Bitfrost
Bitfrost ist die Sicherheitsplattform des 100-Dollar-Laptops für Kinder in Entwicklungsländern. Die erste öffentliche Spezifikation wurde im Februar 2007 veröffentlicht.
Bitfrost-Architektur
Die Bitfrost-Architektur wurde maßgeblich durch Ivan Krstic, bis 2008 ein Projektteilnehmer bei One Laptop per Child, der seit 11. Mai 2009 für Apple arbeitet, ausgearbeitet. Sie enthält nach eigenen Angaben in der Fachliteratur bekannte Konzepte. Als Weiterentwicklung ist jedoch die Verbindung dieser bisher separaten Konzepte zu einem funktionierenden Gesamtsystem anzusehen. Diese neuartige Verbindung der Sicherheitskonzepte soll ein bisher nicht erreichtes Niveau an Computer-Sicherheit geben.
Das Konzept ist derzeit nur zum Teil im XO-Laptop realisiert und unterliegt daher noch Veränderungen.
Passwörter
Nach dem Bitfrost-Konzept soll keine Eingabe von Passwörter erfolgen, um auf den Computer oder Inhalte zuzugreifen. Aus bisheriger Erfahrung ist bekannt, dass der typische Nutzer entweder unsichere Passwörter verwendet, die von einem Angreifer leicht erraten werden können, zum anderen ist ein Passwortsystem für Kleinkinder, die ggf. noch Analphabeten sind, nicht verwendbar.
Ziel ist es, Sicherheitsabfragen auf ein Minimum zu reduzieren. Das System soll selbst die Gefährlichkeit im Hintergrund einschätzen und sich gegebenenfalls entscheiden. Dies soll durch ein schlüssiges Konzept erreicht werden. Soweit ausnahmsweise der Benutzer selbst entscheiden muss, sollen die Dialoge verständlich formuliert und auf eine einfache Ja/Nein-Entscheidung reduziert werden. Ziel des Konzeptes ist es, den Benutzer so weit wie möglich zu entlasten.
Individualisierung des Laptops
Um Kindern die Benutzung zu sichern, wird der Laptop für eine bestimmte Person individualisiert. Dazu wird vor Übergabe an den Schüler, beim ersten Start des Laptops, von dem Schüler mittels der eingebauten Videokamera ein digitales Bild geschossen und sein Vor- und Nachname durch den Betreuer eingegeben. Zusätzlich wird für diesen Schüler ein digitaler Schlüssel erzeugt, der eine Verbindung zwischen dem Schüler und der MAC-Adresse des Notebooks herstellt.
Bei jedem Neustart wird während des Bootvorgangs das Bild des Schülers und sein Vor- und Nachname angezeigt, verbunden mit dem Hinweis, dass diese Person der berechtigte Nutzer ist. Diese Individualisierung ist fest im Betriebssystem integriert und kann nur über eine digitale Signatur eines besonders Berechtigten rückgängig gemacht werden. Eine komplette Neuinstallation des Betriebssystems mit Überschreibung der Personendaten ist ebenfalls erst nach Eingabe der digitalen Signatur möglich.
Diebstahlsicherung
Jeder Laptop überprüft in gewissen Zeitabständen seinen Status gegenüber einem Server. Ist ein Laptop als gestohlen gemeldet, so wird in einer Datenbank der Laptop als gestohlen eingetragen. Ergibt die Überprüfung, dass es sich um einen gestohlenen Laptop handelt, schaltet der Laptop sich ab und kann dann nicht mehr aktiviert werden. Diese Sperre kann dann nur noch durch den Berechtigten aufgehoben werden.
Ob bzw. wie häufig eine solche Verlustmeldung überprüft wird, kann durch das jeweilige Einsatzland nach eigenem Ermessen bestimmt werden. Empfohlen wird eine Überprüfung jeweils nach ein bis drei Monaten.
Die Laptops sind für eine Nutzungsdauer von bis zu fünf Jahren bestimmt. Nach Ablauf dieser fünf Jahre wird die Diebstahlsicherung abgeschaltet und eine mögliche Sperre aus dem System gelöscht.
Rechteverwaltung
Bei der Installation werden die benötigten Rechte wie Schreib-, Lesezugriff, Zugriff auf Drucker oder Videokamera gegenüber dem Betriebssystem angemeldet. In der Regel werden die benötigten Rechte während der Installation durch das Programm automatisch angemeldet. Gegebenenfalls kann aber eine Rechteerweiterung oder -einschränkung für ein einzelnes Programm auch nachträglich durch den Benutzer selbst erfolgen. Diese Rechteerweiterung erfolgt dabei über spezielles Menü im Betriebssystem.
Für das installierte Programm wird automatisch eine Sandbox eingerichtet. In dieser abgeschirmten Umgebung soll das laufende Programm nicht mehr oder nur sehr eingeschränkt das Betriebssystem schädigen können. Ebenso hat das Programm keinen unkontrollierten Zugriff auf das Betriebssystem, um sich selbst heimlich Zugriffs- und Nutzungsrechte zuweisen zu lassen.
Standardmäßig verbietet das System gewisse Kombinationen von Zugriffen, zum Beispiel Zugriff auf die Videokamera und das Internet. Dies soll dem Schutz der Privatsphäre des Nutzers dienen. Ausnahmsweise können aber auch problematische Kombinationen automatisch per Software angemeldet werden. Dabei muss jedoch das Programm und seine Rechteanmeldung von einer autorisierten Stelle digital signiert werden, um Missbrauch zu verhindern.
Systemmodifikationen
Der Benutzer kann das Betriebssystem des Laptops, eine spezielle Version von Fedora-Linux mit der neuen Benutzeroberfläche Sugar, anpassen.
Demgegenüber haben korrumpierte Anwendungen oder gar Trojaner, die das Betriebssysteme manipulieren wollen, nur begrenzten Zugriff auf die Dateien des Betriebssystems. Jedes laufende Programm wird in eine eigene virtuelle Maschine "eingepackt". Damit hat es keinen uneingeschränkten Zugriff auf die Dateien von GNU/Linux. Zur Laufzeit erhält eine Anwendung nur begrenzt Systemressourcen wie Rechenkapazität oder Hauptspeicher zugewiesen, so dass eine korrumpierte Anwendung das Computersystem nicht "einfrieren" kann. Wird das schädigende Programm beendet, wird auch die virtuelle Maschine gelöscht.
Zum Schutz vor mutwilliger oder versehentlicher Zerstörung der Software durch den Benutzer wird eine Kopie des Betriebssystems und des Softwarepakets als Notfallsystem auf einem nicht veränderbaren Speicherbereich hinterlegt. Nur mittels eines Entwicklerschlüssels kann ein Nutzer die Hintergrundkopie des Systems und das BIOS anpassen. Dieser Entwicklerschlüssel ist nur für eine einzige Maschine gültig.
Dieses Notfallsystem kann bei jedem Neustart des XO-Laptops aktiviert werden, indem beim Bootvorgang eine bestimmte Tastenkombination gedrückt wird. In diesem Fall wird das vorhandene Linux-Betriebssystem mit seinem Softwarepaket durch das unversehrte Notfallsystem ersetzt. Die Nutzerangaben und andere Anpassungen sind dabei schon im Notfallsystem integriert, die persönlichen Daten sind auf einer anderen Speicher-Partition abgelegt und können daher nicht verloren gehen. Die Neuinstallation benötigt ca. zwei bis drei Minuten, anschließend wird die neu installierte Software hochgefahren.
Im Falle eines Fehlschlags der automatischen Notfallprozedur kann neue Software oder eine Kopie des Notfallsystems über einen USB-Stick eingespielt werden. Beim Bootvorgang wird automatisch nach einem solchen externen Notfallsystem gesucht. Wird ein solches gefunden, startet erneut die Notfallprozedur; das auf dem USB-Stick befindliche Notfallsystem wird in den Laptop kopiert. Vorher muss jedoch das externe Notfallsystem seine Integrität und damit seine Virenfreiheit durch digitale Signatur nachweisen.
Mikrophon und Kamera
Die Kamera und das Mikrophon sind fest mit Status-LEDs verdrahtet, so dass der Nutzer immer weiß, ob sie arbeiten. Dies ist nicht per Software steuerbar.
Datensicherung
Datenverlusten soll vorgebeugt werden, indem automatisch bei Kontakt zu einem Server die eigenen Daten automatisch gesichert werden. Die Datensicherung soll dabei hauptsächlich über WLAN und automatisch im Hintergrund erfolgen. Liegt ein Datenverlust auf dem eigenen Laptop vor, sollen beim WLAN-Kontakt zum Backup-Server diese Daten wieder auf den Laptop zurückgeschrieben werden.
Die WLAN-Übertragung erfolgt dabei über abhörsicheres WLAN. Aus Gründen des Datenschutzes wird überlegt, die persönlichen Daten auf dem Server zu verschlüsseln.
Sonstiges
Der Name "Bitfrost" ist eine Anspielung auf Bifröst, in der nordischen Mythologie die Brücke zwischen der Welt der Sterblichen und dem Land der Götter. Die Brücke wurde extrem stabil gebaut, trotzdem wird sie letzten Endes kaputtgehen. Die Brücke ist eine sehr frühe Anerkennung der Idee, dass es kein perfektes Sicherheitssystem gibt.
Aus diesem Grund rief sein Entwickler Ivan Krstic die gesamte Open-Source-Community auf, dieses Konzept auf mögliche Schwachstellen zu prüfen und diese gegebenenfalls über die offizielle Mailingliste zu melden. Mehrere veröffentlichte konzeptionelle Schwachstellen wurden ignoriert; die offizielle Spezifikation[1] ist seit der Veröffentlichung des ersten Entwurfs unverändert.
Quellen
- Ivan Krstic: Änderungsprotokoll der offiziellen Bitfrost-Spezifikation (Memento des Originals vom 16. November 2007 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. Stand 20. November 2008
Weblinks
- OLPC Wiki: Bitfrost (englisch)
- Bitfrost-Spezifikation (englisch), 1. Release vom 7. Februar 2007
- High Security for $100 Laptop (wired.com, Englisch)