Das ist leider ein Irrglaube vieler. Die neuen Geräte sind von Clevo und die Arbeit kam primär von NovaCustom aus NL und Dasharo.
Siehe: NovaCustoms Qubes OS zertifizierter Laptop mit Dasharo-Firmware
1 „Gefällt mir“
Mit dem Glauben habe ich es nicht so, aber ja, vielen Dank für die Information. Ich werde dann die Quelle anschreiben und fragen ob ein Notebook mit Killswitches geplant ist.
1 „Gefällt mir“
Vielen Dank für die Infos. Habe zwischenzeitlich Fortschritte gemacht und werde aufgrund Anforderungen an Systemleistung eine gemischte Strategie fahren (müssen).
Zunächst wird der Router zum Zugang zum internen Netz durch solch ein entsprechendes Gerät mit offener Firmware ersetzt. Die Arbeitsplätze werden dann mit Debian ISOs und Updates über den neuen Router aus Originalquellen aber ohne Qubes neu eingerichtet und müssten dann sauber sein.
Der sicherheitstechnisch relevante Bereich sind die SSH- und GPG-Keys aus den Softwareprojekten, deren Aktualisierung sowie das Büro. Dazu wird ein Notebook wie beschrieben verwendet oder ggfs. fertig gekauft. Das läuft dann mit Qubes OS und geht nur ans Netz, wenn es nötig ist.
Die Projekte sollten damit hoffentlich ausreichend gut abgesichert sein.
@media-floppy Diesen Umgang mit dem Problem finde ich sehr cool. Die wenigsten würden wohl nochmal ein Gerät dort kaufen. Die oft überzogen negativen Kommentare zu solchen Projekten ignorieren häufig, das nahezu alle sog. Premium-Hersteller Geräte auf den Markt gebracht haben die schlicht nicht reif dazu waren. Da gab es dann milde Kommentare der etablierten Journalisten und mit dem nächsten Gerät war das Problem dann weg -wer hätte das nach dem Test am Kunden gedacht 
1 „Gefällt mir“
Vielen Dank für die ausführliche Beschreibung zum Qubes OS!
Inzwischen ist ja bald ein Jahr vergangen seit diesem Beitrag. Würdest du den NitroPC (und Qubes OS) weiterhin empfehlen? Wie sehr macht sich der Lüfter unter Qubes OS bemerkbar?
Hintergrund der Frage: hier steht demnächst der Kauf eines neuen PC an, und wahrscheinlich wird dann auch Qubes OS darauf laufen. Ich habe mir Qubes OS mal zum Testen an meinem alten Computer auf einer externen SSD installiert und bin beeindruckt davon, wie gut sich damit strukturiert arbeiten lässt. Das kommt meiner Arbeitsweise sehr entgegen.
1 „Gefällt mir“
Also Qubes wird definitiv weiter empfohlen von mir, on-the-top mit weiten Abstand zu anderen Betriebssystemen. Der NitroPC-1 auch.
Wegen Lüfter: das hängt sehr stark davon ab, was man mit dem Computer macht. Bei einer Office-Nutzung (Text, Tabelle, Daten, Mail, Messenger u.ä.) ist das problemlos. Ich habe eine Zeitlang mit der Städtesimulation micropolis auf dem Computer gespielt, dann dreht der Lüfter hier und da hoch, ähnliches gilt bei Video gucken. Spiele und Videos sind aber regelmässig die Anwendungen, die CPU und Grafik beanspruchen. Dazu kommen spezielle Websites, siehe weiter unten.
Da ich sehr empfindlich auf Computer-Geräusche reagiere, werden die Computer bei mir eh unterm Tisch verbaut, was Lüfter-Geräusche reduziert.
Das betrieblich notwendige Windows-Notebook (Baujahr 2019, Thinkpad) steht 4 Meter entfernt auf einem Tisch und ist häufig lauter vom Lüfter
Es lohnt sich grundsätzlich, sich Prozess-Manager anzuschauen, warum ein Computer die Lüftung hochdreht. Eben war es am Windows-Notebook ein geöffnetes JabRef mit einer „großen“ Bibliotheksdatei, wurde aber nicht mit gearbeitet, war einfach nur geöffnet; vermutlich wurde da was indiziert. Beim Thema Lüfter u.ä. lernt man schnell, Anwendungen auch wieder zu schließen und nicht einfach laufen zu lassen. Als abschreckendes Beispiel möge man sich https://chip.de/ anschauen. Ich hatte diese Website vorhin auf einem Mobile geöffnet, wurde dann unterbrochen und 15 Minuten später war ich wieder am Mobile und es war richtig warm, weil chip.de permanent Videos öffnet die dann laufen und entsprechend CPU/Grafik fressen. Am Qubes kann ich das nicht reproduzieren, weil ich chip.de wegen diesen ekeligen Verhalten in diesem Intranet geblockt habe. Wegen Chip.de kaufe ich mir jedenfalls keinen leistungsstärkeren Computer …
Der NitroPC ist umfänglich ordentlich eingerichtet. Man kann aber auch Abstriche machen und das Gesamtsystem schwächen, z.B. BIOS Änderungen lassen. Und damit kann man leicht selbst das Qubes installieren auf brauchbaren (Neu-)Computern, die man das ja selbst von der Hardware zusammenstellen kann. Also die Qubes-Installation ist echt leicht, gibt eine sehr gute Anleitung.
2 „Gefällt mir“
Vielen Dank für die ausführliche Antwort und die weiteren Informationen! Das ist sehr nützlich für die Entscheidungsfindung 
Ich würde dir noch empfehlen dich für Geräte mit Heads Firmware zu entscheiden.
Heads implementiert zumindest ein halbwegs vernüftiges, mit Qubes-kompatibles, SecureBoot (Qubes unterstützt leider kein Secureboot und soweit ich weiß bis jetzt auch kein BootGuard).
Hier gab es eine interessante Diskussion um sichere Qubes-Hardware.
Ansonsten würde ich dir noch Kicksecure für die VMs empfehlen.
Denn die Sicherheit innerhalb der virtuellen Maschinen spielt eine große Rolle!
2 „Gefällt mir“
Man darf aber nicht vergessen zu erwähnen, dass Heads nur legacy boot, also kein UEFI, unterstützt und umsteigen auf Windows 11 fast unmöglich für normale Nutzer ist. Außer natürlich man weiß wie man die Chips flasht.
Wenn man Windows 11 nutzen möchte kauft man sich ein Secure-Core Gerät.
Der einzige Grund für Geräte mit Heads Firmware ist, wenn man QubesOS nutzen möchte.
1 „Gefällt mir“
Ist bei denen schon was auditiert oder getestet worden? Nachdem was ich über die SecureCore-PCs und den S-Mode von Windows gelesen habe, wird einfach nur alles blockiert was nicht von Microsoft signiert ist.
Secured-core und S-Mode sind völlig unabhängig voneinander. S-Mode macht die Einschränkungen und war ein gut gemeinter Ansatz für ein deutlich sichereres OS, was aber an der geringen Beliebtheit von UWP und MS Store gescheitert ist.
Ist zwar schon ziemlich Off-Topic, aber was solls:
Der Schutz der Firmware-Integrität und das Blockieren von unverified code kann man so zusammenfassen, dass alles blockiert wird was nicht signiert ist, das ist richtig.
Im Kern sind es aber vorallem die Kernel DMA protection, Virtualization-based security & Hypervisor-based code integrity und Dynamic Root of Trust for Measurement die Secure-Core Geräte ausmachen.
Wer sich dafür interessiert kann sich noch folgende Dokumente durchlesen:
https://www.howtogeek.com/812013/what-is-a-secured-core-pc/
https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-highly-secure-11
https://techcommunity.microsoft.com/t5/itops-talk-blog/introduction-to-secured-core-computing/ba-p/2701672
https://www.microsoft.com/content/dam/microsoft/final/en-us/microsoft-brand/documents/MSFT-Windows-11-SCPC.pdf
Der S-Mode bewirkt, dass dur nur Programme aus dem Microsoft Store (ähnlich wie der Play-Store auf Android oder App Store auf iOS) beziehen kannst. Das erhöht zwar die Sicherheit, aber schwächt den Datenschutz. Muss man selbst entscheiden.
Heads funktioniert auch mit anderen OS. Auf meinem Librem 13 läuft Heads mit pureos (einem debian Derivat). Qubes hätte ich auch benutzen wollen, nur lief dann ständig der Lüfter, obwohl ich keine CPU hungrigen Programme hab laufen lassen.
1 „Gefällt mir“
Nur MS Store-Apps wäre ja noch schön. Im S-Mode gehen aber nur Apps die zusätzlich noch in einem Appcontainer laufen, also in der Windows-eigenen Sandbox mit Berechtigungssystem. Das bietet richtig gute Sicherheit, da dann alle Apps in einer eigenen Sandbox laufen, alle ausführbaren Dateien signiert sind und zusätzlich eine strikte WDAC-Police die Integrität gestützt durch VBS garantiert. Man hat dann ein Security-Model ähnlich zu Android/iOS. Das ist dann viel sicherer als herkömmliche Desktop-Betriebssysteme, hat sich aber leider nicht bei Entwicklern durchgesetzt.
Das stimmt zwar, aber man sollte sich trotzdem kein Gerät mit Heads Firmware kaufen, wenn man was anderes als QubesOS nutzen möchte.
Der Grund für Geräte mit Heads Firmware ist, dass QubesOS kein UEFI Secure Boot unterstützt. Heads implememtiert einen ähnlichen Mechanismus der mit QubesOS kompatibel ist. Trotzdem fehlen diesen Geräten immernoch so Sachen wie BootGuard und die meisten kommen nur auf HSI 0 (wie z.B. das Librem 14).
Zum Vergleich: moderne Dell und Lenovo Notebooks kommen meistens auf HSI 3 (HSI-4 wenn man Enterprise CPUs wie vPro oder AMD Pro nimmt). Diese sollte man auch für Linux Desktop Syteme nehmen.
Eine recht gute Zusammenfassung der Hard- und Firmware Sicherheit diverser Linux-focused-Manufacturers findet man hier.
Okay, da waren meine Informationen schon ziemlich veraltet oder unvollständig. Kann man das ganze mittlerweile ohne MS Account verwenden bzw. funktioniert noch der Workaround mit einer ungültigen E-Mail Adresse?
2 „Gefällt mir“
Meinst du den MS Store? Der geht ohne Account für die meisten Apps. Meine letzte Installation von Win 11 (kein S-Mode) ebenso.
Das war ja auch meine initiale Idee, aber wie gesagt fand ich Qubes-OS auf einem Librem 13 zu Ressourcenhungrig. Heads war damals für mich nicht der einzige Grund mir ein Librem Notebook zu kaufen, sondern die Killswitches und die deaktivierte Intel ME und das gibt es nicht bei Dell und Lenovo. Dabei sagt mir die Hardware von Dell und Lenovo schon zu. Ich werde aber deine Anmerkungen zu HSI beim nächsten Hardwarekauf auf dem Schirm haben.
Killswitches sind zwar ein nettes Feature, aber relativ sinnlos meines Erachtens.
Wenn ein Angreifer die Möglichkeit hat, unbemerkt auf Kamera und Mikrophon zuzugreifen, werden einem die Killswitches nicht helfen. In dem Moment wo man Kamera/Mikrophon/WLAN aktiviert, wird der Angreifer darauf zugreifen können (Vorrausgesetzt man hat ein deartiges Threat-Model).
Ja, ich meinte den MS Store, danke.