Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- howto:android:geraetesicherheit [2022/01/05 22:52] – typos.. yadda
+++ howto:android:geraetesicherheit [2022/01/06 19:06] – [Bootloader-Entsperrung und verifizierter Boot] besser erklären yadda
@@ Zeile 45: / Zeile 45: @@
 Das Entsperren des Bootloaders hinterlässt viele Geräte, auf denen eine Custom-ROM installiert wurde, mit einer Sicherheitslücke: Da der Bootloader bereits entsperrt ist, könnte jemand mit physischem Zugriff auf das Gerät unbemerkt zusätzliche (Schad-)Software auf dem Gerät installieren.
-Einige Geräte bieten allerdings die Möglichkeit, nach Installation der Custom-ROM
+Bei manchen Geräten ist es möglich, den Bootloader nach Installation der Custom-ROM wieder zu sperren. Der verifizierte Boot als Sicherheitsfeature des ausgelieferten Betriebssystems geht dabei dennoch verloren.
-  - das neu installierte Betriebssystem mit einer digitalen Signatur zu versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers und
+Wenige Geräte unterstützen die Wiederherstellung des verifizierten Bootvorgangs mit einer Custom-ROM. Dabei wird
-  - den Bootloader anzuweisen, die Integrität des Betriebssystems darauf zu überprüfen, ob die kryptografische Signatur die legitime Signatur der Custom-ROM ist
-  - den Bootloader wieder zu sperren
+  - das neu installierte Betriebssystem mit einer digitalen Signatur versehen - diesmal mit der eigenen Signatur der Custom-ROM anstatt der des Herstellers
+  - der Bootloader konfiguriert, die Integrität des Betriebssystems mit der kryptografischen Signatur der Custom-ROM (anstatt des Herstellers) abzugleichen
+  - im letzten Schritt der Bootloader wieder gesperrt
-Grundsätzlich sind solche Geräte für die Installation einer Custom-ROM empfehlenswert, die dieses erneute Sperren des Bootloaders erlauben und bei denen ein verifizierter Boot auch mit alternativem Betriebssystem möglich ist.
 ----
@@ Zeile 57: / Zeile 58: @@
 ===== Empfohlene Custom-ROMs =====
-==== LineageOS ====
+==== GrapheneOS ====
+{{ :howto:android:grapheneos-logo.png?nolink&60|}}
+Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Manche dieser Anpassungen können allerdings dazu führen, dass manche Apps nicht auf GrapheneOS funktionieren. Sicherheitsupdates werden sehr schnell bereitgestellt.
+==== CalyxOS ====
+{{ :howto:android:calyxos-logo.jpg?nolink&60|}}
+[[https://calyxos.org/|CalyxOS]] erbt einige der Sicherheits-Features von GrapheneOS, verzichtet aber auf manche Sicherheits-Features und hat //microG// vorinstalliert, um eine größere Kompatibilität mit Apps zu ermöglichen. Es ist nicht nur auf Sicherheit, sondern auch auf Benutzerfreundlichkeit ausgelegt. Apps wie F-Droid, Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Eine gute Auswahl, wenn das Telefon "einfach nur funktionieren" soll.
+<note>GrapheneOS und CalyxOS sind nur für die neueren //Google Pixel// Geräte verfügbar. Diese enge Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung_und_verifizierter_boot|Sperren des Bootloaders und verifizierten Boot]].</note>
+==== LineageOS ====
 {{ :howto:android:lineageos-logo.png?nolink&60|}}
-[[https://lineageos.org/|Lineage]] ist die am meisten verbreitete Custom-ROM und wird von einer großen open-source community gepflegt. Es wird wöchentlich mit Updates versorgt und ist bei der Erstinstallation sehr minimalistisch: Selbst einen App-Store wie F-Droid oder Yalp muss man selbst nachinstallieren.
+[[https://lineageos.org/|Lineage]] ist die am meisten verbreitete Custom-ROM. Sie wird von einer großen open-source community gepflegt und unterstützt eine Vielzahl von Geräten. Es wird wöchentlich mit Updates versorgt. Es ist nach der Erstinstallation sehr minimalistisch eingerichtet: Selbst einen App-Store wie F-Droid oder Aurora muss man selbst nachinstallieren.
 Eine allgemeine Liste unterstützter Geräte ist in ihrem [[https://wiki.lineageos.org/devices/|Wiki]]. Auf https://lineageosdevices.com/ kann man gezielt mit Suchkriterien wie z.B. Displaygröße das passende Gerät finden.
@@ Zeile 70: / Zeile 84: @@
 {{ :howto:android:lineage-microg-logo.png?nolink&60|}}
-[[https://lineage.microg.org/|LineageOS for microG]] ist eine gepatchte Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für //LineageOS for microG// gibt es regelmäßige Updates.
+[[https://lineage.microg.org/|LineageOS for microG]] ist eine minimal angepasste Version von Lineage, auf der microG und F-Droid vorinstalliert sind. Unterstützt werden alle Geräte, für die Lineage verfügbar ist. Auch für //LineageOS for microG// gibt es regelmäßige Updates.
 ==== /e/ ====
@@ Zeile 76: / Zeile 90: @@
 {{ :howto:android:e_os-logo.jpg?nolink&60|}}
-//[[https://e.foundation|/e/]]// ist ein ebenfalls ein Fork, d.h. eine modifizierte Version, von LineageOS: Es kommt mit einem eigenen App-Store, über den sowohl Apps von F-Droid als auch Google Play installiert werden können, microG und weiteren vorinstallierten Apps. Gute Wahl, wenn man ein benutzer:innenfreundliches Android möchte, das gleich nach der Installation "einfach funktioniert”.
+//[[https://e.foundation|/e/]]// ist ein ebenfalls ein //Fork//, d.h. eine modifizierte Version, von LineageOS: Es kommt mit einem eigenen App-Store, über den sowohl Apps von F-Droid als auch Google Play installiert werden können, microG und weiteren vorinstallierten Apps. Gute Wahl, wenn man ein benutzer:innenfreundliches Android möchte, das gleich nach der Installation "einfach funktioniert”.
 Es werden mehr Geräte unterstützt als zurzeit von LineageOS ([[https://doc.e.foundation/devices/|Geräteliste]]). Für manche Geräte sind nur auf Android 7 basierte Versionen verfügbar, die aufgrund der oben genannten Gründe nur bedingt empfehlenswert sind.
-==== grapheneOS ====
+<note important>Bei den meisten Geräten, die für LineageOS oder dessen //Forks// geeignet sind, ist es nicht möglich, den Bootloader nach der Installation wieder zu sperren. Wie [[#bootloader-entsperrung_und_verifizierter_boot|oben]] erklärt ist das ein Abstrich in der Sicherheit des Gerätes</note>
-{{ :howto:android:grapheneos-logo.png?nolink&60|}}
-Eine alternatives Android mit Fokus auf Stabilität und Sicherheit: [[https://grapheneos.org/|GrapheneOS]] enthält unter der Haube viele Anpassungen, die das ausnutzen von Sicherheitslücken durch Angreifer:innen erschweren sollen. Sicherheitsupdates werden sehr schnell bereitgestellt. F-Droid ist vorinstalliert.
-GrapheneOS ist nur für die neueren //Google Pixel// Geräte verfügbar. Diese Auswahl wird damit begründet dass diese Geräte vom Hersteller zuverlässig mit mit Sicherheitsupdates versorgt werden. Außerdem unterstützen sie das erneute [[#bootloader-entsperrung|Sperren des Bootloaders]].
-==== CalyxOS ====
-{{ :howto:android:calyxos-logo.jpg?nolink&60|}}
-[[https://calyxos.org/|CalyxOS]] baut teilweise auf grapheneOS auf, unterstützt allerdings zusätzlich microG und ist auf einfache Benutzbarkeit ausgelegt. Apps wie Tor Browser, Signal Messenger und RiseupVPN sind bereits vorinstalliert. Es unterstützt ein Gerät mehr als grapheneOS.