(openPR) Berlin, 08.01.2020
Die Nitrokey GmbH bietet ab sofort mit dem NitroPad ein Laptop für hohe Sicherheitsansprüche an. Im Vergleich zu normalen Computern ermöglicht das NitroPad deutlich mehr Kontrolle über die Hardware und Daten, bei gleichzeitig einfacher Bedienbarkeit. So ist das NitroPad beispielsweise besonders stark gegen Manipulationen auf Hardware-Ebene geschützt.
## Vorteile
# Manipulationserkennung durch Measured Boot
Durch die Kombination aus den Open-Source-Lösungen Coreboot, Heads und Nitrokey USB-Hardware ist es möglich, zu überprüfen, ob der Laptop während des Transports oder in Abwesenheit manipuliert wurde (sogenannte Evil-Maid-Attack). Dabei überprüft ein separater Nitokey USB-Schlüssel die Integrität von TPM (Trusted Platform Module), Firmware und Betriebssystem. Nach Anschluss des Nitrokeys an das NitroPad während des Bootvorgangs zeigt eine grüne LED des Nitrokeys an, dass das NitroPad nicht manipuliert wurde. Sollte die LED jedoch einmal rot leuchten, weist dies auf eine Manipulation hin.
# Deaktivierte Intel Management Engine
Verwundbare und proprietäre Low-Level-Hardwareteile sind deaktiviert, um die Hardware robuster gegen fortgeschrittene Angriffe zu machen.
Die Intel Management Engine (ME) ist eine Art separater Computer innerhalb aller modernen Intel-Prozessoren (CPU). Die ME fungiert als Master-Controller für die CPU und hat weitgehenden Zugriff auf den Computer (Systemspeicher, Bildschirm, Tastatur, Netzwerk). Intel kontrolliert den Code der ME und es wurden bereits schwere Schwachstellen in der ME gefunden, die lokale und entfernte Angriffe ermöglichen. Daher kann die ME als Hintertür betrachtet werden und ist im NitroPad deaktiviert.
# Vorinstalliertes Ubuntu Linux mit Festplattenverschlüsselung
NitroPad enthält ein vorinstalliertes Ubuntu Linux 18.04 LTS mit vollständiger Festplattenverschlüsselung. Ubuntu ist eine der beliebtesten, stabilsten und am einfachsten zu bedienenden Linux-Distributionen und erleichtert damit den Umstieg von Windows auf Linux.
# Optional: Vorinstalliertes Qubes OS für höchste Sicherheitsanforderungen
Anstelle von Ubuntu Linux ist das NitroPad mit vorinstalliertem Qubes OS 4.0 und vollständiger Festplattenverschlüsselung erhältlich.
Qubes OS ermöglicht stark abgeschottetes Arbeiten mittels virtueller Maschinen (VM). Für jede Anwendung bzw. jeden Arbeitsbereich startet eine eigene VM. Dieser Ansatz isoliert Anwendungen und Prozesse wesentlich stärker als herkömmliche Betriebssysteme. Qubes OS hält das System sicher, auch wenn eine Schwachstelle in einer der verwendeten Software ausgenutzt wurde. Beispiel: Wenn das PDF-Anzeigeprogramm oder der Webbrowser erfolgreich angegriffen wurde, kann der Angreifer den Rest des Systems nicht kompromittieren und wird ausgesperrt, sobald die VM geschlossen ist.
Zudem können getrennte virtuelle Arbeitsumgebungen verwendet werden, z.B. eine Offline-Arbeitsumgebung für geheime Daten und eine Online-Arbeitsumgebung zur Kommunikation. NitroPad mit Qubes OS ist technisch ähnlich wie SINA Clients (für Behörden), bleibt dabei aber transparent dank Open Source. Qubes OS ist für Nutzer*innen, die maximale Sicherheit wünschen.
# Schlüssel unter Kontrolle
Die Generierung aller individuellen kryptografischen Schlüssel erfolgt ausschließlich während der Installation direkt auf dem NitroPad, ohne dass die Nitrokey GmbH diese speichert. Dennoch können alle individuellen Schlüssel von den Nutzer*innen ersetzt werden. Anders als bei "Secure Boot" bleiben die Schlüssel zur Absicherung des Betriebssystems unter Kontrolle der Nutzer*innen und hängen nicht von der Zustimmung des Herstellers ab.
# Inklusive Nitrokey USB-Schlüssel
Das NitroPad enthält einen Nitrokey Pro 2 oder einen Nitrokey Storage 2 im Lieferumfang. Deren Sicherheitsfunktionen umfassen beispielsweise E-Mail-Verschlüsselung (PGP, S/MIME), sichere Server-Administration (SSH) und Zwei-Faktor-Authentifizierung mittels Einmalpasswörtern (OTP). Der Nitrokey Storage 2 enthält zusätzlich einen verschlüsselten Massenspeicher mit versteckten Volumen.
# Professionelle ThinkPad-Hardware
Basierend auf Lenovo ThinkPad X230 erfüllt die Hardware-Verarbeitung und -Robustheit professionelle Qualitätsansprüche. Die bekannte ThinkPad-Tastatur mit Hintergrund-Beleuchtung und TrackPoint erlaubt komfortables Arbeiten. Die gebrauchten Laptops sind generalüberholt.
# Sofort startklar
Mit NitroPad müssen sich die Nutzer*innen nicht darum kümmern, das Gehäuse zu öffnen um den BIOS-Chip zu flashen, Linux zu installieren und zu konfigurieren oder den Nitrokey Pro/Storage einzurichten. Nitrokey erledigt dies. Der mitgelieferte Nitrokey ist bereits mit dem NitroPad konfiguriert, so dass die Verwendung zur Manipulationserkennung ohne weiteren Konfigurationsaufwand möglich ist.
# Sicherheitsbewusster Versand
Um das Abfangen und Manipulieren des NitroPads zu erschweren, erfolgt die Lieferung des NitroPads und des Nitrokey USB-Schlüssels auf Wunsch in zwei separaten Lieferungen.
## Anwendungsfälle
# Für jeden
Mit dem NitroPad lassen sich Manipulationen an der Hardware erkennen. Wird das Laptop beispielsweise beim Grenzübertritt kontrolliert oder bleibt das Gerät unbeaufsichtigt im Hotel oder während Reisen, ist die Überprüfung der Integrität des NitroPads mit Hilfe des Nitrokeys möglich.
# Für Unternehmen
Das NitroPad kann als gehärteter Arbeitsplatz für Zertifizierungsstellen (Certificate Authorities) und andere Anwendungsfälle dienen, die Hochsicherheits-Rechner erfordern. Auf Geschäftsreisen schützt das NitroPad vor Evil-Maid-Angriffen während der Computer unbeaufsichtigt im Hotel oder im Reisegepäck ist.
# Für Behörden
Behörden können sich mit dem NitroPad vor Advanced Persistent Threats (APT) schützen, ohne sich auf fremde proprietäre Technologien verlassen zu müssen.
# Für Journalisten
Das NitroPad hilft investigativen Journalist*innen, die es mit dem Schutz von vertraulichen Quellen ernst meinen.
NitroPad X230 ist ab sofort im Nitrokey Online-Shop verfügbar.
https://shop.nitrokey.com/de_DE/shop/product/nitropad-x230-67
Weitere Details finden sich im Produkt-Infoblatt.
https://www.nitrokey.com/files/doc/NitroPad_X230_Infoblatt.pdf
