| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| nitrokey:nitropadx230 [23.08.2020 12:40. ] – django | nitrokey:nitropadx230 [06.10.2020 17:27. ] (aktuell) – [NitroPad X230] django |
|---|
| Ein besonderes Augenmerk beim **NitroPad X230** wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]**. Somit muss man nicht darauf vertrauen dass der Gerätehersteller und Author des originalen BIOS keine Sicherheitslücken oder Backdoors eingeschleust hat. Bei Bedarf kann man also hier den Quellcode kontrollieren und bei Bedarf sogar selbst kompilieren. Darüber hinaus wurde auch die sicherheitstechnisch bedenkliche **IME**((**I**ntel **M**anagement **E**ngine => [[https://linuxnews.de/2017/11/minix-in-der-intel-management-engine/|MINIX in der Intel Management Engine]])) entfernt. | Ein besonderes Augenmerk beim **NitroPad X230** wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]**. Somit muss man nicht darauf vertrauen dass der Gerätehersteller und Author des originalen BIOS keine Sicherheitslücken oder Backdoors eingeschleust hat. Bei Bedarf kann man also hier den Quellcode kontrollieren und bei Bedarf sogar selbst kompilieren. Darüber hinaus wurde auch die sicherheitstechnisch bedenkliche **IME**((**I**ntel **M**anagement **E**ngine => [[https://linuxnews.de/2017/11/minix-in-der-intel-management-engine/|MINIX in der Intel Management Engine]])) entfernt. |
| |
| <WRAP center round tip 80%> | |
| Das Entfernen der IME hat natürlich auch zur Folge, dass z.B. das Schlafenlegen des Laptops nicht mehr funktionieren kann, was aber aus sicherheitstechnischen Überlegungen durchaus vertretbar ist und somit auch voölllig akzeptabel ist! | |
| </WRAP> | |
| Gestartet wird der Laptop per **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]** mit Unterstützung der Sicherheits-Firmware **[[https://github.com/osresearch/heads|Heads]]**, die darauf abzielt die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Heads ist quasi ein kleines abgekapseltes LINUX-OS, dessen Hauptaufgabe es ist, das sichere und vertrauenswürdige Booten des Laptops sicherzustellen. Da alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können, ist der Nutzer so in der Lage Rootkits oder eine sog. **[[https://en.wikipedia.org/wiki/Evil_maid_attack|Evil-Maid-Attacke]]** zu erkennen. | Gestartet wird der Laptop per **[[https://de.wikipedia.org/wiki/Coreboot|Coreboot]]** mit Unterstützung der Sicherheits-Firmware **[[https://github.com/osresearch/heads|Heads]]**, die darauf abzielt die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Heads ist quasi ein kleines abgekapseltes LINUX-OS, dessen Hauptaufgabe es ist, das sichere und vertrauenswürdige Booten des Laptops sicherzustellen. Da alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können, ist der Nutzer so in der Lage Rootkits oder eine sog. **[[https://en.wikipedia.org/wiki/Evil_maid_attack|Evil-Maid-Attacke]]** zu erkennen. |
| Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde! | Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde! |
| {{ :nitrokey:nitropad_013.png?nolink&425 |Bild: Linux Mint - Auswahl der Nitrokey App über die Statusleiste}} | {{ :nitrokey:nitropad_013.png?nolink&425 |Bild: Linux Mint - Auswahl der Nitrokey App über die Statusleiste}} |
| |
| Als erstes ändern wor über den betreffenden Menüpunkt die Admin-PIN. | Als erstes ändern wir über den betreffenden Menüpunkt die Admin-PIN. |
| |
| {{ :nitrokey:nitropad_014.png?nolink&350 |Bild: Linux Mint - Nitrokey App Änderungsdialog Admin-PIN}} | {{ :nitrokey:nitropad_014.png?nolink&350 |Bild: Linux Mint - Nitrokey App Änderungsdialog Admin-PIN}} |
django