Aktuelle Hardware für Desktop-PC mit Coreboot?

[gehrke]

Moin *,

ich habe mir in den letzten Tagen UEFI etwas genauer angesehen. Das möchte ich nicht für meine Systeme!

Auf der Suche nach Alternativen bin ich über Coreboot gestolpert. Die Liste der supporteten Hardware im dortigen Wiki ist sehr dünn und scheinbar gibt es ja auch noch Bestrebungen von Intel, diese Technologie noch weiter auszubremsen:
http://www.heise.de/open/meldung/Firmwa ... 65884.html

Ich erwäge, einen Desktop in der groben Leistungsklasse i5, 4 Kerne, VT-x, Gigabit-LAN, Onboard-Grafik anzuschaffen. Darauf sollten Linuxe und Windows7 nativ in einer Multi-Boot-Konfiguration mit GRUB2 laufen.

Kann jemand ein passendes Board mit Coreboot empfehlen?
Gibt es Händler in Deutschland, die solche Systeme fertig ausliefern?
Hat jemand praktische Erfahrungen mit Coreboot oder sonstige Hinweise oder Alternativen dazu?
Gibt es klassische Probleme, die damit immer wieder auftreten?


Danke vorweg schon mal für Eure Antworten.

cu, gehrke

[Mounty]

Moin, moin!

Also ich habe gerade in den Rechner meiner Tochter ein ASUS H97-Pro Sockel 1150 Mainboard eingebaut, im BIOS unter Booten "anderes Betriebssystem" eingestellt und beide Betriebsysteme installiert. Nix mit UEFI.

Also es gibt noch (viele (andere)) Mainboards bei dem man den UEFI-Modus abschalten kann.

Gruß
Mounty

[smutbert]

Ganz so ist es nicht: Das UEFI ist schließlich eine Alternative zum klassischen BIOS und das lässt sich normalerweise nicht abschalten.
Man kann aber auf so gut wie allen UEFI-Systemen mit Hilfe einer BIOS-Emulation, dem sogenannten Compatibility Support Module starten, das Teil der meisten UEFI-Implementationen ist.

Wenn ich mir die Liste der von Coreboot unterstützten Hardware ansehe, was ich aus Interesse schon ein paar Mal getan habe, dann habe ich nicht den Eindruck, dass hier Intel oder andere Hersteller einer freien Software den Gar aus macht, die eigentlich schon dabei war sich durchzusetzen.
(Damit meine ich, dass ich auch vor dem Durchbruch von UEFI, noch nie ein interessantes Mainboardmodell auf dieser Liste gefunden habe, es aber andererseits durchaus für begrüßenswert halte, wenn man nicht einfach unbemerkt die Firmware manipulieren kann.)

[gehrke]

Vielen Dank, aber das ist nicht das, was ich mir wünsche.

Wie smutbert schon richtig schreibt, CSM steht für 'Compatibility Support Module' und ist ein Modul von UEFI, um das alte BIOS zu emulieren. Zur Ausführung kommt unten drunter trotzdem UEFI, auch wenn es für die Anwender und die Betriebssysteme anders aussieht. Nur weil man es nicht mehr sieht, ist es nicht weg...

[smutbert]

Was stört dich eigentlich am UEFI. Ich sehe gegenüber einem klassischen closed-source BIOS bis jetzt eigentlich keine Nachteile (aber durchaus Vorteile) und andere Lösungen, wie Coreboot waren für mich leider (!) noch nie eine Alternative.

[gehrke]

Zugrunde liegen hauptsächlich sicherheitstechnische Erwägungen. Ich habe das schon an anderer Stelle zusammengefasst. Bitte verzeiht, wenn ich das hier einfach nur zitiere:

Eine UEFI-Implementierung bietet eine vergleichsweise mächtige Software-Schicht, welche noch unterhalb des eigentlichen Betriebssystems liegt - inklusive vollwertigem Netzwerkstack. Aufgrund dieser Mächtigkeit könnte man von einem Betriebssystem unter dem eigentlichen Betriebssystem sprechen. Dadurch ist es prinzipiell möglich, sämtliche Schutzmechanismen jedes beliebigen Betriebssystems ad absurdum zu führen, weil sie auf Ebene von UEFI umgebogen werden könnten, ohne dass das eigentliche Betriebssystem davon etwas mitbekommt.

Solche Angriffsszenarien scheinen grundsätzlich möglich und sie könnten von unterschiedlicher Seite erfolgen. Gegen Angriffe von 'normaler' krimineller Seite könnte SecureBoot einen gewissen Schutz bieten. Wenn der Angreifer aber auf welchem Wege auch immer einen passenden Schlüssel besitzt, dann dürfte SecureBoot hier keine Hilfe für den Besitzer/Anwender dieses Computers darstellen.

Die UEFI-Implementierung kommt in der Regel vom Hardware-Hersteller und ist als Closed-Source-Software einzustufen. Es besteht demnach kaum die Möglichkeit, diese Software kritisch zu überprüfen.

Siehe auch: https://de.wikipedia.org/wiki/Unified_E ... ace#Kritik

Schadsoftware, die auf dieser Basis erfolgreich im System verankert wurde, wird unabhängig von jedem Betriebssystem sein und wird auch nicht durch Neuinstallation eines Betriebssystems entfernt werden können. UEFI bietet hiermit eine ideale Voraussetzung für den Bau eines Rootkits, mit welchem über die gesamte Laufzeit der Hardware die betreffenden Computer von fremder Seite kontrolliert werden können und welches für jedes Betriebssystem unsichtbar bleibt.

Siehe auch: https://de.wikipedia.org/wiki/Rootkit

In Anbetracht einer zukünftigen massenhaften Verbreitung sind damit auch Szenarien der absoluten Überwachung denkbar, gegen die sich der Anwender bzw. Besitzer der Hardware nicht wehren kann und die er auch nur sehr schwer entdecken wird.

http://www.heise.de/newsticker/meldung/ ... 29297.html
http://www.heise.de/newsticker/meldung/ ... 30455.html Kommentar von Christof Windeck

http://forum.mosnis.de/viewtopic.php?f= ... p=205#p205

Was nutzt es mir, wenn ich meine Festplatten mit LUKS verschlüssele und mich bemühe, das laufende Debian sauber zu halten, wenn doch ein Angreifer darunter freien Zugriff auf das System hat und den LUKS-Key einfach aus dem RAM fischen und per Netzwerk an interessierte Stellen liefern kann? Wofür sollte ich noch Tails einsetzen, wenn schon darunter sämtliche Anonymisierungsmaßnahmen ausgehebelt werden können? Die Liste ließe sich endlos fortsetzen.

Ich halte UEFI für einen falschen Weg und möchte mich in diesem Thread nach Alternativen erkundigen.

[hikaru]

Kann jemand ein passendes Board mit Coreboot empfehlen?

Ist das so eine ähnliche Überlegung wie aus Prinzip keinen Rechner mit vorinstalliertem Windows zu kaufen oder möchtest du wirklich aus deinem Sicherheitsbedürfnis heraus ein Board mit Coreboot kaufen?
Falls Ersteres, dann habe ich nichts gesagt. Falls Letzteres, dann halte ich dein Vorhaben für kurzsichtig. Woher weißt du, dass das vorinstallierte Coreboot nicht kompromittiert ist?
Wenn du aus Sicherheitsgründen Coreboot haben willst, dann solltest du es auch selbst flashen und dann ist es zumindest aus technischer Sicht egal ob das Board schon mit Coreboot (aus unbekannter Quelle) oder mit einem proprietären BIOS bei dir ankam.

[gehrke]

Woher weißt du, dass das vorinstallierte Coreboot nicht kompromittiert ist?
Wenn du aus Sicherheitsgründen Coreboot haben willst, dann solltest du es auch selbst flashen und dann ist es zumindest aus technischer Sicht egal ob das Board schon mit Coreboot (aus unbekannter Quelle) oder mit einem proprietären BIOS bei dir ankam.

Damit beziehst Du dich auf meine Frage nach den 'Händlern, die solche Systeme fertig ausliefern'?
Du hast natürlich Recht, selbst flashen ist dann sicherlich angebracht. Obige Frage hat den Hintergrund, dass ich erst mal Erfahrungen damit sammeln muss und man auf diesem Wege etwas leichter vorankommt. Der Weg ist dann zwar noch genau so weit, aber die einzelnen Schritte sind kleiner.
Allein schon ein solches System in seinen Komponenten auszuwählen dürfte eine Herausforderung sein, bei der ich gern auf die Erfahrungen anderer zurückgreifen würde.

[hikaru]

Es gibt einen britischen Shop der Thinkpads X200 mit Libreboot anbietet. [1]
Dort gibt es auch die Option, sich bestimmte eingeschickte Thinkpads flashen zu lassen.

[1] http://shop.gluglug.org.uk/product/libreboot-x200/

[schwedenmann]

Hallo

http://www.coreboot.org/Supported_Mothe ... rkstations

Wenn du dir die Liste der MB bei coreboot anschaust, wirst du absolut kein aktuelles Mainboard am3 am3+ oder 1155, etc finden , das unetrstützt wird, in der Liste ist bei am3 Schluß, wobei ich jetzt sogar glaube das das ein am2+ Board ist.

Spalte status: latest known good ist zu 90% rot = unknown

Wenn über haupt, dann am2 , 939 und noch ältere boards.

mfg
schwedenmann

[gehrke]

@hikaru: Leider brauche ich einen Desktop.

Wenn du dir die Liste der MB bei coreboot anschaust, wirst du absolut kein aktuelles Mainboard[...]
Spalte status: latest known good ist zu 90% rot = unknown

Das ist genau das was ich eingangs meinte:

[...]Die Liste der supporteten Hardware im dortigen Wiki ist sehr dünn[...]

Evtl. geht das hier: http://www.phoronix.com/scan.php?page=n ... px=MTg1MTM
Das Board GIGABYTE GA-B75M-D3H scheint noch einigermaßen aktuell. Es ist in dem Wiki aber als 'Unknown' markiert, dementsprechend scheint mir entweder das Wiki nicht gut gepflegt oder der Typ bei Phoronix schreibt Unsinn. Oder ich verstehe noch was falsch...

TNX

[schwedenmann]

Hallo


siehe hier:Remaining Issues:

1. Native raminit sometimes fails with "timC write discovery failed"
even without changing the ram configuration. I suggest
altering the native raminit code so that it reboots
if that message appears to give a chance for the
boot process to recover.

Aus dem verlinkten Artikel zum board.
Was willst du mit so einem Mistr anfangen
Beten und bei jedem Booten die Fingerkreuzten, das der RAM korrekt initialisiert wird ?

Funktionierende Hardware stelle ich mir anders vor.

Außerdem mußt du ja selbst flashen, aus Sicherheitsgründen, sonst kanst du auch UEFI nehmen, was ja schon angesprochen wurde (ergo Hardware fürs flashen kaufen), was in meinen Augen
den aufwand zum Gewinn an Sicherheit nicht aufwiegt.

mfg
schwedenmann

[gehrke]

Aus dem verlinkten Artikel zum board.
Was willst du mit so einem Mistr anfangen
Beten und bei jedem Booten die Fingerkreuzten, das der RAM korrekt initialisiert wird ?

Funktionierende Hardware stelle ich mir anders vor.

Touché. Dann dürfte das der Grund sein, warum das Board im Wiki auf rot steht. Sehr unschön...

(ergo Hardware fürs flashen kaufen)

Hier bin ich bislang vollkommen unbedarft. Diesen Prozess des Flashens habe ich mir noch nicht angesehen und weiß derzeit noch nicht, welche Hardware dafür benötigt wird. Das hatte ich bislang noch gar nicht auf dem Plan. Auch das Risiko, dabei die Hardware kaputt zu machen, kann ich derzeit mangels Erfahrung nicht einschätzen.

Aus diesen Gründen suche ich ja Kontakt zu Leuten, die damit schon Erfahrung haben.
TNX

[hikaru]

Hier bin ich bislang vollkommen unbedarft. Diesen Prozess des Flashens habe ich mir noch nicht angesehen und weiß derzeit noch nicht, welche Hardware dafür benötigt wird. Das hatte ich bislang noch gar nicht auf dem Plan. Auch das Risiko, dabei die Hardware kaputt zu machen, kann ich derzeit mangels Erfahrung nicht einschätzen.

Dann solltest du das als erstes angehen, denn um's selbst Flashen wirst du nicht drumrum kommen wenn es dir ernst ist.

[ulliroyal]

flashen.

ich las flashrom sei da die Wollmilchsau..., bin aber auch noch in der Findungsphase.

Alles sehr kryptisch, was google zum Thema coreboot ausspuckt.

[lnbb]

Hallo,

ich habe mir das GA-B75M-D3H vor einiger Zeit gekauft um Coreboot zu flashen. Das Kompilieren hat wie im Build HOWTO beschrieben funktioniert. Grundsätzlich wählt man seinen Hersteller und Mainboard aus, anschließend die Chipgröße (hier 8MB).

Das größte Problem beim Flashen scheint der Intel Firmware Descriptor (IFD) zu sein. Dieser gibt an, welche Firmware sich noch auf dem Flash-Chip neben dem BIOS befindet. Wenn man diese nun fälschlicherweise überschreibt oder sich nicht an das IFD hält, dann kann das Board nicht booten.

Das aktuelle Flashrom kann ein IFD-Layout-File einlesen, um korrekt zu flashen. Dieses kann man wohl mit dem ifdtool von coreboot und einem dump des proprietären BIOS erstellen. Es gibt aber auch einen Patch für Flashrom, mit dem Flashrom den IFD direkt vor dem flashen selbst auslesen kann.

Mein Board ließ sich leider trotz allem nicht booten. Woran es liegt konnte ich noch nicht herausfinden. Zum Glück hat das Board ein Dual-BIOS, d.h. es ist immer eine Kopie des Original-BIOS in einem Backupchip verfügbar, das auf den Hauptchip übertragen wird, sobald das BIOS nicht bootet.

Leider scheint das Coreboot-Image das ich geflasht hatte doch so halb funktioniert zu haben, zumindest so weit, dass das Mainboard nicht das BIOS aus dem Backup-Chip gestartet hat. Hilfreich ist hier ein "SOIC8 test clip", den man von oben auf den Chip steckt und dann an die Pins kommt. Hier muss man dann Pin 4 und Pin 7 kurzschließen (soweit ich das Datenblatt noch im Kopf habe), damit der Chip nicht angesprochen werden kann. Erst jetzt hat das Mainboard vom Backup-BIOS gebootet und den Hauptchip neu beschrieben.

Seitdem fahre ich mit dem Original-BIOS. Wenn ich mal wieder etwas Zeit übrig habe werde ich es ggf. nochmals versuchen. Ich hab mich auch noch nicht mit den Problemen auf Coreboot Mailingliste gemeldet.