web-dev-qa-db-ja.com

チップセットのクローズドソースバイナリBLOB-プライバシーの脅威?

私は Librem Purism 1 を購入したかったのは、自分のプライバシーに関心があり、一般的にラップトップでLinuxをテストしたかったからです。

ただし、 binary blobs を含むIntel i5プロセッサーを使用しているため、これは推奨されません。私が理解しているところによると、バイナリblobは読み取ることができないコードの一部であり、あなたはそれらが何をするか本当にわかりません。たとえば、コンピュータで実行していることを抽出して、この情報をどこかに送信することができます。

これは可能ですか?可能であれば、どれくらいのリスクがありますか?最近のほとんどすべてのコンピュータが侵害されているのではないでしょうか?バイナリブロブを含まない完全にオープンソースのラップトップはありますか?

60
user113581

概要:

おそらくいくつかのBSマーケティングが行われていますが、全体としては、プライバシーを尊重できるラップトップを作成できる可能性があります。他の回答は、100%libreハードウェアを支持してIntelチップを回避するプライバシー重視のラップトップの他のブランドについて言及していますが、そうすることで大きなパフォーマンスとコストの打撃を受けます。まあ、Intelには理由があります。


誰を信頼しますか?

手斧で森に出て、自分で人生を築かない限り、somebodyに信頼を置く必要があります。彼らのページの説明に基づいて、Purismという会社は信頼を置くのに適したグループのように見えます(すでにラップトップの購入を検討している場合は、これに満足しているようです)。彼らは明らかにプライバシーに関してコンポーネントサプライヤーに多くの精査をしました。もちろん、それがすべてのB *** S *** tマーケティングであるとは限りません。これを確実に知る方法はありません。 (これについて詳しくは、下部にある「追加の考え」を参照してください。)

Intel

バイナリblobとIntelに関しては、これは実際にあなたが理解するよりも深い質問です。 「バイナリBLOB」とは、バイナリ(実行可能)形式で提供されるソフトウェアを指しますが、ソースコードにアクセスしたり、ソースコードを検査したりすることはできません。インテルはハードウェアメーカーです。そのため、ソフトウェアのバイナリblobがいくつかある場合がありますが、デザインにアクセスできないチップ形式で提供されるハードウェアはどうですか? IntelがPurismにi5ボード上のすべてのチップの青写真を検査することを許可したと思いますか?もちろん、それは数十億ドル相当の知的財産です。

インテル、プライバシー、ブラックボックスハードウェアに関するこの議論は、現在、インテルの RdRand 命令-マザーボード上のインテルハードウェアRNGチップから乱数を取得するためのアセンブリ命令で話題になっています。私は最近暗号化会議に参加していて、RdRandチップの設計者の1人が他の参加者と次のような議論をするのを耳にしました。

参加者:「RdRandはブラックボックスチップです。セキュリティ監査のためにソースデザインをリリースしますか?」

インテルエンジニア:「いいえ、もちろん、それは保護された知的財産です。」

参加者:「インテルはアメリカの会社です。アメリカ政府がバックドアを含めることを強制していないことをどうやって知ることができますか?」

インテルエンジニア:「まあ、私はあなたにそれを証明することはできないと思いますが、私はそれを設計し、何もないことを保証できます」

参加者:「それが十分でない場合は、ご容赦ください。ソフトウェアで乱数を続けます。」

インテルエンジニア:「あなたの損失だと思います。」

それで、私たちはそれらを信頼すべきですか?

結局のところ、森に住んでいない限り、誰かを信頼する必要があります。個人的には、インテルコーポレーションは非常にセキュリティを意識していると思います-それらとの複数の暗号化会議に参加しており、それらはアメリカの法律の下にありますが(私はアメリカのBTWではありません)、少なくとも他のクローズドソースと同じくらい信頼できると思いますハードウェアベンダー。 Ken Thompsonの1984年の論文「Reflections on Trusting Trust」 は、トロイの木馬がコンパイラレベルで検出するのがほとんど不可能であることを示しているため、検査されたオープンソースコードでもトロイの木馬が含まれていないとは限りません。 。

結局のところ、コードではなく人々を信頼する必要があります。インテルを信頼していますか? Purismがサプライヤーと同様にサプライヤーを精査していると信頼していますか? 100%確実に安全なものはありませんが、Purismの製品は、Best Buyの標準的なラップトップよりも確かに優れています。

追加の考え:

Purism Libremの製品ページには次のように書かれています。

プライバシー、セキュリティ、自由に対する権利を尊重するために、チップごと、ラインごとに設計された美しいラップトップへようこそ。

"行ごと" ....そうです。 Linuxカーネル自体は約 1600万行 です。 Libremには、DebianベースのPureOSまたはQubes OSが同梱されており、どちらにも数千万行以上、ブートローダーとファームウェア、およびDebianリポジトリ内のすべてのアプリが含まれます。 Purismの6人の開発者 がコードのすべての1行を個人的に調べた 狡猾でキャッチが困難なバックドア だと信じてほしいまた、 自己複製型トロイの木馬 を探すために使用されるすべてのコンパイラも検査しましたか?お願いします。熱狂的なマーケティング。

とはいえ、Ken Thompsonの「コードではなく作者を信頼する」という哲学を受け入れ、Debian開発者とIntelエンジニア(私は便宜上それらを信頼することにしました)を信頼し、Purismが「コードではなく人々を信頼する」という哲学を適切に適用すれば、おそらく大丈夫です。

86
Mike Ounsworth

はい。バイナリblobは、監査できない他の独自のソフトウェアと同様に、セキュリティリスクです。私は、プロプライエタリソフトウェアを使用するすべてのシステムを「侵害された」とは言いませんが、そのようなシステムを信頼できるのは、システムを販売する人々を信頼する場合と同じです。

その純粋主義のことに関しては、私は他のどのラップトップよりも彼らを信用しません。彼らの [〜#〜] faq [〜#〜] 状態:

Purismは、ブートローダー、カーネル、オペレーティングシステム、およびソフトウェアのすべてのソフトウェアにソースコードを提供し、それらのいずれにもバイナリBLOBを含めません。人々はすべてのコード行を安全に検証できます。

しかし、上記のステートメントとは逆に、バイナリBLOBを使用しているようです。バイナリblobなしで使用できるハードウェアを具体的に対象とするlibrebootプロジェクト writes

Purism Libremラップトップはサポートされますか? #librem

おそらく違います。これらのラップトップには、使用するIntelチップセットが原因で、プライバシー、セキュリティ、および自由に関する問題がいくつかあります。 #intelを参照してください。置き換えられない署名済みのプロプライエタリBLOBがあります(例:Intel Management EngineおよびCPUマイクロコードの更新)。ハードウェアの初期化全体に独自のIntel FSP blobを使用しますが、Intelはソースコードを提供しません。ビデオBIOS(グラフィックスハードウェアの初期化ファームウェア)も独自仕様です。 librebootプロジェクトは、このハードウェアを完全に回避することを推奨しています。

私は明らかに、プライバシーを保護するために追加のお金を要求するプロジェクトから、より透明性を期待します。

25

バイナリblobは潜在的なセキュリティ脅威をもたらしますか?

つまり、はい。

バイナリblobは、定義上、監査可能ではありません(拡張リバースエンジニアリングを除く)。あなたは彼らが何をしているか、そして彼らがバックドアを持っているかどうか正確に知りません。

私が強調したい特定のバイナリblobは Intel Management Engine (およびAMDの同等のPlatform Security Processor)にあるものです。これは、CPUとメインメモリに直接接続されたプロセッサで実行されるblobです。 OS、ハードウェア、および コンピューターの電源がオフになっているが電源が入っている間はオンのまま に完全にアクセスできます。

ネットワークハードウェアに直接アクセスし、インテル(おそらく)のみが持つキーで暗号化されたチャネルを介してインテルサーバーと通信することにより、インターネット経由でBIOS管理、マイクロコードの更新などを可能にするため、リモートバックドアです。ほとんどの新しいCPUでは無効にできません。

「ハードウェアの開発者を信頼できない場合、物理的なセキュリティがなく、とにかく困っています」と言うこともできますが、なぜあなたが知っているハードウェアは、インテルとアメリカ政府が使用できるバックドアを備えているのでしょうか。いつの日か他人に悪用される可能性がありますか?

最近のすべてのコンピュータはこれによって危険にさらされていますか?

はい。すべてのi3、i5、およびi7プロセッサーがそうです。すべての最新のIntelプロセッサ。すべての最新のAMDプロセッサ。包絡線計算では、少なくとも3億台のアクティブなコンピューターがあることがわかります(Wikipediaによると、先進国ではインターネット上に約4億3300万台のコンピューターが存在します)。

私はあなたのことは知りませんが、これは非常に不安です。

インテルマネジメントエンジンで最初にエクスプロイトを見つけた人は、数千から数億のオーダーでエクスプロイトを販売するか、1日に数千または数億のコンピューターを侵害することができます。

Libremはプライバシーとセキュリティのための良い選択ですか?

いいえ。IntelMEやその他の非ナイスなものが付属しています(BIOSはblob、マイクロコードのアップグレードは署名済みblobとして提供されるため(独自のものを使用できません)、ビデオBIOSはblobです)。ニースのハードウェアキルスイッチがありますが、外部ネットワークドングルとカメラのテープで置き換えることができます。

OSは問題ありませんが、たとえばKubuntuや他のユーザーフレンドリーなUbuntu/Debian/Archディストリビューションよりも優れている点はわかりません。これは、どのラップトップにも簡単にインストールできます(ただし、ハードウェアサポートは異なる場合があります)少し、Googleの「Linuxに最適なラップトップ」には、これについて非常にアクセスしやすいガイドがあるようです。

Redditの人は Libremラップトップの完全な内訳 を持っています。非常に明確な概要を提供していると思いました。

ラップトップにバイナリBLOBがないものはありますか?

はい、すべてのFSF認定ラップトップ。 Libreboot T400は、3の中で最高のスペックを備えたものです。はい、FSF認定のラップトップはほとんどありません。完全なリスト こちら です。

もう1つの場所は サポートされているLibrebootハードウェア のリストですが、独自のブートローダーをフラッシュして、ラップトップの他のファームウェアを自分で処理する必要があります。

個人的には、プライバシーを重視するラップトップの場合は Libreboot X2 または Libreboot T4 を検討することをお勧めします。 Librebootの主な貢献者であるLeah WoodsをフィーチャーしているThe Freedom of Freedom Ltdによって作成されました。

これら2つは、バイナリblobを使用しないラップトップLibrebootを実行します(Librebootは、コアブートのデブロブされたディストリビューションです)。実際、これらのラップトップはバイナリblobをまったく備えておらず、独自のファームウェアのビルドとフラッシュに関する指示が付属しています。

すべてのファームウェアの完全なソースが付属し、ネットワークとカメラ/マイク用のハードウェアキルスイッチがあることに加えて、完全に無効化されたIntel ME(管理エンジン)を備えています。

あなたはあなたのお金のためにはるかに少ないパフォーマンス(Core2Quadにアップグレード可能なIntel Core2Duo)を手に入れますが、それはすべてのプライバシーと自由のままの箱を刻む利用可能な唯一のオプションの1つです。

16
Willem

バイナリBLOBは、デバイスを機能させるためにデバイスに送信する必要があるが、検査または変更できないコードです。彼らはあなたのプライバシーよりあなたの法的自由への脅威の多くです。 Intelチップの場合、フリーでないBIOSを含める必要があるため、フリーソフトウェアのBIOSを作成することはできません。

バイナリblobにより、チップはコードのストレージをソフトウェアにアウトソーシングできます。代わりの方法は、そのビルトインフラッシュメモリなどに(まだフリーではない)コードを配置することです。もちろん、高価なCPUダイはフラッシュメモリを配置するための恐ろしい場所です。そのため、チップを必要とするときに、それを省略してブロブを送信するだけで済む場合は、キャッシュを節約できます。

組み込みストレージで成功したチップでも、ブロブを備えたチップとまったく同じように潜在的に侵襲的な機能を実行できることに注意してください。この問題は、チップを使用するためにBLOBに触れることを余儀なくされ、BLOBの非フリーライセンスでフリーソフトウェアを汚染するという点で、より正当な問題です。

8
Reid Rankin

私はたまたま32c3カンファレンスの講演を見ていましたが、ハードウェアセキュリティに夢中になっている間は、少なくとも2つの講演がチップセットバイナリBLOBのトピックに触れています。どちらも回答に追加される場合があります。

これは、Qubes OSプロジェクトのJoanna Rutkowskaによるもので、インテルMEおよびSMMテクノロジーとセキュリティの懸念について詳細に説明しています。また、さまざまなチップセットが実際に何をしているかにアクセスして分析するための可能な方法についても説明します。

https://www.youtube.com/watch?v=H6bJ5b8Dgoc

もう1つはハードウェアとチップの設計に関するもので、AMDチップデザイナーのDavid Kaplanによるもので、コードへの署名について触れています。最後のQ&Aセッションでは、関連する幅広い関心のあるポイントがいくつか言及されています。たとえば、署名チェックを可能にするために公開鍵がCPUに設計されているという事実に言及しています。セッション全体が面白いです。 Q&Aは前四半期に始まります。オンCPUメモリのプログラム可能な部分については46:42で説明されており、マイクロコードの更新については48:38で説明されています。

https://www.youtube.com/watch?v=eDmv0sDB1Ak

3
raddaqii

I5にスパイルーチンがいくつか含まれていて、「情報を収集」しているとしましょう。それでも、脅威をもたらすためにはデータを取り出す必要があります。データを取得するための唯一の実用的な方法はIP経由です。IPは簡単に検出、分析、ブロックできます。より偏執的な見方をすると、RF blobによって偽造された信号がシステムから漏れている可能性があり、アンテナによって拾われる可能性がありますが、それは---に似ていますジェームズ・ボンド-レベルよりfacebook-レベルのプライバシー問題。

1
multia

私はまだコメントできないので、この件に関する別の answer を以下に示します。

完全自動管理 Intel vProプロセッサ上のIntel Active Management Technology

コンピュータの電源状態に関係なく、ソフトウェアとファームウェアをダウンロードして更新する機能を含め、システムのほぼすべての側面をリモートで制御および変更できます。

コンシューマーコンピューターには、コンピューターの電源がオフになっているように見えるときにインターネットに接続できるコンポーネントが含まれていますか?

1
Anatol Bran