~ # fwupdmgr security
Host Security ID: HSI:0! (v1.9.10)
HSI-1
✔ BIOS Firmware-Aktualisierungen:Enabled
✔ csme überschreiben: Locked
✔ csme v0:12.0.93.2331: Valid
✔ Fehlerdiagnose der Plattform: Disabled
✔ SPI schreiben: Disabled
✔ Unterstützte CPU: Invalid
✔ UEFI-Bootdienst-Variablen: Locked
✘ csme Herstellungsmodus: Unlocked
✘ SPI sperren: Disabled
✘ SPI BIOS-Region: Unlocked
✘ TPM v2.0: Not found
HSI-2
✔ Intel BootGuard: Enabled
✔ Intel GDS-Milderung: Enabled
✔ IOMMU: Enabled
✔ Fehlerdiagnose der Plattform: Locked
✘ Intel BootGuard ACM-geschützt: Invalid
✘ Einmalig programmierbare Intel BootGuard-Sicherung:Invalid
✘ Verifizierter Start mit Intel BootGuard:Invalid
HSI-3
✘ Intel BootGuard-Fehlerrichtlinie:Invalid
✘ Intel CET aktiviert: Not supported
✘ DMA-Schutz vor dem Booten: Disabled
✘ Im Leerlauf anhalten: Disabled
✘ Im RAM anhalten: Enabled
HSI-4
✔ Intel SMAP: Enabled
✘ Verschlüsselter RAM: Not supported
Runtime Suffix -!
✔ fwupd-Plugins: Untainted
✔ Linux-Kernel-Sperrung: Enabled
✔ Linux-Kernel: Untainted
✘ Linux-Auslagerung: Unencrypted
✘ Sicherer UEFI-Boot: Disabled
This system has a low HSI security level.
» https://fwupd.github.io/hsi.html#low-security-level
This system has HSI runtime issues.
» https://fwupd.github.io/hsi.html#hsi-runtime-suffix
Host Security Events
2024-07-06 06:24:41: ✔ Kernel lockdown enabled
2024-07-06 06:24:41: ✔ IOMMU device protection enabled
2024-06-07 10:12:54: ✔ csme v0:12.0.81.1753 changed: Invalid → Valid
2023-06-14 09:18:48: ✔ Unterstützte CPU changed: Valid → Invalid
2023-04-20 05:03:10: ✔ Kernel is no longer tainted
2023-04-20 05:03:10: ✘ CSME v0:12.0.81.1753 changed: Valid → Invalid
2023-03-01 08:55:17: ✘ Kernel is tainted
2022-06-29 10:17:13: ✔ Kernel is no longer tainted
Ist das ein „übliches“ Ergebnis?
Muss ich mir „Sorgen machen“?
Gibt es „üblicherweise“ wesentlich „bessere“ Ergebnisse?
Kann ich hier konkret Maßnahmen ergreifen, um das Ergebnis zu verbessern?
Wenn das Ergebnis „besser“ wäre (hin zu optimal), was würde mir das als privater Nutzer eines Desktop-PC im Alltag bringen? (Siehe auch die oberen Punkte.)
Nun habe ich auch schon mehrmals das Stichwort Secured-Core-PC gelesen…
Ist das eine Sache der HW oder SW (oder beides)?
Ist das eventuell eine Sache von Microsoft Windows? (Ich benutze Linux — siehe auch den Punkt oben.)
Was bringt mir so ein System als privater Desktop Nutzer im Alltag? — Ja, die Entscheidung muss am Ende ich treffen: aber ich habe bisher gar keine Ahnung, was mir so ein System technisch als wesentliche Vorteile bietet, so dass ich auch keinen Bezug zu Wahrscheinlichkeit eines persönlichen Bedrohungsszenarios sowie verfügbarem Finanzbudget (Anschaffung) sowie Zeitbudget (eventuelle Einrichtung und Anpassung) ziehen kann…
Genau die selben ganzen Fragen aus diesem Thema stelle ich mir auch und freue mich ganz genauso über Antworten auf diese.
Betrifft ein Secured-Core-PC ähnliche Themen wie die Secure Chips eines Smartphones? Dass auf einem abgetrennten Bereich eines Chips sensible Daten wie Login/ Fingerabdruck/ Verifizierung welches Betriebssystem gestartet werden soll u.Ä. verarbeitet werden um das Betriebssystem nach außen hin abzusichern?
Wenn auf der Seite LVFS: HSI Devices nun bestimmte Geräte mit relativ hohem HSI drin stehen - die meisten Seiten zum Verkauf von Geräten (neu oder refurbished) sind nicht auf Sicherheit fokussiert, oft kann man in Suchfunktionen gar nicht erst Sicherheitsfunktionen auswählen. Welche Seiten sind da zum anschließenden Vergleich wertvoll und vertrauenswürdig?
Hoffentlich kommt noch etwas guter Input oder zumindest gute Links…
Ich habe zwar von diesen Begriffen gehört/gelesen, aber bisher kaum Ahnung davon. Und ich selbst habe noch kaum aussagekräftigen Erläuterungen und Kommentare gesehen. Außer, dass man halt immer wieder mal darüber stolpert…
Bei Graphene OS ist ja ein wesentlicher Faktor warum nur gewisse Geräte eines unbeliebten Herstellers zulässig sind, dass sie u.a. einen Secure Chip drin haben der nahezu allen anderen Geräten fehlt, mal abgesehen von Apple und Samsung (Samsung scheint nicht quelloffen genug zu sein).
Bei PCs und Laptops scheint auf der einen Seite die Hardware-Relevanz weniger ein Thema zu sein. Andererseits zeigen HSI-Level dass ja doch einiges dran sein muss.
Und warum sollen die Hardware-Anforderungen des Sicherheits-orientierten Betriebssystems Qubes Humbug sein - mal abgesehen von Geräten mit HSI:0 die zulässig wären?
Ich finde es toll, dass Ihr Euch damit befasst und finde das Thema auch interessant, aber ist das wirklich Euer Bedrohungsmodell? Nur mal irgendwas random rausgesucht:
„Suspend to Ram (S3) keeps the raw contents of the DRAM refreshed when the system is asleep. This means that the memory modules can be physically removed and the contents recovered, or a cold boot attack can be performed with a USB device.“
Also mein Bedrohungsmodell ist das nicht. Und Euers vermutlich auch nicht.
Mein Laptop hat TPM, aber ich nutze es nicht - ich gebe mein PW bei jedem boot per Hand ein und habe auch kein Problem damit - das Kriterium ist also ohne Aussagekraft.
Ich würde gern secure boot nutzen, aber dann mit eigenem key und nicht mit dem von Microsoft. Praktisch habe ich dafür aber keine Zeit, also ist auch das irrelevant.
Und so weiter.
Mein extremstes Bedrohungsmodell ist: Microsoft gibt die secure boot keys an Behörden weiter und deshalb darf ich meinen Laptop bei Grenzkontrollen nicht aus den Augen lassen. Und die Firmware meines Rechners (IME, PSA) kann nach Hause telefonieren, wenn das jemand bei Intel oder AMD will. Dagegen kann ich gar nichts machen, solange ich das Netz nutze.
Gegen beides hilft HSI-whatever überhaupt nicht. Geht mal die HSI-Anforderungen durch und fragt Euch, welche irgendetwas mit Eurem Bedrohungsmodell zu tun hat. Falls Ihr eine findet, könnt Ihr Euch Hardware suchen, die das berücksichtigt. Den Rest könnt Ihr getrost ignorieren.
Vermutlich habe die meisten Nutzer wenig bis keine Ahnung diesbezüglich. In diesem Sinne: Ich sehe ein Ranking und möchte ein möglichst hohes Level zu erreichen, um vor möglichst vielen Bedrohungen geschützt zu sein.
Im Sinne von: ich ernähre mich gesund und mache Sport, damit das Immunsystem stark ist, ohne, dass ich vielleicht weiß gegen was ich mich konkret schützen muss, oder wegen Anfälligkeiten schützen sollte.
Am sichersten gegen alle möglichen Unfälle und Angriffe geschützt bist Du in einem gepanzerten Fahrzeug einer gewissen Automarke. Du fährst aber nur einmal die Woche zum Supermarkt. Kaufst Du Dir jetzt das gepanzerte Fahrzeug oder doch lieber einen günstigen Kleinwagen?
Du kannst das so machen, wenn Du willst. Das könnte dann teurer werden und macht jedenfalls viel Arbeit. Ich wollte nur die beiden Vorposter beruhigen, dass sie sich über ein HSI-Level ihrer Geräte keine Sorgen machen müssen.