Door Bartbartbart: Ik had duidelijk wat dieper moeten kijken. Dat klinkt zeer goed, al heb ik mijn vraagtekens nog bij dat Coreboot. Dat is een bios. Heeft dat op het allerlaagste niveau besturing over de CPU of blijven Intel CPUs ook igv andere biossen onderhevig aan dergelijke exploits?
Coreboot (www.coreboot.org) is een miniatuur besturingssysteempje. Het vervangt de standaard in de CPUs van desktops en laptops ingebakken BIOS/UEFI firmware. Coreboot draait op de blote hardware. Daarmee heeft Coreboot op het laagste niveau sturing over de CPU en de rest het moederbord. De grafische GPU valt daar in dit kader buiten.
Met dit verschil Coreboot veel kleiner dan de legacy BIOS/UEFI firmware en grotendeels open source is. En dan moet je denken aan: microcode, assemblercode en hooguit een paar dozijn regels C. Dat vergt een hoog abstractie vermogen. Een redelijk snelle laptop start daarmee in amper 9 seconden op en ontwaakt uit zijn slaap in een wenk.
Om Coreboot onder Intel aan de praat te krijgen, zijn/waren echter nog steeds een stel closed source binary "blobs" vereist, onleesbare bestanden (soms van een megabyte), die chip fabrikanten om redenen van veiligheid, concurrentie overwegingen of van staatswege vereisen. AMD heeft/had eenzelfde probleem.
Vrijwel geen normale sterveling weet wat die blobs eigenlijk precies uitvoeren. Een er van bestaat in ieder geval uit een cryptografische sleutel, die een bescherming biedt tegen een vervalsing van het BIOS en corruptie van die firmware door malware. Tenminste, dat zou het geval moeten zijn.
Er zijn daarnaast wel andere, wel geheel vrije varianten van Coreboot, zoals "Libreboot", dat wordt genoemd bij het FSF.org "Respects Your Freedom" (RYF) Certification project. Er moeten nog een paar andere vage open alternatieven van Coreboot zijn, maar daar ben ik even het zicht op kwijt.
De ontwikkelaars van de Purism Librem hardware, waarop hun PureOS draait, claimen nu eveneens een geheel open source versie van Coreboot te hebben ontwikkeld. Een Coreboot versie die de anders noodzakelijke geheime Intel ME modules niet nodig heeft om de werking van de gebruikte Intel chips toch goed op te starten.
Er is echter een praktisch probleem, voor een EU ingezetene. Niet alleen de tamelijk hoge kosten, maar ook het feit dat die Librem handel via de douane uit de Verenigde Staten moet worden geimporteerd. Dat vormt een dilemma. Zat die firma op IJsland of Zwitserland, dan wist ik het wel: dat zal ik al in het vliegtuig of op de trein. Dus wat is het betere alternatief?
In plaats van PureOS te gebruiken kun je ook gewoon zelf een Debian GNU/SELinux systeem bouwen. Met Gnome 3 onder Wayland als display manager plus de nodige security mods. Dan heb je een heel mooi systeem. Dat is niet zo moeilijk te bouwen. Zelf zou ik daar voor gaan. Dan heb je wereldwijd bechikbare repositories en een academische backup.
Mocht de SELinux kernel onder Debian zelf configuren veel te moeilijk gaan uitpakken, dan kun je altijd teruggrijpen op een generieke Linux kernel plus AppArmor in plaats van SE. Dat is waartoe ze bij Canonical Ltd. bij de ontwikkeling van Ubuntu LTS tot toe besloten hebben (Ubuntu is op Debian gebaseerd en PureOS ook, vandaar).
Idealiter draai je Debian dan op een 64-bits AMD hardware variant, waarop Coreboot reeds staat voorgeinstalleerd: dat spul voor laptops voor industriele doeleinden. Dat schiet een eind op, maar dan heb je mogelijk een expert nodig om dat type AMD hardware alsnog van de nodige geheimzinnigheden te ontdoen. Het is en blijf een heel gedoe.
Als je daarentegen met hedendaagse goedkope Intel laptop of Chromebook hardware zit opgescheept, dan hun je een poging doen om het BIOS/UEFI door een open source van Coreboot variant te vervangen. Met het risico dat je mooie hardware "bricked", wordt molesteert. Dat was dan een heel erg dure laptop.
De standaard op Intel ingebakken BIOS/UEFI firmware zelf thuis even door Coreboot vervangen is nog niet zo eenvoudig, vanwege de vele verschillen in hardware componenten, het oerwoud aan drivers en de restricties die Intel en de andere fabrikanten van geheugenchips en hardware opwerpen. Maar het kan gedaan worden.
https://www.fsf.org/campaigns/free-bios.htmlMocht je daar wel in slagen, en als je vervolgens zelf hardware aan/uit schakelaartjes in je laptop bouwt, dan ben je al een heel eind op weg om een Doe-Het-Zelf variant van een Librem te bouwen :-) Is het dan allemaal is gelukt, vergeet dan niet de hardware write protection weer vast te schroeven, want anders is het misschien allemaal voor niets geweest.