Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- howto:android:geraetesicherheit [2021/12/20 23:30] – [Bootloader-Entsperrung] signing key erklären yadda
+++ howto:android:geraetesicherheit [2022/01/05 22:38] – Besser erklären wie verified boot funktioniert yadda
@@ Zeile 37: / Zeile 37: @@
 <note tip>Um die Corona-Warn-App des Robert-Koch-Institutes zu benutzen sind Google-Play-Services oder alternativ microG nicht mehr nötig. Mit [[https://f-droid.org/packages/de.corona.tracing/|//Corona Contact Tracing Germany//]] steht bei FDroid ein Fork der Corona-Warn-App zur Verfügung, bei dem die nötige Contact-Tracing-Schnittstelle direkt in der App selbst eingebaut ist.</note>
-===== Bootloader-Entsperrung =====
+===== Bootloader-Entsperrung und verifizierter Boot=====
-Um auf einem Gerät eine Custom-ROM zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Aus Sicherheitsgründen der Entsperrung des Bootloaders wird das installierte Betriebssystem auf Werkseinstellungen zurückgesetzt und der Speicher geleert, um zu verhindern dass jemand mit physischem Zugriff auf ein Smartphone die Passwortsperre des Betriebssystem umgeht und sich über den Bootloader Zugriff auf persönliche Daten verschafft.
+Der Bootloader ist ein kleines Stück Software, das dafür zuständig ist beim Einschalten das installierte Betriebssystem zu starten. Bei moderneren Smartphones hat der Bootloader zusätzlich die Aufgabe, das für den Start vorgesehene Betriebssystem auf seine Integrietät und Echtheit zu überprüfen. Für diese Prüfung ist das Betriebssystem bereits bei der Auslieferung vom Hersteller mit einer kryptografischen Signatur gekennzeichnet, die nur vom Hersteller ausgestellt werden kann. Der Bootloader überprüft, ob die Signatur korrekt ist, und dass das System nicht nachträglich nach der Ausstellung der Signatur manipuliert wurde.
-Das hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren. Viele moderne Smartphones bieten allerdings die möglichkeit, nach Installation der Custom-ROM den Bootloader wieder zu sperren und das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen. Bei jedem Neustart des Gerätes wird anhand dieser digitalen Signatur geprüft ob das installierte Betriebssystem "legitim" ist und die Installation von Schadsoftware dadurch erheblich erschwert.
+Um auf einem Gerät eine Custom-ROM zu installieren, ist es in der Regel nötig den Bootloader dafür zu entsperren. Die Entsperrung ist natürlich nicht vor dem Boot möglich, sondern erst nachdem man das Telefon gestartet und es entsperrt hat, ist es möglich in den Systemeinstellungen die Entsperrung zu erlauben. Aus Sicherheitsgründen wird das installierte Betriebssystem bei einer Entsperrung des Bootloaders auf Werkseinstellungen zurückgesetzt und der Speicher geleert, um zu verhindern dass jemand mit physischem Zugriff auf ein Smartphone die Passwortsperre des Betriebssystem umgeht und sich über den Bootloader Zugriff auf persönliche Daten verschafft.
+Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren.
+Einige Geräte bieten allerdings die Möglichkeit, nach Installation der Custom-ROM
+  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der CustomROM anstatt der des Herstellers und
+  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der CustomROM ist
+  - den Bootloader wieder zu sperren
+Grundsätzlich sind solche Geräte für die Installation einer CustomROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist.
 ----
@@ Zeile 76: / Zeile 86: @@
 Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sicherheitsupdates werden sehr schnell bereitgestellt. F-Droid ist vorinstalliert.
-Um aktuelle Firmware für die unterstützten Geräte sicherzustellen, ist GrapheneOS nur für die neuesten //Google Pixel// Geräte verfügbar, die vom Hersteller mit Sicherheitsupdates versorgt werden.
+GrapheneOS ist nur für die neueren //Google Pixel// Geräte verfügbar. Diese Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung|Sperren des Bootloaders]].
 ==== CalyxOS ====
 {{ :howto:android:calyxos-logo.jpg?nolink&60|}}
-[[https://calyxos.org/|CalyxOS]] unterstützt microG und ist auf Datenschutz und einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein paar Geräte mehr als grapheneOS.
+[[https://calyxos.org/|CalyxOS]] baut teilweise auf grapheneOS auf, unterstützt allerdings zusätzlich microG und ist auf einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein Gerät mehr als grapheneOS.