LN-Waschpress

Blog

  • 23.000 TLS-Zertifikate zwangsweise widerrufen

    23.000 Zertifikate widerrufen
    Quelle: Tim Evans auf Unsplash

     

    Es ist hinlänglich bekannt, dass das Ausstellen von TLS-Zertifikaten für die Certificate Authorities (CA) eine Lizenz zum Gelddrucken ist. Zudem ist auch hinlänglich belegt, dass die CAs, die eigentlich besonders vertrauenswürdig sein sollten, nicht immer nach den Regeln spielen. Gerade erst verlor Symantec als CA das Vertrauen von Google, da sich die CA nicht an fundamentale Regeln des Kontrollgremiums CA/Browser Forum  gehalten hatte. Symantec verkaufte die Zertifikatssparte daraufhin an DigiCert, eine der ganz großen CAs.

    Befremdliche Anfrage

    Was jetzt allerdings im Nachgang der Symantec-Affäre über Zertifikats-Wiederverkäufer Trustico bekannt wurde, lässt die Haare zu Berge stehen. Der Geschäftsführer hat laut einem Bericht von DigiCert vor einigen Tagen den Widerruf von rund 50.000 Zertifikaten von Symantec, GeoTrust, Thawte and RapidSSL eines bestimmten Zeitraums beantragt, die Trustico als Reseller ausgestellt hatte, da diese kompromittiert seien. Man wolle diese Zertifikate an die CA Comodo übertragen.

    Tatbestand erfüllt

    DigiCert teilte daraufhin mit, ein solcher Massenwiderruf sei nur möglich, wenn die Zertifikate kompromittiert seien. Daraufhin übersandte der Trustico-Geschäftsführer über 23.000 private Schlüssel per E-Mail an DigiCert, womit der Tatbestand der Kompromittierung klar erfüllt war. Das Schlüsselwort hier ist natürlich »privat«, aber dazu kommen wir noch. Ob hier Vorsatz oder einfach nur Unfähigkeit am Werk war ist unklar.

    Schaden beim Kunden

    Dadurch war DigiCert nun gezwungen, die Zertifikate, zu denen diese Schlüssel gehörten, innerhalb von 24 Stunden zu widerrufen. So verlangen es die Regeln des  CA/Browser Forums. Später gab der Trustico-CEO an, die Kompromittierung sei bereits infolge der Tatsache gegeben, dass Google den ehemals von Symantec ausgestellten Zertifikaten mit der im März erwarteten Veröffentlichung vom Googles Browser Chrome 66 nicht mehr vertraue. DigiCert stellt klar, das sei nicht der Fall. Als Nachfolger von Symantecs CA stelle man allen betroffenen Kunden kostenfrei Ersatz-Zertifikate zur Verfügung. Sowohl eine Stellungnahme von Trustico als auch deren Webseite zum Erstellen von Zertifikaten sind derzeit wegen Server-Überlastung nicht zu erreichen.

    Laientheater

    Was ist hier nun schiefgelaufen, außer das ein offensichtlich von den Anforderungen an seinen Job völlig überforderter Geschäftsführer massenweise private Schlüssel per Mail versendet? Schiefgelaufen ist, dass er diese privaten Schlüssel gar nicht erst hätte haben dürfen. Private Schlüssel sollten den Rechner, auf dem sie erstellt wurden, nicht verlassen, denn sonst sind sie nicht mehr privat. Deshalb wird immer ein Schlüsselpaar erstellt, das neben dem privaten auch einen öffentlichen Schlüssel enthält.

    Schlimmer gehts nimmer

    Das Geschäftsmodell von Trustico sieht allerdings vor, die Schlüssel im Browser auf der Webseite der CA zu erstellen bevor die Anfrage nach Ausstellung eines Zertifikats getätigt wird. Die dabei erzeugten privaten Schlüssel hat Trustico offensichtlich abgegriffen und (nach eigenen Aussagen) auf einem nicht mit dem Netz verbundenen Rechner gespeichert, um einen späteren eventuellen Widerruf zu vereinfachen. Schlimmer gehts nimmer. Wer so fundamental Regeln mißachtet, sollte nicht als CA tätig sein dürfen.

    Edit: 2. März 12:45

    Es geht doch noch schlimmer. Wie Golem heute berichtet, fand sich auf der Webseite von Trustico eine Möglichkeit für eine Script-Injection-Attacke, mit der man Code mit Root-Rechten ausführen konnte. Auf Twitter wurden Fotos von solchen Angriffen gepostet, die über das Eingabefeld zur Domain-Verifizierung ausgeführt wurden. Entgegen der Aussage im Bericht von Golem ist die Webseite wieder online.

     

     

  • Intel Microcode-Updates gegen Spectre v2

     

    Intel Microcode-Updates
    Quelle: Natascha Eibl Lizenz: CC0 1.0

     

    Intel hat weitere Microcode-Updates freigegeben, wie der aktualisierten Microcode Revision Guidance zu entnehmen ist. Dort listet Intel den jeweiligen Stand der Microcode-Updates zur Eindämmung von Meltdown und Spectre, den beiden CPU-Verwundbarkeiten, die Anfang des Jahres publik wurden. Änderungen seit der letzten Version des Papiers werden jeweils gelb hinterlegt. Braun hinterlegte Abschnitte sind noch in der Erprobungsphase.

    Skylake abgedeckt

    Anfang Februar hatte Intel überarbeitete Microcodes für Skylake-CPUs der Serien U, Y, H, S und U23e freigegeben, die sich gegen die Spectre Variante 2 richten. In der vergangenen Woche folgten dann korrigierte Codes für die Plattformen  Apollo Lake, Cherry View und Bay Trail. Die Microcodes für die älteren Plattformen Broadwell, Haswell, Sandy Bridge und Ivy Bridge verblieben noch in der Beta-Phase.

    Broadwell und Haswell nachgeliefert

    Jetzt wurden die überarbeiteten Microcodes für Broadwell- und Haswell-CPUs aus dem Beta-Status entlassen und gelten als stabil. Damit verbleiben die Prozessorgenerationen Sandy Bridge und Ivy Bridge als letzte in der Beta-Phase. Sie stellen auch die ältesten Generationen dar, die Gegenmaßnahmen gegen die Verwundbarkeiten erhalten. Die Überarbeitung der Microcodes war unter anderem dadurch nötig geworden, da mit im Januar ausgelieferten Microcodes Broadwell- und Haswell-CPUs spontane Neustarts der Hardware auslösten und daraufhin von Intel zurückgezogen wurden.

    [su_slider source=“media: 4318″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Linux am schnellsten versorgt

    Die Updates wurden bereits an Hersteller und OEMs ausgeliefert. Naturgemäß wird es eine Weile dauern bis diese als BIOS- oder Firmware-Updates bei den Endanwendern ankommen. Am schnellsten landen Intel Microcode-Updates wie auch die von AMD in der Regel bei Linux. Die meisten Distributionen liefern die Microcodes als Distributionspakete aus, die beim Start des Rechners in den Kernel geladen werden. Den Stand des jeweils erreichten Schutzes gegen die beiden Lücken können Linux-anwender mit dem Script Spectre-Meltdown-Checker überprüfen, das in einigen Distributionen, wie etwa bei Debian, auch als Paket im Archiv vorliegt. In der letzten Woche erhielt zudem auch OpenBSD Patches gegen Meltdown.

     

     

  • Sicherheits-Firmware »Heads« für Purism-Laptops

     

    Sicherheits-Firmware Heads
    Bild: Purism

    Bei Purism geht es derzeit Schlag auf Schlag und ich staune, wie so ein kleines Unternehmen so viele neue Entwicklungen umsetzen kann. Vor wenigen Tagen erst gab das Unternehmen bekannt, dass alle neuen Notebook-Modelle ab sofort ohne Aufpreis mit einem TPM-Chip ausgestattet sind. Jetzt erfahren wir, dass die Entwickler Trammell Hudsons Projekt Heads integriert haben. Die Arbeiten daran begannen vor rund einem Jahr und konnten jetzt zum Abschluss gebracht werden. Nach eigenen Angaben verkauft Purism damit die sichersten Notebooks unter voller Kontrolle des Besitzers.

    Heads verbessert die Sicherheit

    Heads ist eine Open Source Custom Firmware- und Betriebssystem-Konfiguration für Laptops und Server, die darauf abzielt, die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Im Gegensatz zu Tails, das darauf abzielt, ein zustandsloses Betriebssystem zu sein, das keine Spuren auf dem Computer hinterlässt, ist Heads für den Fall gedacht, dass Daten und Zustände auf dem Computer gespeichert werden müssen. Nicht zu verwechseln ist die Heads-Firmware mit der gleichnamigen Distribution aus dem Umfeld von Devuan.

    Keine Manipulation von BIOS und Kernel

    Neben deaktivierter Intel Management Engine, dem von der FSF empfohlenen PureOS, Coreboot anstatt herkömmlichem BIOS und TPM-Chip fügt Purism nun mit Heads einen weiteren Baustein zu einem möglichst sicheren Notebook hinzu. Die Entwickler betonen, dass Sicherheit zwingend Freiheit voraussetzt. Dazu gehört die Freiheit, vom Start des Notebooks an kontrollieren zu können ob der ausgeführte Code in irgendeiner Weise verändert wurde. Das betrifft in besonderer Weise die Komponenten BIOS und Kernel, deren Manipulation sehr schwer zu entdecken ist und die Kontrolle über den Rechner völlig einem Angreifer übereignen kann. Das wurde uns gerade erst wieder mit Meltdown und Spectre eindringlich demonstriert.

    Wenn schon beim Booten eine Software wie Heads sicherstellt, dass der Code nicht manipuliert wurde, gibt das Sicherheit bereits vor der eigentlichen Nutzung. Mit Purisms kombiniertem Ansatz wird das erste Bit, das in die CPU geladen wird, analysiert und vom Benutzer signiert, um zu belegen, dass nichts manipuliert wurde. Wie Purism schreibt, gab es viele mögliche Wege, die Rechner bereits ab dem Bootprozess abzusichern, jedoch lege kaum eine davon die Kontrolle in die Hände des Anwenders.

    In der Hand des Anwenders

    Heads hat viele Vorteile gegenüber allen anderen Boot-Verifikationstechnologien, die es für Librem-Laptops geeignet erscheinen lässt. Erstens ist es Freie Software, die mit dem Open Source Coreboot-BIOS zusammenarbeitet. Darüber hinaus stellt die Art und Weise, wie Heads das TPM des Systems verwendet, um Manipulationssicherheit zu gewährleisten die Schlüssel unter volle Kontrolle des Anwenders. So können diese auch, anders als etwa bei Secure Boot, jederzeit vom Besitzer geändert werden.

    Vom einzelnen Laptop bis zur Unternehmensflotte

    Damit sind nicht nur Privatanwender, sondern auch Unternehmen mit einer Flotte von Laptops in der Lage, einen mit selbstsignierten Schlüsseln versehenen, gegen  Manipulation resistenten und ständig auf Malware überprüften Laptop zu realisieren, der bei Bedarf trotzdem ein selbst erstelltes angepasstes Distributions-Image verwenden kann.

    Der Heads-Entwickler zur Zusammenarbeit mit Purism:

    [su_quote style=“modern-light“ cite=“Trammell Hudson“ url=“https://puri.sm/posts/purism-collaborates-with-heads-project-to-co-develop-security-focused-laptops/“]»Purism’s Librem Laptops sind ideal für die Philosophie des Heads-Firmware-Projekts geeignet. Purism stellt moderne Hardware her, die den Benutzern die Kontrolle über ihre eigenen Systeme ermöglicht. Sie sind der einzige Anbieter, der es den Anwendern erlaubt, ihre eigene »Hardware-Root of Trust« mit CPU-Features wie Bootguard zu etablieren, und ihre Unterstützung für Coreboot und Heads verbessert die Sicherheit, indem sie offen, prüfbar, flexibel und messbar sind.«[/su_quote]

     

  • Wo bleibt Xfce 4.14?

     

    Xfce 4.14
    Quelle: Xfce Lizenz: LGPL

     

    Xfce ist eine beliebte, vollwertige und freie Desktop-Umgebung unter Linux und unixoiden Betriebssystemen. Es ist vergleichsweise leichtgewichtig, modular aufgebaut und erledigt anstehende Aufgaben zügig und zuverlässig. Wie die Mitstreiter GNOME, MATE und Lxde basiert auch Xfce auf dem GUI-Toolkit GTK+. Die aktuelle Hauptversion Xfce 4.12 ist fast auf den Tag genau drei Jahre alt, erschien sie doch am 27. Februar 2015. Kurz danach veröffentlichten die Entwickler die Roadmap zu Xfce 4.14.  In der Zwischenzeit sind zwar vier Unterversionen zu 4.12 erschienen, aber von Xfce 4.14 ist offiziell noch nichts zu sehen und außer im Projekt-Blog wenig zu hören.

    Gemächliche Entwicklung

    Xfce hatte schon immer einen langsamen Entwicklungszyklus, der auch nie sonderlich gestört hat, da der Desktop mit der Maus im Logo stets stabil funktioniert. Mittlerweile droht Xfce allerdings etwas ins Hintertreffen zu geraten, was aktuelle Entwicklungen angeht. Während das rund 15 Mann starke Entwickler-Team noch an der Portierung von GTK+ 2 auf GTK+ 3 und auf GDBus arbeitet, ist GTK+ 4  (PDF) nicht mehr allzu weit entfernt und könnte bereits verfügbar sein bevor Xfce 4.14 erscheint. Der zweite Punkt, der Sorgen bereiten könnte ist die Anpassung an den künftigen Anzeige-Server Wayland. Zwar wird uns Xorg noch lange begleiten, aber die Anpassung an Wayland ist bei Xfce noch nicht einmal begonnen worden. Somit ist Wayland-Support nicht vor Xfce 4.16 zu erwarten. Immerhin wird Wayland bis dahin wesentlich stabiler sein als zum jetzigen Zeitpunkt. Die Anwender von Xfce waren zudem noch nie besorgt, wenn ihr Desktop den neuesten Entwicklungen hinterherlief.

    [su_slider source=“media: 4296″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Migration zu GTK+ 3 schwierig

    Die Portierung von Xfce auf GTK+ 3 ist bei den Modulen mittlerweile zu 95 Prozent abgeschlossen. Bei Applikationen und Plugins sieht es deutlich schlechter aus, hier ist vieles mangels Entwicklerzeit bisher nicht einmal begonnen. Somit steht zu vermuten, dass die Portierung auf  GTK+ 3 beim Erscheinen von Xfce 4.14 bei den Hauptkomponenten zwar fertig, ansonsten aber nicht komplett sein wird. Die abschließende Release-Phase zu 4.14 ist in der Roadmap noch nicht mit einem Datum versehen, sodass hier noch Unklarheit über die Pläne des Teams herrscht.

    Get Involved!

    Freunde von Xfce, die ihren Desktop unterstützen wollen, beginnen am besten auf der Webseite Get Involved. Um aushelfen zu können muss man nicht zwingend programmieren können, es gibt viele weitere Aufgaben in Bereichen wie Web, Öffentlichkeit,  Dokumentation und Übersetzungen. Auch das Schreiben von Bugreports und der Test von frühen Versionen helfen weiter.

  • Ubuntu 18.04 LTS erleichtert die Handhabung von Snaps

    Ubuntu 18.04 LTS
    Screenshot: ft

     

    Ubuntu 18.04 LTS »Bionic Beaver« soll als erste Ubuntu-Version neben dem herkömmlichen DEB-Format auch einige Pakete im neuen Snap-Format auf dem Image ausliefern. Wollte man unter Ubuntu bisher ein Snap installieren, dass nicht im Stable-Channel war, musste man ein Terminal bemühen und dort etwa sudo snap install spotify --beta eingeben. Mit den aktuellen Daily Builds von Ubuntu 18.04 LTS »Bionic Beaver« kann die Auswahl der Snap Channels nun auch in der Programmverwaltung Software vorgenommen werden. Neben dem als stable bezeichneten Channel gibt es noch daily releases,  candidate, beta und edge.

    Channel-Auswahl per GUI

    Somit ist für jeden Geschmack etwas dabei. Allerdings bieten nicht alle Snaps zu allen Zeiten unterschiedliche Paketversionen in allen Channels an. Wenn unterschiedliche Versionen vorhanden, so ist der Umstieg auf einen anderen Channel denkbar einfach. In Software auf der Spotify-Seite wird in grün der Channel der installierten Version angezeigt. Klickt man hierauf, werden die weiteren verfügbaren Channel mit der jeweiligen Version und einem Button mit der Aufschrift switch angezeigt.

    Transaktionale Updates

    Nach einem Klick auf den Button neben dem gewünschten Kanal erscheint am Kopf der Seite neben Starten und Entfernen der neue Button Aktualisieren. Damit wird auf die gewünschte Version gewechselt. Dabei kommt im Hintergrund die transaktionelle Art der Aktualisierung von Snaps zum Einsatz, die ursprünglich dazu dient, bei einem schiefgegangenen Update ein Zurückrollen auf die funktionierende Version zu erlauben.

    [su_custom_gallery source=“media: 4278″ link=“image“ width=“700″ height=“470″]

    Vom IoT auf den Desktop

    Bei Snap handelt es sich um ein modernes Paketsystem, das aus dem von Ubuntu Touch bekannten Click-Format heraus entwickelt wurde, um zunächst beim Cloud-Computing und dem Internet der Dinge Fuß zu fassen. Mittlerweile wird es von Canonical auch auf dem Desktop verbreitet. Eine alternative Ubuntu-Ausgabe, die nur auf Snaps basiert könnte in nicht allzu ferner Zukunft Realität werden, will man denn den Visionen von Mark Shuttleworth folgen.

    Snap bringt, wie seine Alternativen alle oder die meisten Abhängigkeiten bereits im Paket mit. Snaps sind prinzipilell gegeneinander und gegen das Gastsysystem isoliert. Das funktioniert allerdings nur mit Wayland, sodass Ubuntu 18.04 diesen Vorteil standardmäßig wieder aufgibt, da die im April kommende LTS-Ausgabe wieder von Wayland zu Xorg wechselt, währen Wayland als Alternative bestehen bleibt.  Als Alternative zu Snap gibt es das bei Fedora entwickelte Flatpak sowie AppImage, das nicht einmal einer Installation bedarf.

  • Crypto: Ledger Hardware Wallets werden aufgewertet

    Ledger
    Quelle: Ledger

    Crypto-Währungen boomen. Wie man dazu steht, bleibt jedem selbst überlassen. Was die einen als bald platzende Blase ansehen ist für andere ein Spekulationsobjekt mit guten Chancen auf Gewinne. Wer zur letzteren Gruppe gehört, hat sich bestimmt schon intensiv Gedanken um die Sicherheit seiner Einlagen gemacht. Die sicherste Variante für Langzeitanleger ist ein Hardware-Wallet, wie es unter anderem die französische Firma Ledger mit den Modellen Ledger Blue und Ledger Nano S vertreibt.

    Einschneidende Änderungen

    Der Umgang mit Crypto-Währungen und deren Absicherung ist allgemein noch ziemlich umständlich. Wer seine Einlagen auf verschiedene Währungen verteilt hat, muss meist mit mehreren Software-Wallets hantieren und auch die Hardware-Wallets können nur mit jeweils einigen Coins umgehen. Das will Hersteller Ledger nun ändern und kündigt ab dem zweiten Quartal 2018 einschneidende Verbesserungen an.

    Native Anwendungen

    Benötigen die Ledger Hardware Wallets für Kommunikation und Transaktionen bisher eine Erweiterung, die nur für den Chrome-Browser zur Verfügung steht, so sollen hier demnächst native Anwendungen für Linux, macOS und Windows sowie etwas später auch für Android und iOS vorgestellt werden, sodass Chrome nicht mehr zwingend vorausgesetzt wird. Bisher benötigte man darüber hinaus für jede Währung auch eine eigene App, um diesen Coin mit dem Ledger-Wallet verwalten zu können. Auch hier gibt es gute Neuigkeiten, denn bald sollen alle Währungen in einer App verwaltet werden können.

    [su_slider source=“media: 4268,4269″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Desktop-App in Q2

    Die Desktop-App soll zuerst erscheinen und präsentiert alle Coins und deren Wert übersichtlich auf einen Blick in einem Dashboard. Im dritten Quartal sollen dann die Apps für Android und iOS folgen. weitere Pläne des Herstellers sehen vor, die Zahl der derzeit knapp über 20 unterstützten Crypto-Währungen auf über 100 Coins auszuweiten. Ethereum ERC20 Token sollen ebenfalls integriert werden. Der jetzige, auf Chrome basierte Ledger Manager wird zu einer webbasierten Lösung mit direkter USB-Kommunikation ausgebaut, die nicht mehr auf Erweiterungen angewiesen ist. Alles in allem machen die Ledger Hardware Wallets damit einen dringend nötigen Schritt zu mehr Benutzerfreundlichkeit.

  • LineageOS 15.1 setzt auf Android 8.1 »Oreo«

    LineageOS 15.1
    Logo: LineageOS

     

    LineageOS ist ein Fork von CyanogenMod, das selbst eine Alternative zu Android war. Nachdem die ausgegründete Firma Cyanogen wegen Geschäftsuntüchtigkeit und zu großer Egos gegen die Wand gefahren worden war, entstand LineageOS auf der Basis des Codes von CyanogenMod. Jetzt wurde mit LineageOS 15.1 eine neue Version fertiggestellt.

    Hilfreiches »Project Treble«

    Als Grundlage dient Android  8.1 »Oreo«, Android 8.0 wurde übersprungen. Dabei hat sich das Team Googles Project Treble zu Hilfe genommen. Dabei handelt es sich um ein modulares Update-System, dass die  Low-Level-Gerätetreiber vom Rest von Android trennt und somit die Arbeit von ROM-Entwicklern erleichtert und Android-Nutzern häufigere Updates bescheren soll. Das Team hat zudem eine umfangreiche Codebereinigung durchgeführt und im Zuge dessen alle verbliebenen Referenzen zu CyanogenMod entfernt.

    Lineage Dark Mode

    Neben der Portierung der meisten Features aus LineageOS 14.1 gibt es auch einige neue Funktionen. Es können nun benutzerdefinierte Akzentfarben gesetzt und zwischen einer hellen und einer dunklen Benutzeroberfläche gewechselt werden. Damit hat LineageOS ein klares Alleinstellungsmerkmal, denn Google hat gerade klargestellt, dass es keinen Dark-Mode bei Android geben werde. Die neue Automagic-Funktion bei 15.1 kann dabei Themen automatisch an das aktuelle Hintergrundbild anpassen.

    Trebucher-Launcher überarbeitet

    Der Trebuchet-Launcher, seit Jahren fester Bestandteil von CyanogenMod und LineageOS, erhielt ebenfalls ein größeres Update und wurde in weiten Teilen neu geschrieben. Er unterstützt jetzt Icon-Packs und adaptive Icons und entfernt einige überflüssige Funktionen. Wie beim Pixel-Launcher auf aktuellen Google-Phones kann auch beim Trebuchet-Launcher jetzt die Form der Icons geändert werden. Auch die Kamera-App wurde aufgewertet und erhielt einen QR-Code-Scanner, sodass die Notwendigkeit einer separaten App für QR-Codes entfällt.

    Für eine Aktualisierung auf die neue Version muss als Voraussetzung LineageOS 14.1 installiert sein. Alle weiteren Änderungen der neuen Version können im Changelog nachgelesen werden. Erste Nightly-Versionen werden am 26. Februar veröffentlicht. Nicht alle unterstützten Geräte werden von Anfang an unterstützt. Anfänglich sind dabei:

     

     

     

  • Chemnitzer Linux-Tage 2018

     

     

     

    Chemnitzer Linux-Tage
    Bild: Enno Bartels Lizenz: CC0

     

    In zwei Wochen ist es wieder soweit. Am 10. und 11. März finden im zentralen Hörsaal- und Seminar-Gebäude der Technischen Universität Chemnitz wieder die alljährlichen Chemnitzer Linux-Tage (CLT) statt. In diesem Jahr sogar als Jubiläum, denn die Veranstaltung wird bereits seit 1999 mittlerweile zum 20. Mal abgehalten.

    Die Organisation und Durchführung der Veranstaltung obliegt den Studenten und Mitarbeitern der TU Chemnitz. Des Weiteren sind die Chemnitzer Linux User Group des IN Chemnitz e.V., die Fakultät für Informatik sowie das Rechenzentrum der TU Chemnitz an der Organisation beteiligt. Die Veranstaltung bietet neben vielen Vorträgen und Workshops auch Raum für Projekte aus dem Linux-Umfeld, sich dem Publikum vorzustellen und ist für die deutsche und europäische Community ein wichtiger Treffpunkt im Jahresverlauf, um sich persönlich zu treffen. Seit der LinuxTag, der zuletzt in Berlin ansässig war, seine Pforten geschlossen hat, ist der CLT mit rund 3.000 Besuchern an zwei Tagen die größte deutsche Veranstaltung rund um Linux und freie Software.

    Das Vortragsprogramm ist mit über 90 Vorträgen aus verschiedenen Bereichen prall gefüllt. Die Themen richten sich teils an Anfänger, teils an Fortgeschrittene und Profis. Letztere spricht bestimmt der stets beliebte Vortrag Aktuelle Entwicklungen beim Linux-Kernel von Thorsten Leemhuis an. An erfahrene Linuxer und solche die es werden wollen richtet sich beispielsweise auch der Vortrag zu der deklarativen Linux-Distribution NixOS, die alles ein wenig anders macht als üblich.

    Wer Interesse an Crypto-Währungen hat, findet einen Einstieg im Vortrag Cryptos – Technik und Benutzung. Unter dem Motto »Jeder fängt mal an« und im »Einsteigerforum« gibt es Vorträge zu Einsteigerthemen für reine Anwender und künftige Community-Mitglieder. Workshops laden zum praktischen Lernen ein, sollten aber bald gebucht werden, denn diese sind immer bereits früh ausverkauft. Auch an den Nachwuchs wird gedacht. Unter dem Motto »CLT Junior – Technik, die Spaß macht« werden Workshops für Jugendliche ab 10 Jahren angeboten. In diesem Jahr werden die Bereiche Roboter-Programmierung, RaspberryPi und Spiele-Programmierung abgedeckt.

    Im Bereich »Linux-Live« stellen sich mehr als 60 Projekte, Distributionen und Unternehmen aus den Bereichen Linux und Open Source den Fragen des Publikums. An den Ständen der Distributionen können Besucher mit den Entwicklern sprechen oder Lösungen für Probleme suchen. Im Obergeschoss wird unter anderem für das leibliche Wohl gesorgt. Dort können wie in jedem Jahr auch diesmal wieder günstig die Prüfungen des Linux Professional Institut (LPI) abgelegt werden. Alte und neue Bekanntschaften können am Abend des 10. März auf der Linux-Nacht bei Speis und Trank in entspannter Atmosphäre gepflegt werden.

    Der CLT ist eine liebenswerte, gut organisierte und trotzdem lockere Veranstaltung, die ich seit Jahren immer wieder gerne besuche. Wer vorbeikommen möchte, um Hallo zu sagen, zu loben oder zu kritisieren, findet mich am Stand von siduction, gleich neben Debian.

  • Purism liefert Notebooks mit TPM aus

    Bild: Purism

     

    Purism, der US-amerikanische Ausrüster von Linux-Notebooks, der auch hinter dem in Entwicklung befindlichen Linux-Smartphone Librem 5 steht, hat einen ersten Schwung neuer Notebooks für 2018 auf Lager, wie jetzt im Firmenblog nachzulesen ist. Alle Bestellungen der Notebooks Librem 13 und Librem 15 werden künftig ohne zusätzliche Kosten mit dem Sicherheitsmerkmal Trusted Platform Module (TPM) ausgeliefert. Das TPM setzt den Anspruch an die Wahrung von Sicherheit und Privatsphäre um, den Purism bereits seit Längerem durch die in den Librem-Notebooks verbauten Schalter zum Abschalten von WLAN, Bluetooth, Kamera und Mikrofon vorgibt.

    TPM grundsätzlich nicht schlecht

    Das TPM ist ein fest auf der Hauptplatine aufgelöteter Chip. Dort können Sicherungsschlüssel gespeichert werden, die zum Ver- und Entschlüsseln von Daten nötig sind. Der Chip kann auch digitale Signaturen und die Kennung des Computers aufnehmen, die den Zugriff auf Netzwerke regelt. TPM-Module sind bei Business-Notebooks schon länger üblich, in Notebooks für Privatanwender bisher allerdings nur wenig verbreitet. Sie waren im Zusammenhang mit Microsoft Windows auch lange Zeit verpönt. Das es dafür keinen plausiblen Grund gibt, erläuterte Matthew Garrett 2016 auf der Linux-Conf in Australien.

    Deutsches Tastaturlayout

    Die mit dem Debian-basierten hauseigenen PureOS ausgelieferten Notebooks werden ab sofort für deutsche Anwender gleich doppelt interessant. Zunächst fallen international die Versandkosten weg, womit die Anschaffung um rund 100 US-Dollar günstiger wird. Zusätzlich werden die Geräte aufgrund der hohen Nachfrage auch mit deutschem Tastatur-Layout ausgeliefert. Jetzt bestellte Notebooks werden ab Mitte März ausgeliefert. Das Librem 13 kostet ab 1.399 US-Dollar, das Librem 15 kommt ab 1.599 Dollar ins Haus. Für eine deutsche Tastaturbelegung kommen noch einmal 79 Dollar hinzu. Für 10 Dollar kann ein USB-Stick mit Qubes OS dazubestellt werden, mit dem PureOS durch das auf möglichst hohe Sicherheit ausgelegten Qubes OS ersetzt werden kann. Version 4 der Distribution wird seit kurzem von Purism-Geräten voll unterstützt.

  • Debian diskutiert neue Herausforderungen in einem veränderten Ökosystem

    Debian diskutiert neue Herausforderungen in einem veränderten Ökosystem

     

    Debian diskutiert
    Logo: Mohd Sohail Lizenz: CC BY 2.0

    Auf der Debian-Entwickler-Mailing-Liste wird seit einigen Tagen in dem Thread What can Debian do to provide complex applications to its users? ausgiebig über ein Problem diskutiert, das im Kern die saubere Paketierung von komplexen Anwendungen in Debian betrifft, die meist aus dem Bereich Web-Applikationen stammen. Dabei geht es beispielsweise um Applikationen. die auf die Plattform Node.js und deren Repository NPM setzen. Es ist nicht das erste Mal, dass Debian diese Probleme diskutiert, die im Endeffekt auch die eigene Relevanz in der Zukunft der Linux-Distributionen betreffen.

    Debian diskutiert neue Entwicklungsmodelle

    Die Welt der Software-Entwicklung verändert sich seit Jahren rapide außerhalb des Debian-Ökosystems. Ein aktueller Trend in der Software-Entwicklung ist die Verwendung von Programmiersprachen, oft interpretierte Hochsprachen, kombiniert mit der intensiven Nutzung von Drittanbieter-Bibliotheken und einem sprachspezifischen Paketmanager für die Installation von Bibliotheken durch Entwickler und den Systemadministrator, der die Software für die Produktion installiert. Dadurch werden Linux-Distributionen zunehmend umgangen.

    Nicht kompatibel

    Debians Richtlinien kollidieren hier häufig mit der gebotenen Aktualität bei dieser Art von Anwendung. Sicherheit ist dabei ein wichtiges Thema. Es wird in dem Thread unter anderem zu Recht bemängelt, dass Quelltext und Copyright-Informationen der in Web-Applikationen häufig verwendeten unzähligen JavaScript-Bibliotheken von Upstream oft nicht angegeben oder gar unbekannt sind, was in Debian prinzipiell unakzeptabel ist. Darüber hinaus werden JavaScript-Bibliotheken als Abhängigkeiten in solchen Anwendungen häufig aktualisiert, während in Debian noch eine ältere Version der Bibliothek Standard ist und somit die Anwendung bricht.

    Viele Upstream-Entwickler solch komplexer Anwendungen ziehen es zunehmend vor, wegen der als restriktiv angesehenen Richtlinien nicht mit Debian zusammenzuarbeiten. Dabei geht es oft um Anwendungen, die neben JavaScript auf PHP, Python, Ruby oder Golang setzen. Die kurzen Supportzeiträume dieser Frameworks und Sprachen passen nicht mit Debians Philosophie zusammen. Ein weiteres Problem ist die Minifizierung, die neben CSS besonders bei JavaScript angewendet wird, um eine beschleunigte Ausführung des Codes zu erreichen. Dies ist aber nicht konform mit Debians Social Contract und ergibt im Ergebnis unwartbaren Quellcode. Deshalb sehen auch Debians FTP-Master und das Technical Comitee minifizierten Code als für Debian unbrauchbar an.

    Weiterhin spielt das Thema Vendoring eine Rolle. Vendoring ist die Erstellung einer eigenen Kopie von Bibliotheken, die ein Upstream- Projekt verwendet. Diese Kopien werden traditionell in jedem Projekt platziert und dann im Projekt-Repository gespeichert. Gibt es in einer der Original-Bibliotheken ein Sicherheitsproblem, so wird die »vendored version« oft nicht oder viel zu spät aktualisiert. Auch das entspricht nicht Debians Richtlinien.

    Debian-Paket oder externe Anwendung?

    Das Dilemma, vor dem die Entwickler und Anwender hier stehen ist nicht leicht zu lösen. Fällt die Wahl auf das Debian-Paket einer Anwendung (sofern eins existiert), so kann meist die gebotene Aktualität, die bei Web-Anwendungen besonders wichtig ist, nicht gewährleistet werden oder die Anwendung bricht bei der Aktualisierung.

    Als Alternative kann der Anwender auf die Upstream-Version zurückgreifen, bei der es gleich mehrere Unbekannte gibt. Sie wird meist mit einem eigenen Installer wie Pip im Fall von Python oder NPM für das allgegenwärtige Node.js. Diese Installer schaufeln Code auf die Rechner, der in keiner Weise einer Verifizierung unterliegt, wie das für Debian-Repositories der Fall ist. Andererseits handhaben diese Installer oft Hunderte von Abhängigkeiten, die ein Debian-Maintainer zeitlich gar nicht bewältigen kann.

    Container oder Flatpaks

    Welche Lösungen gibt es für diese Problematik? Und ist Debian flexibel genug, um mögliche Lösungen umzusetzen? Das sind Fragen, die nicht nur im Thread selbst, sondern auch in den Blogs der beiden Debian-Urgesteine Lars Wirzenius und Joey Hess aufgegriffen werden. Ein diskutierter Lösungsansatz ist die Verwendung von Containern oder Flatpaks innerhalb der Debian-Infrastruktur für solche Anwendungen. Denkbar wäre auch ein Repository für solche Pakete, ähnlich denen für contrib und non-free. Hier müsste klar vermittelt werden, dass für solch ein Repository keine Sicherheitsunterstützung gewährleistet wird.

    Vision für die Zukunft?

    Eine andere Möglichkeit wäre, Pakete in mehreren Versionen zuzulassen wie das beispielweise für C-Bibliotheken,  GCC, Python und andere schon länger der Fall ist. Der Blick richtet sich zudem auf Distributionen wie NixOS, die nicht der traditionellen Verzeichnisstruktur des Filesystem Hierarchy Standard folgen. NixOS erlaubt mehrere Versionen einer Anwendung gleichzeitig, wobei jede Version der Anwendung ihre Dateien in einem eigenen Verzeichnis ablegt. Alle vorgebrachten Ideen drohen aber an der fehlenden Entwickler- und Betreuerzeit in Debian zu scheitern.

    Das vorliegende Problem betrifft aber auch die Relevanz von Debian. So formuliert denn auch ein Entwickler:

    [su_quote style=“flat-light“ cite=“Vincent Bernat“ url=“https://lists.debian.org/debian-devel/2018/02/msg00343.html“] I have the […] feeling Arch is taking away our desktop users, Ubuntu is taking away our cloud users, Alpine is taking away our container users and CoreOS/Atomic Host are taking away users interested by container orchestration solutions.[/su_quote]

    Freie Software weiter tragfähig?

    Tritt man etwas weiter zurück, so sieht es auf längere Sicht für Linux-Distributionen in ihrer jetzigen Form insgesamt nicht rosig aus. Viele junge Entwickler scheren sich nicht mehr um Werte wie Lizenzen, lesbaren und dokumentierten Quellcode oder nachvollziehbare Copyright-Angaben. Wenn allerdings das Modell der Distributionen nicht mehr tragfähig ist, worauf wollen Entwickler freier Software dann ihre Anwendungen laufen lassen?

    Das Problem ist nicht neu, Lennart Poettering hat sich bereits vor Jahren über die Art, wie wir künftig Distributionen bauen Gedanken gemacht. Die Ideen dazu werden bereits seit Längerem erprobt, haben sich aber bisher nicht auf breiter Front durchgesetzt.