optionale Trusted Platform Module Supermicro AOM-TPM-9665V-C soll wiederum funktionieren (TPM 2.0, Infineon).

Selbst flashen

9elements will die Arbeit an Coreboot fürs X11SSH-TF auf der Open Source Firmware Conference OSFC 2019 in Kalifornien vorstellen. Offene Firmware ist Teil der Initiative System Transparency, die Sicherheit und Vertrauenswürdigkeit stärken soll.

Wer Coreboot auf dem Supermicro X11SSH-TF (ab 360,48 €) nutzen will, muss es bisher selbst in den SPI-Flash-Chip des Boards flashen. Hinweise dazu liefert das Coreboot-Repository Gerrit. Eine fertig auf Coreboot statt UEFI-BIOS umgestellte Board-Version ist für die Zukunft geplant, aber der Anbieter ist noch unklar.

Der 2017 eingeführte Xeon E3-1200V6 ist noch im Einzelhandel erhältlich, billigste Version ist der Vierkerner Intel Xeon E3-1220V6 (ab 205 €) ohne Hyper-Threading für rund 230 Euro. Das Board kann aber auch mit einem Celeron G, Pentium G oder Core i3 aus den Baureihen Kaby Lake und Skylake umgehen; billigste Option ist der Intel Celeron G3900 (ab 46,07 €) für knapp 50 Euro. Als Hauptspeicher sind ungepufferte (ECC-)UDIMMs mit jeweils bis zu 16 GByte vorgesehen.

Das ähnliche Supermicro X11SSL-F nur mit Gigabit Ethernet hatte c't in der Ausgabe c't 5/2016 auf Seite 100 getestet. (ciw)