Hallo,
das EOMA68 Projekt , das gerade 25% der Finanzierung erreicht hat, hat sein 12. Projekt-Update veröffentlicht. Ich finde die Updates immer sehr lesenswert:
https://www.crowdsupply.com/eoma68/micro-desktop/updates/laptop-comparisons?...
Diesmal geht es um den Vergleich von innovativen Laptops. - Irgendwo auf der Seite steht auch, das es beim Crowdfunding um die Unterstützung einer Idee geht und nicht um den Kauf eines Gerätes. Ich unterstütze die Idee. Jeder, dem Freie Hard- und Software wichtig ist, sollte überlegen, das auch zu tun. Es gibt natürlich Gründe, das nicht zu machen.
Gruß
Wolfgang
Hi Wolfgang.
das EOMA68 Projekt , das gerade 25% der Finanzierung erreicht hat, hat sein 12. Projekt-Update veröffentlicht. Ich finde die Updates immer sehr lesenswert:
https://www.crowdsupply.com/eoma68/micro-desktop/updates/laptop-comparisons?...
Der geplante Prozessor stammt vom Allwinner. Dieser Hersteller ist leider bekannt für eine Vielzahl von GPL-Verletzungen.
Ich persönlich würde daher eher von der Unterstützung des Projektes absehen.
Viele Grüsse Marcus
Hallo,
Am Mittwoch, 20. Juli 2016, 19:11:31 schrieben Sie:
Der geplante Prozessor stammt vom Allwinner. Dieser Hersteller ist leider bekannt für eine Vielzahl von GPL-Verletzungen.
Ich persönlich würde daher eher von der Unterstützung des Projektes absehen.
Viele Grüsse Marcus
Unter
https://www.crowdsupply.com/eoma68/micro-desktop/updates/picking-a-processor
findet man eine Begründung für die Auswahl des Prozessors, die mir ziemlich schlüssig scheint. - Klar, Hersteller, die GPL verletzen, sollten nicht unterstützt werden. Welche Prozessoren bleiben denn dann und erfüllen die anderen berechtigten Bedingungen. Intel und andere scheiden doch wohl dann komplett aus wegen der geheimen Spionage Firmware.
Ich werde das Projekt weiter fördern, in der komplizierten Situation ist das aber sicher eine Güterabwegung.
Viele Grüße
Wolfgang
Am 20.07.2016 um 19:46 schrieb Wolfgang Romey (woro) woro@wolfgangromey.de:
Hallo,
Am Mittwoch, 20. Juli 2016, 19:11:31 schrieben Sie:
Der geplante Prozessor stammt vom Allwinner. Dieser Hersteller ist leider bekannt für eine Vielzahl von GPL-Verletzungen.
Ich persönlich würde daher eher von der Unterstützung des Projektes absehen.
Viele Grüsse Marcus
Unter
https://www.crowdsupply.com/eoma68/micro-desktop/updates/picking-a-processor
findet man eine Begründung für die Auswahl des Prozessors, die mir ziemlich schlüssig scheint. - Klar, Hersteller, die GPL verletzen, sollten nicht unterstützt werden. Welche Prozessoren bleiben denn dann und erfüllen die anderen berechtigten Bedingungen. Intel und andere scheiden doch wohl dann komplett aus wegen der geheimen Spionage Firmware.
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht. Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Ich hoffe das wir bald einen wirklich Freien Prozessor bekommen, bei RISC entwickelt sich etwas in diese Richtung und das ist eh eine meiner Lieblingsarchitekturen.
Viele Grüsse Marcus
Hallo zusammen,
Am 20. Juli 2016 20:02:43 MESZ, schrieb Marcus Moeller marcus.moeller@gmx.ch:
Am 20.07.2016 um 19:46 schrieb Wolfgang Romey (woro)
... Intel und andere scheiden doch wohl
dann
komplett aus wegen der geheimen Spionage Firmware.
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht. Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Inwiefern handelt es sich da um ein Gerücht?
Ich hoffe das wir bald einen wirklich Freien Prozessor bekommen, bei RISC entwickelt sich etwas in diese Richtung und das ist eh eine meiner Lieblingsarchitekturen.
Ja, das wäre auch im Sinne der Forschung gut, denke ich.
Viele Grüße Michael
Hi Michael.
Am 20. Juli 2016 20:02:43 MESZ, schrieb Marcus Moeller marcus.moeller@gmx.ch:
Am 20.07.2016 um 19:46 schrieb Wolfgang Romey (woro)
... Intel und andere scheiden doch wohl
dann
komplett aus wegen der geheimen Spionage Firmware.
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht. Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Inwiefern handelt es sich da um ein Gerücht?
AMT ist einfach ein Remote Management Tool, was vollständig abschaltbar ist. Es ist sehr nützlich und wir nutzen es bei uns an der Uni zur Verwaltung unserer Clients (Remote Power On/Off, Reboot).
Es gibt keinerlei Belege, dass dies eine Backdoor enthält, was allerdings schwer überprüfbar ist. Daher schreibe ich, dass es sich dabei um ein Gerücht handelt (auch als FUD bekannt).
Der Code für die Ansteuerung von AMT ist übrigens vollständig Frei verfügbar und sehr gut dokumentiert. Ein Arbeitskollege hat auf Basis dieser Informationen ein Freies Tool geschrieben:
https://github.com/schnoddelbotz/amtc
Anstatt immer über AMT zu wettern, wäre aus meiner Sicht der bessere Weg, eine Freie BIOS Implementierung davon zu schreiben.
Viele Grüsse Marcus
Hi again.
Am 20. Juli 2016 20:02:43 MESZ, schrieb Marcus Moeller marcus.moeller@gmx.ch:
Am 20.07.2016 um 19:46 schrieb Wolfgang Romey (woro)
... Intel und andere scheiden doch wohl
dann
komplett aus wegen der geheimen Spionage Firmware.
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht. Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Inwiefern handelt es sich da um ein Gerücht?
AMT ist einfach ein Remote Management Tool, was vollständig abschaltbar ist. Es ist sehr nützlich und wir nutzen es bei uns an der Uni zur Verwaltung unserer Clients (Remote Power On/Off, Reboot).
Es gibt keinerlei Belege, dass dies eine Backdoor enthält, was allerdings schwer überprüfbar ist. Daher schreibe ich, dass es sich dabei um ein Gerücht handelt (auch als FUD bekannt).
Der Code für die Ansteuerung von AMT ist übrigens vollständig Frei verfügbar und sehr gut dokumentiert. Ein Arbeitskollege hat auf Basis dieser Informationen ein Freies Tool geschrieben:
https://github.com/schnoddelbotz/amtc
Anstatt immer über AMT zu wettern, wäre aus meiner Sicht der bessere Weg, eine Freie BIOS Implementierung davon zu schreiben.
FUD über ME zu verbreiten scheint momentan wieder sehr beliebt zu sein:
https://www.digitale-gesellschaft.ch/2016/07/21/der-ruf-nach-vertrauenswuerd...
Auch hier wieder: tatsächlicher Informationsgehalt: null, Belege: null, Angstmacherei: 100%
Klassischer Fall von FUD. Schade das so etwas aus unserer Szene kommt, wo ich uns doch eigentlich für Offen und konstruktiv kommunikationsbereit halte.
Viele Grüsse Marcus
On 07/21/2016 09:08 AM, Marcus Moeller wrote:
AMT ist einfach ein Remote Management Tool, was vollständig abschaltbar ist. Es ist sehr nützlich [..] Es gibt keinerlei Belege, dass dies eine Backdoor enthält
Es gibt eine Masterarbeit, in der gezeigt wurde dass es zu dem Zeitpunkt Modelle gab, in deren die BIOS-Deaktivierung AMT nicht wirklich abgeschaltet hat. Und dass bereits Keys deployed sind, die hardcoded und nicht entfernbar sind. [1]
Ich zitiere mal einfach stellvertretend nur aus dem Inhaltsverzeichnis der Masterarbeit, aber es gibt auch einige andere gute Papers und Slidedecks zu dem Thema. Ich habe z.B. eine Präsentation von 2014 in Erinnerung. [2] Ob du dann sowas wie den 2016er Report von Joanna Rutkowska, QubesOS, auch als FUD abtust musst du selbst entscheiden. [3]
3.2 Bypassing Intel AMT’s local access restrictions 3.3 SMB setup mode vulnerability 3.4 IDE-R and Serial over LAN vulnerability [...] 3.7.5 Intel AMT remote provisioning: attack scenario 3.7.6 Vulnerability: ZTC implemented when AMT is disabled [...] 3.8.3 Implementation fault 3.8.4 Wireless attacks on AMT 3.8.3 Implementation fault 3.8.4 Wireless attacks on AMT 3.8.5 Attack types 3.8.6 Confidentiality attacks 3.8.7 Integrity attacks 3.8.8 Availability attacks 3.9 Intel AMT Privacy threat 3.8.5 Attack types 3.8.6 Confidentiality attacks 3.8.7 Integrity attacks. 3.8.8 Availability attacks 3.9 Intel AMT Privacy threat
Der Code für die Ansteuerung von AMT ist übrigens vollständig Frei
Um den geht es hier nicht.
Auch hier wieder: tatsächlicher Informationsgehalt: null, Belege: null, Angstmacherei: 100%
Achso, es ist also alles gut, eine proprietäre Schnittstelle zu haben von der du nicht genau weißt was sie tut, außer, dass sie wahrscheinlich genauso beschissen programmiert ist wie alles andere (vgl Baseband), und per Design Zugriff auf CPU und somit RAM usw auch über Schnittstellen wie Ethernet ermöglicht? Für das Leute schon Exploits gebaut haben?
Aus Security-Sicht ist so eine Fernwartungsmöglichkeit einfach ein Horror, und für 99% der Anwender schlicht ein nicht notwendiges Sicherheitsrisiko.
Zu "Ja dann sollten Leute halt mal was freies machen": Du kannst es nicht einfach ersetzen, nicht einfach entfernen, also ein Riesenaufwand für wenige Modelle und einen noch geringeren Anwenderkreis. Die meisten werden es eben einfach entfernen wollen, wenn Deaktivieren schon nicht zuverlässig möglich scheint. Ich zitiere mal Coreboot Wiki [4]:
"Replacing the ME firmware is not that easy because: * The ME bootrom checks the firmware signature. * On recent chipset its RAM region is locked while it is allocated. * Power glitches(by the ec) while the ME is checking its firmware is probably not practically doable."
Grüße Mo
[1] Security Evaluation of Intel's Active Management Technology. Master thesis. 2012. Vassilios Ververis.
https://people.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Verve...
[2] https://github.com/skochinsky/papers/raw/master/2014-10%20%5BBreakpoint%5D%2...
[3] Joanna Rutkowska, Qubes OS creator: Intel x86 considered harmful (2016) http://blog.invisiblethings.org/papers/2015/x86_harmful.pdf
Hi Mo.
Danke für deine Ausführungen.
On 07/21/2016 09:08 AM, Marcus Moeller wrote:
AMT ist einfach ein Remote Management Tool, was vollständig abschaltbar ist. Es ist sehr nützlich [..] Es gibt keinerlei Belege, dass dies eine Backdoor enthält
...
Um den geht es hier nicht.
Auch hier wieder: tatsächlicher Informationsgehalt: null, Belege: null, Angstmacherei: 100%
Achso, es ist also alles gut, eine proprietäre Schnittstelle zu haben von der du nicht genau weißt was sie tut, außer, dass sie wahrscheinlich genauso beschissen programmiert ist wie alles andere (vgl Baseband), und per Design Zugriff auf CPU und somit RAM usw auch über Schnittstellen wie Ethernet ermöglicht? Für das Leute schon Exploits gebaut haben?
Aus Security-Sicht ist so eine Fernwartungsmöglichkeit einfach ein Horror, und für 99% der Anwender schlicht ein nicht notwendiges Sicherheitsrisiko.
Auch hier sind wir letzendlich wieder bei dem Grundproblem von unfreier Hardware. Das einzige was du da machen kannst, ist vertrauen. Vertrauen in sofern, dass ME vollständig abschaltbar ist und nicht remote wieder aktiviert werden kann. In sofern ist natürlich ein vollständiger Verzicht darauf die einfachste Lösung. Nachhaltiger wäre aber eine Freie Implementierung oder zumindest eine Offenlegung der Implementierung in der CPU.
Enduser Hardware ist aus meiner Sicht eher unproblematisch, da dort ME oftmals gar nicht verbaut ist.
Viele Grüsse Marcus
Hi nochmal.
AMT ist einfach ein Remote Management Tool, was vollständig abschaltbar ist. Es ist sehr nützlich [..] Es gibt keinerlei Belege, dass dies eine Backdoor enthält
Es gibt eine Masterarbeit, in der gezeigt wurde dass es zu dem Zeitpunkt Modelle gab, in deren die BIOS-Deaktivierung AMT nicht wirklich abgeschaltet hat. Und dass bereits Keys deployed sind, die hardcoded und nicht entfernbar sind. [1]
Ich habe mit die Thesis mal angeschauen. Die dort angesprochen Probleme sind allesamt nicht mehr aktuell.
Ich zitiere mal einfach stellvertretend nur aus dem Inhaltsverzeichnis der Masterarbeit, aber es gibt auch einige andere gute Papers und Slidedecks zu dem Thema. Ich habe z.B. eine Präsentation von 2014 in Erinnerung. [2] Ob du dann sowas wie den 2016er Report von Joanna Rutkowska, QubesOS, auch als FUD abtust musst du selbst entscheiden. [3]
Mal schauen ob ich morgen Zeit finde mir diese Slides auch anzuschauen.
Viele Grüsse Marcus
Hallo,
Am Mittwoch, 20. Juli 2016, 20:02:43 schrieb Marcus Moeller:
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht.
Aber ist das nicht der Grund, warum auf den Rechnern Libreboot nicht mehr möglich ist. Oder ist das auch nur ein Gerücht oder gibt es einen anderen Grund?
Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Facebook und Google tragen auch zur Freien Software bei. Google sogar durch den wohl umfangreich genutzten, auch von KDE, summer of code. Daß diese Firmen sich an Freier Software beteiligen, liegt aus meiner Sicht daran, daß das gegenwärtig im Geschäftsinteresse dieser Firmen ist. Wenn sich das ändert, kann sich auch die Beteiligung an Freier Software ändern. Diese Firmen machen das nicht, weil sie hinter Freier Software stehen. Wenn das anders wäre, würde facebook seinen Laden dicht machen, Google nicht über seine Playstore Android unfrei machen, Intel Alles offenlegen. Machen die aber nicht.
Ich hoffe das wir bald einen wirklich Freien Prozessor bekommen, bei RISC entwickelt sich etwas in diese Richtung und das ist eh eine meiner Lieblingsarchitekturen.
Dann könnte es ja u.U eine EOMA68 Karte mit dem Prozessor geben. Wie ich aber an anderer Stelle geschrieben habe, stünden wir dann vor der Aufgabe eine fairen Hersteller für den Prozessor finden. Ein Freier Prozessor, der genauso wenig nachhaltig produziert würde wie alle anderen, wäre nur ein Stückes des Weges in die richtige Richtung. Am Ziele wäre man dann noch lange nicht.
Viele Grüße
Wolfgang
Hoi zaemme.
Am Mittwoch, 20. Juli 2016, 20:02:43 schrieb Marcus Moeller:
Du meinst wahrscheinlich AMT/ME.
Dabei handelt es sich um ein hartnäckiges Gerücht.
Aber ist das nicht der Grund, warum auf den Rechnern Libreboot nicht mehr möglich ist. Oder ist das auch nur ein Gerücht oder gibt es einen anderen Grund?
Das eigentliche Hauptproblem für Coreboot oder auch Libreboot ist Boot Guard. Libreboot würde schon funktionieren, wenn man den proprietären ME Code laden würde (siehe auch Autoboot), dann wäre es einfach nicht mehr Libre.
Intel ist übrigens einer der grössten Unterstützer Freier Software. Schau dir mal deren Commit Ratio im Kernel an.
Facebook und Google tragen auch zur Freien Software bei. Google sogar durch den wohl umfangreich genutzten, auch von KDE, summer of code. Daß diese Firmen sich an Freier Software beteiligen, liegt aus meiner Sicht daran, daß das gegenwärtig im Geschäftsinteresse dieser Firmen ist. Wenn sich das ändert, kann sich auch die Beteiligung an Freier Software ändern. Diese Firmen machen das nicht, weil sie hinter Freier Software stehen. Wenn das anders wäre, würde facebook seinen Laden dicht machen, Google nicht über seine Playstore Android unfrei machen, Intel Alles offenlegen. Machen die aber nicht.
Ich hoffe das wir bald einen wirklich Freien Prozessor bekommen, bei RISC entwickelt sich etwas in diese Richtung und das ist eh eine meiner Lieblingsarchitekturen.
Dann könnte es ja u.U eine EOMA68 Karte mit dem Prozessor geben. Wie ich aber an anderer Stelle geschrieben habe, stünden wir dann vor der Aufgabe eine fairen Hersteller für den Prozessor finden. Ein Freier Prozessor, der genauso wenig nachhaltig produziert würde wie alle anderen, wäre nur ein Stückes des Weges in die richtige Richtung. Am Ziele wäre man dann noch lange nicht.
Das schöne ist, dass die Menschen die sich für Freie Hardware einsetzen oftmals auch ökologisch denken. Daher besteht noch Hoffnung das sich das beides miteinander verbinden lässt.
Viele Grüsse Marcus
On 07/21/2016 11:12 AM, Marcus Moeller wrote: ...
Das schöne ist, dass die Menschen die sich für Freie Hardware einsetzen oftmals auch ökologisch denken....
Da stellt sich bei mir die Frage, wie alt ein Gerät sein muss, so dass mit grosser Wahrscheinlichkeit keine dieser potentiellen Backdoors eingebaut sind. Für mich eine ernste Frage, da ich aus ökologischen Gründen gar keine neuen Geräte mehr kaufe, sondern sie im Müll (Elektroschrott-Container) suche oder allenfalls gebraucht kaufe.
Ich habe immer noch einige brauchbare PCs in Betrieb, mit "Pentium" CPU. Ist das alt genug? Dieses Mail verschicke ich mit einem etwas neueren Intel Atom CPU N280. Ist das alt genug?
Liebe Grüsse, Theo
Hi Theo,
Am 22.07.2016 um 07:51 schrieb Theo Schmidt sus2006@bluewin.ch:
On 07/21/2016 11:12 AM, Marcus Moeller wrote: ...
Das schöne ist, dass die Menschen die sich für Freie Hardware einsetzen oftmals auch ökologisch denken....
Da stellt sich bei mir die Frage, wie alt ein Gerät sein muss, so dass mit grosser Wahrscheinlichkeit keine dieser potentiellen Backdoors eingebaut sind. Für mich eine ernste Frage, da ich aus ökologischen Gründen gar keine neuen Geräte mehr kaufe, sondern sie im Müll (Elektroschrott-Container) suche oder allenfalls gebraucht kaufe.
Ich habe immer noch einige brauchbare PCs in Betrieb, mit "Pentium" CPU. Ist das alt genug? Dieses Mail verschicke ich mit einem etwas neueren Intel Atom CPU N280. Ist das alt genug?
Aus ökologischer Sicht kann man ein Gerät gar nicht lange genug nutzen, von daher bist du da sicher ein gutes Vorbild.
Ich habe vor einiger Zeit mal einen Blog Post zu dem Thema verfasst: https://blogs.ethz.ch/id/2015/09/15/alt-statt-neu/
Viele Grüsse Marcus
On 07/22/2016 12:26 PM, Marcus Moeller wrote: ...
Aus ökologischer Sicht kann man ein Gerät gar nicht lange genug nutzen, von daher bist du da sicher ein gutes Vorbild.
Ich habe vor einiger Zeit mal einen Blog Post zu dem Thema verfasst: https://blogs.ethz.ch/id/2015/09/15/alt-statt-neu/
Hallo Marcus,
Vielen Dank! Ursprünglich ging es im Thread, ob dem AMT zu trauen ist, oder den Herstellern überhaupt zu trauen ist, dass sie *nicht* ihre CPUs "kapern" können, wie das in Science Fiction Filmen vorkommt. Meine Frage war, falls den Herstellern nicht zu trauen ist, wie alt die Hardware sein muss, damit eine solche Backdoor sicher nicht vorkommt, z.B. weil es das Internet noch nicht gab, oder man noch nicht daran dachte, seine Kunden zu überwachen/kontrollieren (was heute auch ohne Backdoors üblich ist und erschreckenderweise von den meisten Leuten und sogar Verwaltungen, usw. akzeptiert wird).
Liebe Grüsse, Theo
Hi Theo.
Am 22.07.2016 um 13:17 schrieb Theo Schmidt sus2006@bluewin.ch:
On 07/22/2016 12:26 PM, Marcus Moeller wrote: ...
Aus ökologischer Sicht kann man ein Gerät gar nicht lange genug nutzen, von daher bist du da sicher ein gutes Vorbild.
Ich habe vor einiger Zeit mal einen Blog Post zu dem Thema verfasst: https://blogs.ethz.ch/id/2015/09/15/alt-statt-neu/
Hallo Marcus,
Vielen Dank! Ursprünglich ging es im Thread, ob dem AMT zu trauen ist, oder den Herstellern überhaupt zu trauen ist, dass sie *nicht* ihre CPUs "kapern" können, wie das in Science Fiction Filmen vorkommt. Meine Frage war, falls den Herstellern nicht zu trauen ist, wie alt die Hardware sein muss, damit eine solche Backdoor sicher nicht vorkommt, z.B. weil es das Internet noch nicht gab, oder man noch nicht daran dachte, seine Kunden zu überwachen/kontrollieren (was heute auch ohne Backdoors üblich ist und erschreckenderweise von den meisten Leuten und sogar Verwaltungen, usw. akzeptiert wird).
Der X60 Generation solltest du trauen können http://thinkwiki.de/X60 . Eventuell noch X200, wobei ich mich damit schwer tue. Bei einer X60 Variante kannst du auch noch eine Hardware BIOS Flash Protection machen. Mehr Infos dazu findest du hier: https://media.ccc.de/v/30C3_-_5529_-_en_-_saal_2_-_201312271830_-_hardening_...
Ich selbst verwende immer noch ein X60 mit Libreboot und habe nicht den Umstieg auf die X200 Generation gemacht, obwohl ich schon oft die Chance dazu hatte. RMS verwendet auch ein X60.
Viele Grüsse Marcus
On Fri, Jul 22, 2016 at 04:09:18PM +0200, Marcus Moeller wrote:
Am 22.07.2016 um 13:17 schrieb Theo Schmidt sus2006@bluewin.ch:
Meine Frage war, falls den Herstellern nicht zu trauen ist, wie alt die Hardware sein muss, damit eine solche Backdoor sicher nicht vorkommt, z.B. weil es das Internet noch nicht gab, oder man noch nicht daran dachte, seine Kunden zu überwachen/kontrollieren (was heute auch ohne Backdoors üblich ist und erschreckenderweise von den meisten Leuten und sogar Verwaltungen, usw. akzeptiert wird).
Der X60 Generation solltest du trauen können http://thinkwiki.de/X60 . Eventuell noch X200, wobei ich mich damit schwer tue.
Warum schwer tun? Bezieht sich das auf das Original oder Libreboot?
http://www.fsf.org/resources/hw/endorsement/respects-your-freedom https://www.fsf.org/news/libreboot-x200-laptop-now-fsf-certified-to-respect-...
X200 und T400 mit Libreboot sind von der FSF zertifiziert. Wenn ich mich damit schon schwer tue, kann ich auch gleich alles sein lassen, wahlweise die Vernetzung oder Computer überhaupt.
Hi Frank.
Am 22.07.2016 um 16:59 schrieb Frank Guthausen fg-fsfe.2014@datenschutzraum.org:
On Fri, Jul 22, 2016 at 04:09:18PM +0200, Marcus Moeller wrote:
Am 22.07.2016 um 13:17 schrieb Theo Schmidt sus2006@bluewin.ch:
Meine Frage war, falls den Herstellern nicht zu trauen ist, wie alt die Hardware sein muss, damit eine solche Backdoor sicher nicht vorkommt, z.B. weil es das Internet noch nicht gab, oder man noch nicht daran dachte, seine Kunden zu überwachen/kontrollieren (was heute auch ohne Backdoors üblich ist und erschreckenderweise von den meisten Leuten und sogar Verwaltungen, usw. akzeptiert wird).
Der X60 Generation solltest du trauen können http://thinkwiki.de/X60 . Eventuell noch X200, wobei ich mich damit schwer tue.
Warum schwer tun? Bezieht sich das auf das Original oder Libreboot?
http://www.fsf.org/resources/hw/endorsement/respects-your-freedom https://www.fsf.org/news/libreboot-x200-laptop-now-fsf-certified-to-respect-...
X200 und T400 mit Libreboot sind von der FSF zertifiziert. Wenn ich mich damit schon schwer tue, kann ich auch gleich alles sein lassen, wahlweise die Vernetzung oder Computer überhaupt.
Darum ging es nicht. Es geht um die Hardwarekomponenten die dort verbaut sind. Die Frage von Theo war ob ältere Hardware tendenziell weniger Backdoors enthalten würde.
Ich traue dem Microcode der X60 Generation mehr als dem der X200 Generation.
Aber da sind wir wieder bei der Vertrauensfrage.
Viele Grüsse Marcus
On Fri, Jul 22, 2016 at 05:06:59PM +0200, Marcus Moeller wrote:
Am 22.07.2016 um 16:59 schrieb Frank Guthausen fg-fsfe.2014@datenschutzraum.org:
X200 und T400 mit Libreboot sind von der FSF zertifiziert. Wenn ich mich damit schon schwer tue, kann ich auch gleich alles sein lassen, wahlweise die Vernetzung oder Computer überhaupt.
Darum ging es nicht. Es geht um die Hardwarekomponenten die dort verbaut sind. Die Frage von Theo war ob ältere Hardware tendenziell weniger Backdoors enthalten würde.
Ich traue dem Microcode der X60 Generation mehr als dem der X200 Generation.
Microcode ist doch nur Reparatur von defekten CPUs, weil nicht mehr vernünftig produziert wird (Marktwirtschaft). Ob man das nun auf die Hardware direkt oder den Microcode schiebt, ist egal.
Ich kann die Frage nach Backdoors in der CPU, ab Werk oder mit Microcode, sowieso nicht prüfen. Bei zusätzlichen Komponenten der späteren Generation ist aber explizit dokumentiert, dass da problematische Funktionalität drin ist.
Wie unterscheidet man aber X60 von X200? Ohne Kriterien ist das eine reine Glaubensfrage, und das mag gut sein fürs Karma, aber praktisch kann ich damit wenig anfangen. Wenn ich sowieso dem CPU-Hersteller vertrauen muss, sehe ich nicht, wie ich dieses Maß an Vertrauen dann quantifizierbar und vergleichbar machen kann.
Ich unterscheide nichtmal X200 und X200 plus Microcode, der von Libreboot im Gegensatz zu BIOS/UEFI nicht eingespielt wird, weil das explizit frei ist. Ich brauche aber den Microcode für KVM und VirtualBox, und der ist in Debian non-free dabei, Trisquel liefert ihn AFAIK nicht. Hätte Intel keine kaputten CPUs ab Werk abgenommen, wäre sowieso das verbaut, was ich mit Microcode per Software erreiche.
Mir scheint für diese Frage allenfalls relevant, wer im laufenden System überhaupt Microcode Updaten kann. Wenn das Unbefugte können, besteht da schon eine initiale Backdoor. Dann brauche ich mir über Microcode nicht mehr den Kopf zu zerbrechen. In this case: I am doomed.
Moin,
Ich kann die Frage nach Backdoors in der CPU, ab Werk oder mit Microcode, sowieso nicht prüfen. Bei zusätzlichen Komponenten der späteren Generation ist aber explizit dokumentiert, dass da problematische Funktionalität drin ist.
Die Unterscheidung "ab Werk oder mit Microcode" ist vollkommener Unsinn. Da ist ab Werk Microcode drauf, und der kommt da auch nicht runter wenn du Libreboot installierst.
Ich unterscheide nichtmal X200 und X200 plus Microcode
Natürlich nicht, denn ein X200 ohne Microcode gibt es nicht. Ein X200 ohne Microcode kann überhaupt keine Befehle verarbeiten, weil es den Befehlssatz gar nicht kennt. x86 und x86_64 sind CISC-Befehlssätze, die zeichnen sich dadurch aus, dass sie besonders viele Befehle umfassen. Die werden nicht fest verdrahtet, wie bei RISC üblich. Sondern es laufen Mikroprogramme (mit sehr wenigen, dafür fest verdrahteten) Mikroinstruktionen, die den x86(_64)-Maschinencode *interpretieren*. Ob du den nachträglich änderst/updatest ist dafür erstmal ganz egal, eine x86(_64)-CPU ohne Microcode bootet nicht.
In der Hoffnung, beim Verständnis geholfen zu haben,
Marvin
Hi again.
Ich kann die Frage nach Backdoors in der CPU, ab Werk oder mit Microcode, sowieso nicht prüfen. Bei zusätzlichen Komponenten der späteren Generation ist aber explizit dokumentiert, dass da problematische Funktionalität drin ist.
Die Unterscheidung "ab Werk oder mit Microcode" ist vollkommener Unsinn. Da ist ab Werk Microcode drauf, und der kommt da auch nicht runter wenn du Libreboot installierst.
Ich unterscheide nichtmal X200 und X200 plus Microcode
Natürlich nicht, denn ein X200 ohne Microcode gibt es nicht. Ein X200 ohne Microcode kann überhaupt keine Befehle verarbeiten, weil es den Befehlssatz gar nicht kennt. x86 und x86_64 sind CISC-Befehlssätze, die zeichnen sich dadurch aus, dass sie besonders viele Befehle umfassen. Die werden nicht fest verdrahtet, wie bei RISC üblich. Sondern es laufen Mikroprogramme (mit sehr wenigen, dafür fest verdrahteten) Mikroinstruktionen, die den x86(_64)-Maschinencode *interpretieren*. Ob du den nachträglich änderst/updatest ist dafür erstmal ganz egal, eine x86(_64)-CPU ohne Microcode bootet nicht.
In der Hoffnung, beim Verständnis geholfen zu haben,
Jetzt sind wir wirklich ein bisserl abgeschweift ;) Es ging um die Qualität des Microcodes in der CPU. Ich mache keine Microcode Updates.
Da war die Frage ob der Microcode in der X60 Generation vertrauenswürdiger ist als der in den nachfolgenden Generationen.
Das ganze ist natürlich reine Mutmassung und schwer belegbar, und dabei würde ich es auch belassen wollen.
Viele Grüsse Marcus
On Fri, Jul 22, 2016 at 04:43:51PM +0000, Marvin Cohrs wrote:
Die Unterscheidung "ab Werk oder mit Microcode" ist vollkommener Unsinn. Da ist ab Werk Microcode drauf, und der kommt da auch nicht runter wenn du Libreboot installierst.
Ich habe das nicht hinreichend präzise formuliert. Ich meinte Microcodeupdates. Diese werden üblicherweise vom BIOS oder UEFI beim Einschalten eingespielt. Libreboot tut das aber nicht und verwendet die CPU "wie ab Werk".
Wenn man KVM oder VirtualBox mit Hardwarevirtualisierung verwenden will, braucht man das Microcodeupdate. sonst gibt es eine Kernelpanic.
Ich unterscheide nichtmal X200 und X200 plus Microcode
Natürlich nicht, denn ein X200 ohne Microcode gibt es nicht.
Auch hier meine ich das Update, welches man auch unter Libreboot nachträglich über den Linuxkernel einspeisen kann. Ein entsprechendes Paket dazu gibt es z.B. unter Debian non-free.
Am 24. Juli 2016 03:11:44 MESZ, schrieb Frank Guthausen fg-fsfe.2014@datenschutzraum.org:
Auch hier meine ich das Update, welches man auch unter Libreboot nachträglich über den Linuxkernel einspeisen kann. Ein entsprechendes Paket dazu gibt es z.B. unter Debian non-free.
Sprich eine kompromittierte Firmware kann genauso wie ein kompromittiertes (auch wenn freies OS) Microcode mit Backdoor einspielen :) Macht natürlich ein frei lizensierbares RISC-Design, das ohne Microcode auskommt, noch attraktiver…
Gruß, Florian
On Sun, Jul 24, 2016 at 10:34:40AM +0200, Florian Ermisch wrote:
Sprich eine kompromittierte Firmware kann genauso wie ein kompromittiertes (auch wenn freies OS) Microcode mit Backdoor einspielen :)
Möglicherweise. Diese Funktionalität hätte man aber auch schon ab Werk in die CPU einbauen können. Darauf habe aber ich prinzipiell keinen Einfluss, und deshalb unterscheide ich das nicht. Ich halte das in meiner Situation nicht für relevant. Virtualisierung hat bei mir Priorität.
Macht natürlich ein frei lizensierbares RISC-Design, das ohne Microcode auskommt, noch attraktiver???
Wer garantiert, dass der gelieferte Chip tatsächlich dem Design entspricht? Backdoors in Hardware, die nicht dem Design entsprach, gab es schon in den letzten Jahren.
Am 22.07.2016 um 12:26 schrieb Marcus Moeller:
Hi Theo,
Am 22.07.2016 um 07:51 schrieb Theo Schmidt sus2006@bluewin.ch:
On 07/21/2016 11:12 AM, Marcus Moeller wrote: ...
Das schöne ist, dass die Menschen die sich für Freie Hardware einsetzen oftmals auch ökologisch denken....
Da stellt sich bei mir die Frage, wie alt ein Gerät sein muss, so dass mit grosser Wahrscheinlichkeit keine dieser potentiellen Backdoors eingebaut sind. Für mich eine ernste Frage, da ich aus ökologischen Gründen gar keine neuen Geräte mehr kaufe, sondern sie im Müll (Elektroschrott-Container) suche oder allenfalls gebraucht kaufe.
Ich habe immer noch einige brauchbare PCs in Betrieb, mit "Pentium" CPU. Ist das alt genug? Dieses Mail verschicke ich mit einem etwas neueren Intel Atom CPU N280. Ist das alt genug?
Aus ökologischer Sicht kann man ein Gerät gar nicht lange genug nutzen, von daher bist du da sicher ein gutes Vorbild.
Ich habe vor einiger Zeit mal einen Blog Post zu dem Thema verfasst: https://blogs.ethz.ch/id/2015/09/15/alt-statt-neu/
Ich bin mir nicht sicher, ob man das so generell sagen kann.
Bei den Notebooks, die oft auch auf's "Stromsparen" ausgerichtet sind, mag die Rechnung stimmen.
Ich habe kürzlich im Büro einen alten Rechner mit mechanischer Festplatte (war deutlich zu hören ;-) ), Lüftern etc., der als Router diente, durch einen Raspi mit zusätzlichem USB-eth-Adapter ersetzt.
Der Raspi ist sicherlich von der Performance dem alten Desktop zumindest ebenbürtig, verbraucht aber nur einen Bruchteil der elektrischen Leistung des alten Rechners und ist darüber hinaus wesentlich leiser (unhörbar).
Ich denke, damit habe ich mich nicht an der Umwelt versündigt (außer dass der Raspi wohl zuviel Performance hat).
Gruß Michael
Hi Michael.
Am 22.07.2016 um 15:00 schrieb RA Stehmann anwalt@rechtsanwalt-stehmann.de:
Am 22.07.2016 um 12:26 schrieb Marcus Moeller:
Hi Theo,
Am 22.07.2016 um 07:51 schrieb Theo Schmidt sus2006@bluewin.ch:
On 07/21/2016 11:12 AM, Marcus Moeller wrote: ...
Das schöne ist, dass die Menschen die sich für Freie Hardware einsetzen oftmals auch ökologisch denken....
Da stellt sich bei mir die Frage, wie alt ein Gerät sein muss, so dass mit grosser Wahrscheinlichkeit keine dieser potentiellen Backdoors eingebaut sind. Für mich eine ernste Frage, da ich aus ökologischen Gründen gar keine neuen Geräte mehr kaufe, sondern sie im Müll (Elektroschrott-Container) suche oder allenfalls gebraucht kaufe.
Ich habe immer noch einige brauchbare PCs in Betrieb, mit "Pentium" CPU. Ist das alt genug? Dieses Mail verschicke ich mit einem etwas neueren Intel Atom CPU N280. Ist das alt genug?
Aus ökologischer Sicht kann man ein Gerät gar nicht lange genug nutzen, von daher bist du da sicher ein gutes Vorbild.
Ich habe vor einiger Zeit mal einen Blog Post zu dem Thema verfasst: https://blogs.ethz.ch/id/2015/09/15/alt-statt-neu/
Ich bin mir nicht sicher, ob man das so generell sagen kann.
Bei den Notebooks, die oft auch auf's "Stromsparen" ausgerichtet sind, mag die Rechnung stimmen.
Ich habe kürzlich im Büro einen alten Rechner mit mechanischer Festplatte (war deutlich zu hören ;-) ), Lüftern etc., der als Router diente, durch einen Raspi mit zusätzlichem USB-eth-Adapter ersetzt.
Der Raspi ist sicherlich von der Performance dem alten Desktop zumindest ebenbürtig, verbraucht aber nur einen Bruchteil der elektrischen Leistung des alten Rechners und ist darüber hinaus wesentlich leiser (unhörbar).
Ich denke, damit habe ich mich nicht an der Umwelt versündigt (außer dass der Raspi wohl zuviel Performance hat).
Es geht um die Energie die zur Herstellung eines Gerätes notwendig ist. Dazu kannst du ein Gerät gar nicht lange genug nutzen um diese zu amortisieren. Dabei ist es egal ob es sich um einen Laptop oder einen Desktop handelt. Wenn man nur den aktuellen und zukünftigen Stromverbrauch anschaut, mag deine Rechnung stimmen, berücksichtigt aber nur einen kleinen Teil der gesamthaft notwendigen Energie.
Neben dem ökologischen Aspekt gibt es natürlich auch noch dem ökonomischen Aspekt und nach dem hast du natürlich richtig gehandelt. Deine Stromrechnung wird nun sicher deutlich kleiner ausfallen ;)
Viele Grüsse Marcus
Hallo Marcus,
On 22.07.2016 15:14, Marcus Moeller wrote:
Es geht um die Energie die zur Herstellung eines Gerätes notwendig ist. Dazu kannst du ein Gerät gar nicht lange genug nutzen um diese zu amortisieren. Dabei ist es egal ob es sich um einen Laptop oder einen Desktop handelt. Wenn man nur den aktuellen und zukünftigen Stromverbrauch anschaut, mag deine Rechnung stimmen, berücksichtigt aber nur einen kleinen Teil der gesamthaft notwendigen Energie.
Neben dem ökologischen Aspekt gibt es natürlich auch noch dem ökonomischen Aspekt und nach dem hast du natürlich richtig gehandelt. Deine Stromrechnung wird nun sicher deutlich kleiner ausfallen ;)
Viele Grüsse Marcus
Du scheinst dich mit dem Thema etwas auszukennen. Könntest du ein paar Beispielzahlen nennen, damit ich eine Vorstellung von der Größenordnung bekomme? Also in welchem Bereich wird sich die graue Energie befinden, die ca in einem Raspberry Pi steckt?
Viele Grüße David
Hi David.
On 22.07.2016 15:14, Marcus Moeller wrote:
Es geht um die Energie die zur Herstellung eines Gerätes notwendig ist. Dazu kannst du ein Gerät gar nicht lange genug nutzen um diese zu amortisieren. Dabei ist es egal ob es sich um einen Laptop oder einen Desktop handelt. Wenn man nur den aktuellen und zukünftigen Stromverbrauch anschaut, mag deine Rechnung stimmen, berücksichtigt aber nur einen kleinen Teil der gesamthaft notwendigen Energie.
Neben dem ökologischen Aspekt gibt es natürlich auch noch dem ökonomischen Aspekt und nach dem hast du natürlich richtig gehandelt. Deine Stromrechnung wird nun sicher deutlich kleiner ausfallen ;)
Viele Grüsse Marcus
Du scheinst dich mit dem Thema etwas auszukennen. Könntest du ein paar Beispielzahlen nennen, damit ich eine Vorstellung von der Größenordnung bekomme? Also in welchem Bereich wird sich die graue Energie befinden, die ca in einem Raspberry Pi steckt?
Das müsste man sich genau anschauen. Eventuell liefert dir die Foundation entsprechende Hinweise.
Anhaltspunkte findest du in der Studie des Bundesumweltamtes: http://www.umweltbundesamt.de/publikationen/zeitlich-optimierter-ersatz-eine...
Viele Grüsse Marcus
Hallo,
Das EOMA68 -Projekt hat Devuan erfolgreich installiert und wird wohl auch eine Karte anbieten, auf dem das vorinstalliert ist. Das ist jetzt neben Debian, Parabola, and Fedora 24 die 4. GNU/Linux-Variante, die darauf läuft.
https://www.crowdsupply.com/eoma68/micro-desktop/updates/devuan-demo?utm_sou...
#eoma #freehardware #freesoftware #freiesoftware
Gruß
Wolfgang