Für Linux-Systeme gibt es mit fwupd eine einfache Möglichkeit, die Firmware des eigenen Rechners zu aktualisieren. Voraussetzung ist, dass der jeweilige Hersteller des eigenen Rechners über LVFS die entsprechenden Firmware-Aktualisierungen bereitstellt.

Zusätzlich haben die Entwickler hinter LVFS/fwupd die sogenannte Host Security ID Specification (HSI) entwickelt. Diese Spezifikation definiert gewisse Bedingungen, die ein System bzw. die dazugehörige Firmware erfüllen muss, um einen bestimmten Grad - von HSI:0 (unsicher) bis HSI:5 (nachweislich sicher) - an Sicherheit zu gewährleisten. Um das eigene System zu überprüfen, stellt fwupd einen entsprechenden Konsolenbefehl bereit, welcher euch dann übersichtlich die Ergebnisse der Überprüfungen anzeigt und euch mitteilt, welchen Grad an Sicherheit euer System aufweist.

Weiterlesen

Nachdem ich Anfang des Jahres einen Überblick über meine Android-Apps, die ich regelmäßig verwende, veröffentlich habe, gibt es dieses Mal einen Überblick über Apps bzw. Software, welche ich im Alltag unter Arch Linux regelmäßig nutze. Wie auf meinen mobilen Endgeräten mit Android, versuche ich mein System generell schlank zu halten (im Sinne von nur Software zu installieren, die ich auch wirklich benötige) und bevorzugt Open-Source-Software einzusetzen.

Weiterlesen

In einem älteren Beitrag hatte ich bereits beschrieben, wie ich mittels systemd-ukify sogenannte Unified Kernel Images (UKIs) zum Booten meines Arch-Linux-Systems erstelle. Die so generierten UKIs wurden dabei mit meinem eigenen UEFI-Secure-Boot-Schlüssel signiert. Dabei befand sich der private Secure-Boot-Schlüssel jedoch auf meinem System selbst, wobei dieser aber natürlich nur für den Root-Benutzer lesbar ist.

Eine andere Möglichkeit ist es, den privaten Secure-Boot-Schlüssel (konkret geht es um den Signature Database Key) auf einem Hardware-Security-Token, wie z.B. einem YubiKey, zu speichern. Der Vorteil besteht darin, dass der private Schlüssel sich nicht direkt auf dem eigentlichen System befindet und ein Zugriff auf den privaten Schlüssel erschwert wird bzw. ein Auslesen generell beim YubiKey nicht möglich ist. Die Kommunikation zwischen systemd-ukify (intern eigentlich sbsign) und YubiKey findet über die PKCS#11-Schnittstelle statt.

Weiterlesen

Ein erstes Fazit zum Einsatz von GrapheneOS hatte ich bereits letztes Jahr veröffentlicht. Allerdings hatte ich GrapehenOS da gerade mal eine Woche im Einsatz. Mittlerweile läuft GrapheneOS nun seit fast 1½ Jahren auf meinem Smartphone (Pixel 6a). Es bietet sich also an, noch mal ein kleines Fazit-Update zu veröffentlichen. Diesbzgl. kann ich vorwegnehmen, dass sich mein positiver Ersteindruck von damals bestätigt hat, und ich zwischenzeitlich auch beim Tablet von meinem alten Sony Xperia Z3 Compact Tablet mit LineageOS auf ein Pixel Tablet mit GrapheneOS umgestiegen bin.

Weiterlesen

Aktuell überlege ich meine Desktop-Umgebung von Xfce auf Gnome umzustellen. Grundsätzlich bin ich mit Xfce zufrieden, aber ich würde gerne weg von X11 hin zu Wayland. Bei Xfce wird es mit einer vollständigen Wayland-Unterstützung wohl noch etwas dauern.

Standardmäßig stellt Wayland mit XWayland ein Fallback für Anwendungen bereit, die die Ausführung unter Wayland nicht unterstützen. Dieses X11-Fallback möchte ich allerdings nicht haben, sondern ich möchte, dass alle Anwendungen ausschließlich unter Wayland laufen und X11 nicht mehr genutzt wird. Wie XWayland unter Gnome deaktiviert werden kann, erfahrt ihr in folgendem Beitrag.

Weiterlesen