Ein Hallo an alle Foristen hier,

an meine Laptop-Nutzung habe ich keine Spezialanforderungen: Office/ Online Recherchen/ Musik hören/ ab und an Video.
Unterwegs wäre ich damit nur selten.
Langlebigkeit, Akkulaufzeit finde ich wichtig und dass die Kiste leise läuft und nicht den Lüfter hoch und runter fährt. Modularität um Hardware-Upgrade selbst umsetzen zu können.

Da ich kürzlich aus Gründen der Sicherheit und des Datenschutzes auf Graphene OS umgestiegen bin nehme ich von dort die Erfahrung mit, dass die Betriebssysteme die am meisten Richtung Sicherheit fokussiert sind und die zuverlässigsten Updates anbieten die Hardware-Anforderungen stark mitbestimmen (u.a. Secure Chip/ Titan M Chip) und dass man sich dadurch nun mal von wenigen Geräten auf dem Markt abhängig macht.
Und ich nehme die Erfahrung mit, dass wenn man erstmal ein Element bewegt alles andere ringsherum auch ins Rollen gerät.

Technisch ein ganzes Stück weit versiert bin ich. Interesse bringe ich auch mit. Leider bin ich von der Zeit sehr limitiert.

Zum Glück bin ich was online-Laptop-Nutzung angeht inzwischen weg von Windows. Endlich. Statt Windows soll es Stück für Stück Richtung Sicherheit, Datenschutz und Open Source gehen. Auf einem Acer Laptop aus 2. Hand läuft nun Ubuntu für online-Zwecke so halbwegs. Stabil würde ich es nicht nennen, es scheint Firmware-Probleme zu geben so weit ich es überschaue. Das Betriebssystem meldet im entsprechenden Menü auch, dass wegen Hardware-Themen Sicherheitsgefahren bestehen. Kompromisse will ich hier nicht machen auch wenn ich natürlich noch in den Linux-Kinderschuhen stecke und an Erfahrung wachse. Wegen dem Firmware-Thema will ich wieder weg von diesem anscheinend unzuverlässigen Laptop. Ansonsten finde ich Ubuntu fürs erste gut und komme bislang damit zurecht, mittelfristig finde ich bestimmt etwas sicherheits-orientierteres zum Umsatteln.

Aus dem Blog …
https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/
… heißt es dass man ein gehärtetes Betriebssystem eigentlich nur über Open Source Hardware (neben vielen weiteren user-seitigen Maßnahmen inkl. Konfiguration usw. selbstverständlich) hinbekommt. Das finde ich sehr spannend und ich wüsste gerne wie weit man damit heute wirklich kommt.

Ist das nach wie vor so? Denn der Blogeintrag ist schon älter und auf dem Markt hat sich viel getan. Eigentlich.

Meine Recherche ergab, dass es zwar etliche Open Hardware Projekte für Laptops gibt. Aber das allseits empfohlene Framework bringt seine Firmware-Updates zu selten heraus.

Ist das bei den anderen Open Hardware Projekten anders mit der Häufigkeit von Firmware-Updates? Wie oft meint ihr sollte das schon kommen? Wobei man sich ja meist auf Lücken bezieht und die Zeitspanne betrachtet bis man sie schließen kann.

Das erinnert mich an meinen kürzlichen Wechsel des Smartphone-CustomROM: weg vom Anbieter der viel zu selten Updates bringt und hin zu dem der wegen Sicherheitsfunktionen die Hardware-Auswahl eingrenzt.

Da habe ich mich gefragt welche Anforderungen Sicherheitsfunktionen an die Laptop-Hardware stellen und bin bei Qubes OS in der Doku fündig geworden (Qubes OS für Linux-Anfänger kaum geeignet aber mittelfristig doch interessant):
Coreboot
HVM
IOMMU
SLAT
TPM
Diese halte ich für gute Anhaltspunkte, es muss nicht zwingend exakt dies sein.

Es muss nicht zwingend ein Qubes OS zertifiziertes Gerät (NovaCustom/ NitroKey/ StarLabs/ Insurgo) sein, eins das inoffiziell empfohlen wird und auf dem man Qubes OS später installieren könnte (Purism Librem 14) würde mir auch genügen. Refurbished.

Inwieweit wäre ich da überhaupt noch im Bereich von Open Hardware?

Habe ich bei meinen Gedanken dazu etwas ganz wesentliches übersehen?

Was meint ihr?

Schöne Grüße!

Der Artikel ist leider sehr einseitig. Es wird zwar zu Recht die Schlüsselhinterlegung und Telemetrie bei Windows kritisiert, aber die ist leichter loszuwerden als ein Linux praktikabel (mit Preboot-Authentication) zu verschlüsseln. Vor zwei Monaten saß ich neben einem Rechtsanwalt, der sich wunderte dass auf meinem Laptop Bitlocker, ergo Windows läuft. Aber sein Linux-Laptop war unverschlüsselt - bei jedem Start eine hinreichend lange Passphrase eingeben war halt nicht gewünscht.
Auch Backup und Energiesparen sind bei Windows meiner Meinung nach besser gelöst.

Danke für die Hinweise.

Das zeigt doch wieder, dass wenn man nur halbe Sachen macht, sich Lücken ins Haus holt. Diese Erkenntnis ist doch betriebssystem-unabhängig. Mir ist schon klar, dass ich erstmal nichts per se sicherer habe indem ich nur durchs Installations-Menü eines Linux-Betriebssystems gehe. Dabei werde ich vlt. nur etwas unwarscheinlicher und uninteressanter für Angreifer weil die Masse Windows nutzt und oft genug Digitale Sorglosigkeit walten lässt.

Auch wenn Linux mehr fordert zieht es mich nicht zurück zu Windows.
Backup und Energiesparen werde ich auch noch hinbekommen wenn ich mich damit befasse, vermute ich.

Die Hardwaresicherheitssituation ist deutlich schlechter als bei Smartphones und die meisten Laptops bekommen nur kurz und verspätet Firmwareupdates. Aktuelle Dell, Lenovo Thinkpads und Microsoft Surface sind in der hinsicht besser als andere. Wenn du extra Hardwaresicherheit willst greif zu Secured-core zertifizierten Geräten. Die haben die beste Hardwaresicherheit. Ob es den Aufpreis Wert ist, muss jeder selbst entscheiden.

Die Business-Linien der Hersteller haben oft bessere Akkulaufzeiten und sind leiser, kosten aber ein ganzes Stück mehr.

Gibt es nicht für einen kompletten Laptop und wäre auch nur sehr schwierig zu überprüfen.

Sind es nicht. QubesOS hat ziemlich schlechte Hardwaresicherheitsanforderungen.

Wenn du Wert auf Hardwaresicherheit und Firmwareupdates legst, solltest du diese Marken meiden.

Welche Gründe führt es an?

Verschlüsselung wird inzwischen in nahezu jeden graphischen Installer bei Linuxdistros angeboten. Ist ein Klick plus Passworteingabe.

Ist doch für Backups des Home-Verzeichnisses mit Borgbackup und ggf. GUI Vorta (Qt) oder Pika (GTK) gut zu bewerkstelligen.

Falls man meint sowas zu benötigen, kann man zusätzlich z.B. mit Timeshift o.ä. System-Snapshots erstellen.

und dann bei jedem Neustart die Eingabe des entsprechenden langen Passworts. Ich sage Nein Danke.

Das ist halt kein vollständiges und konsistentes Systembackup. Meine Backups unter Windows lassen sich ggfs. als virtuelle Maschine weiterbenutzen wenn die Hardware ausfällt.

Geht auch mit TPM, wenn man es will und sich traut ein paar Befehle auszuführen.

So sind die Anforderungen von User zu User eben unterschiedlich. Ich sichere nur Dot-Files, Dokumente und alles, was sich nicht unproblematisch wiederbeschaffen lässt. Komplette Systemupdates betrachte ich für meinen subjektiven Anwendungsfall als Festplattenplatzverschwendung.

Damit wäre die Eingabe eines langen Passwortes nicht nötig bei Neustart?

Korrekt. Wenn man den Schlüssel für die Festplattenverschlüsselung im TPM speichert und nicht durch eine zusätzliche PIN sichert, wird die Festplatte beim Rechnerstart automatisch entschlüsselt.

Genau. Ich lege aber Wert auf die zusätzliche PIN bzw. auf Network Unlock (damit ich die nicht dauernd brauche - hab zu viele Computer).
Die Tipparbeit bei Clevis und Tang ist m.W. deutlich mehr Aufwand. Eine richtig gute Anleitung oder Scripts dafür würde ich aber gerne ausprobieren.

Kann ich verstehen. Würde aber im Zweifelsfall heißen dass ich oder Geschäftsfreunde von mir nicht handlungsfähig sind bis neue Hardware da ist oder bis ein Anbieter einen kaputten Patch repariert hat. Stattdessen mit virtuellen Kopien einen Trip in die Vergangenheit und weiterarbeiten.

Nicht sehr weit, vollständige Open Source Hardware Laptops gibt es nicht und diejenigen die Teilweise Open Source Hardware benutzen haben keine/kaum Security Features und sind meistens EoL.
Außerdem sagt Open Source nichts über die Sicherheit aus.

Ich würde mir an deiner Stelle keine Gedanken bzgl. Open Source bei Hardware machen und mich auf aktuelle Business Hardware fokussieren.
Moderne Dell Latitudes und Precisions wären für deinen Anwendungsfall wohl am besten geeignet, da diese einige sinnvolle Merkmale haben u.a. monatliche Firmware Updates, Firmware-Updates über Linux Vendor Firmware Service, Memory Encryption (nur bei vPro Prozessoren). Außerdem erreichen sie das HSI Level 4.

Es ist keine gute Idee Qubes Hardware für normale Betriebssysteme zu nehmen, Qubes besitzt kaum Security relevante Hardwareanforderungen und die meisten modernen Security Features funktionieren unter Qubes nicht.

Wenn du Qubes verwenden möchtest nimm dir ein V54 oder V56 von NovaCustoms mit Heads, da du auf diesem Wege zumindest bisschen Boot Security bekommst.

StarLabs, Insurgo und Purism würde ich auf jeden Fall meiden, da diese keine oder sehr schlechte Firmware Sicherheit besitzen und alle auf das HSI Level 0 kommen.

Nitrokey würde ich auch meiden, da diese einfach nur die Geräte von NovaCustoms nehmen und teurer mit weniger Konfigurationsmöglichkeiten verkaufen.

Ich kann dir Secureblue empfehlen, basiert auf Fedora Silverblue und bringt einige Security relevante Standardeinstellungen mit.
Wurde u.a. auch von GrapheneOS schonmal positiv erwähnt.

Meist gibt es auch die Möglichkeit, nicht das ganze System, sondern nur die Homelaufwerke zu verschlüsseln, dann entfällt die Eingabe eines zusätzlichen Passworts. Daher mache ich das so auf meinem Lenovo ThinkPad mit Linux Mint Debian Edition und fühle mich damit hinreichend gut geschützt.

Bist Du nicht, wenn der Angreifer Zugriff auf Dein ungeschütztes / hat und darauf z.B. einen Keylogger o.ä. installiert. Nicht alle Distros haben Safe-Boot, da scheint Mint ok zu sein, aber ohne Verschlüsselung des Rests bring Safe-Boot m.E. nichts.

nicht schon wieder…
Du hast nicht die geringste Ahnung, wie mein Bedrohungsmodell und mein Schutzbedarf aussehen, und maßt Dir trotzdem solche Antworten an. Ich gehe da nicht weiter drauf ein; war beim letzten Mal schon Zeitverschwendung.

Hallo, wenn du gerne einen Laptop mit Coreboot, TPM, Verified Boot, IOMMU, mit PIN entsperrbarer Userdatenverschlüsselung, einem weitgehend auf freier Software basierendem OS, 10 Jahren Updates, endloser Akkulaufzeit und der Möglichkeit, Linux-Programme laufen zu lassen suchst, dann wirst du bei Chromebooks bzw. ChromeOS fündig.

Für Backups kann man den Veeam Agent for Linux FREE [1] ausprobieren. Ich habe ihn noch nicht unter Linux getestet, aber ich habe gerade letzte Woche den Agent for Windows FREE [2] bei einem unserer Geschäftsführer im Home Office installiert. Ich kenne die große Enterprise-Lösung von Veeam Backup & Replication sehr gut. Damit sichern wir unsere virtuellen Workloads auf unseren VMWare-Hosts. Das ist eine solide Sache.

[1] https://www.veeam.com/de/products/free/linux.html
[2] https://www.veeam.com/de/products/free/microsoft-windows.html

Erstmal Danke für alle eure Rückmeldungen.

Wegen der Firmware-Probleme und dem HSI Level ist der Befehl fürs Terminal namens
fwupdmgr security
nützlich. Über HSI:0 komme ich derzeit nicht hinaus, obwohl bis hin zu HSI:4 einzelne Maßnahmen drin stecken. Kann sein, dass die eine oder andere Maßnahme sich noch beheben bzw. aktivieren lässt. Das kann auch noch ein Projekt sein…

Es scheint auf der einen Seite noch komplexer als gedacht - manche Leute geben sich größte Mühe von großen Herstellern wegzukommen und die Intel ME zu deaktivieren usw., während allerdings die Sicherheitsfunktionalität und Update-Mentalität für die Open Source Projekte hinterherhinkt und das ganze noch längst nicht etabliert genug ist - andere Ansätze mit Business Hardware bieten regelmäßige Updates, mit dem „Nachteil“ der Closed Source Hardware die von den Branchengrößen abhängig macht.
Für die Betriebssysteme sind unterschiedlichste Ansätze da. Windows und Mac und ChromeOS kommt für mich nicht infrage. Erschreckend wie wenig Sicherheits-fokussiert die LInux-Palette als ganzes ist, da braucht es schon eine gute Wahl und gezieltes Konfigurieren und Härten. Secureblue klingt erstmal gut - ist das genau wie Fedora Free & Open Source? Und wie ist Arch einzuordnen worauf sich der Graphene-Entwickler bezieht?

Wegen des HSI Level bei der Hardware/Firmware habe ich recherchiert: https://www.fwupd.org/lvfs/hsireports/devices
Bei drei in dieser Seite gelisteten Dell Latitude konnte ich HSI Level 4 finden, ohne dass bestimmte Anforderungen rot markiert wurden (disabled/ unsupported/ invalid/ not found). 11 andere Latitude Geräte haben zwar auch HSI Level 4 aber mit solchen roten Markierungen… Daher betrachte ich die drei Geräte:
5330: https://www.fwupd.org/lvfs/hsireports/device?host_vendor=Dell+Inc.&host_family=Latitude&host_product=Latitude+5330
5430: https://www.fwupd.org/lvfs/hsireports/device?host_vendor=Dell+Inc.&host_family=Latitude&host_product=Latitude+5330
9440 2-in-1: https://www.fwupd.org/lvfs/hsireports/device?host_vendor=Dell+Inc.&host_family=Latitude&host_product=Latitude+9440+2-in-1
Ich weiß jetzt noch nicht wie aktuell diese Laptops sind und welche Details sie außer dem Punkt überhaupt sonst aufweisen.

Siehe auch folgendes neue Thema

HSI Level sowie Secured-Core-PC: was könnte, sollte, ist?

Arch Linux ist sehr interessant wenn man gerne bastelt und liest (arch wiki), die vielfältigkeit mit den Packetmanager Pacman und AUR gibt einen die Möglichkeit sehr viel software zu installieren dazu kommt noch das Flatpak und Snapcraft zu verfügung steht. In großen und ganzen ist Arch Linux sehr mächtig wenn man es richtig aufbaut.

Wenn jemand nach ein gehärteten Systeme schaut kann sich Fedora Silverblue anschauen oder vielleicht NixOS wenn man entwickeln oder etwas spezielles aufbauen möchte.

Wie hast du recherchiert? Einfach durchgeklickt, oder irgendein Werkzeug genutzt?

Für mein jetziges System ist der Zug eh abgefahren, aber bei einem Neuen würde ich diesem Aspekt auch mehr Aufmerksamkeit schenken wollen.