Amutable – Neues Unternehmen von einem systemd-Entwickler und dem Linux-VFS-Maintainer gegründet

Hacker-News-Kommentare

• Hallo, hier ist Chris, CEO von Amutable. Ich bin sehr aufgeregt wegen dieses Projekts. Wenn es Fragen gibt, beantworte ich sie gern.
• Ich hätte nicht gedacht, dass sich der Krieg um das allgemeine Computing sogar bis ins Zentrum des Open-Source-Ökosystems ausweiten würde.
  Wenn man sich den Hintergrund der Beteiligten ansieht, wirkt das nur wie ein weiteres Profit-zuerst-Projekt. Auch die Antworten der Gründer klingen wie typische Unternehmenssprache.
  Statt Aussagen wie „Ich habe FOSS mein ganzes Leben lang geliebt“ hätte ich lieber von konkreten Schutzmaßnahmen gegen Risiken gehört. Am Ende halte ich es für sehr wahrscheinlich, dass sich so eine Technik in ein nutzerfeindliches Werkzeug verwandelt.
  • Ich glaube, ein kleines attested device könnte ich noch akzeptieren. Wenn etwa eine Bank sagt: „Wir wissen nicht, welche Programme auf Ihrem Gerät laufen, daher können wir keine Verantwortung für die Transaktion übernehmen“, dann kann ich das verstehen.
    So ein Gerät würde ich mir natürlich nicht selbst kaufen. Aber wenn eine Bank oder Netflix ein dediziertes Endgerät nur für ihren Dienst bereitstellt, wäre es für mich in Ordnung, nur darüber zuzugreifen.
  • Wenn man sich die Landingpage ansieht, ist die Richtung ziemlich klar. Als Einzelperson kann man kaum etwas dagegen tun, und es gibt auch keinen Konsens, dass das für alle schlecht ist.
    Manchmal bin ich fast froh, technisch nicht genug zu verstehen. Dann muss ich wenigstens nicht die Verantwortung für solche Basistechnologien tragen.
  • Die Überprüfung der Systemintegrität bedeutet nicht automatisch, dass der Eigentümer die Kontrolle verliert.
    Solche End-to-End-Attestierung (e2e attestation) kann für Unternehmens- oder öffentliche Infrastrukturen nützlich sein. Es wäre gut, wenn Geldautomaten oder Verkehrssysteme dieses Maß an Integrität hätten.
    Entscheidend ist, ob der Eigentümer der Hardware die Schlüssel selbst verwalten kann. Wenn diese Bedingung erfüllt ist, halte ich das für eine großartige Technik.
• Remote Attestation funktioniert, weil es in einem sicheren Bereich der CPU einen ab Werk eingebrannten privaten Schlüssel gibt.
  Dieser Schlüssel bekommt vom Hersteller ein Zertifikat und dient zusammen mit dem öffentlichen Schlüssel als eindeutiger Identifikator. In Zusammenarbeit mit einem Man-in-the-Middle kann man Nutzer also nachverfolgen.
  Es gibt zwar Versuche, die Anonymität zu erhöhen, aber wenn Datenbanken zusammengeführt werden, lässt sich die Identität am Ende doch wiederherstellen.
  Außerdem kann man auch Attestierungen fälschen, wenn Schlüssel von Insidern oder kompromittierten Geräten extrahiert werden. Das Prinzip ist fast identisch mit DRM-Systemen.
  • Ich kaufe solche Geräte selbst bar. Menschen mögen Bargeld nicht und beschweren sich dann über Tracking. Dasselbe gilt dafür, seine Telefonnummer jedem zu geben.
  • Protokolle für anonyme Attestierung sind bereits standardisiert. Siehe zum Beispiel Direct Anonymous Attestation.
  • Ich bin mir nicht sicher, was dieses Bedrohungsmodell genau ist. Mich würde interessieren, ob es für einzelne Nutzer ein reales Risiko gibt oder ob das eher ein Anwendungsfall für Unternehmen ist.
• Ich hoffe, dass keine Attestierungs-Technologie in Linux-Distributionen eingebaut wird. Das ist im Kern eine Technik zur Verlagerung von Vertrauen auf Dritte.
  Im mobilen Bereich haben Unternehmen sie bereits genutzt, um Nutzer auszuschließen und zu schädigen. Ich will keine Welt, in der wir die Geräte, die wir gekauft haben, nicht wirklich besitzen.
  • Positiv gesehen würde es vermutlich über systemd versucht werden, und das könnte gerade deshalb Forks auslösen, die unnötige Teile wieder entfernen.
    Der Versuch, Debian in einen Red-Hat-Klon zu verwandeln, hat ohnehin schon Gegenreaktionen ausgelöst.
  • Für Hardware-Unternehmen in Bereichen wie IoT oder Robotik ist Attestierung eine zentrale Sicherheitsfunktion. Wenn Distributionen solche Standardpakete bereitstellen, wäre das für die Industrie sehr hilfreich.
  • Es ist bereits in Android, der heute verbreitetsten Linux-Distribution, enthalten.
  • Ich sehe das anders. Wir vertrauen bereits Dritten. Dieser Dritte kann auch der Entwickler einer Distribution sein.
    Wichtig ist die Wahlmöglichkeit. Attestierung muss sich auf Hardware-Ebene deaktivieren lassen und bei der Installation als Option konfigurierbar sein.
    Produktiver wäre es, darüber zu sprechen, wie man das auf FOSS-Art implementieren kann.
• Diese Technik könnte das Problem aus GNUs „Can You Trust Your Computer?“ noch verschärfen. Mich würde interessieren, ob es Pläne gibt, genau das zu verhindern.
  • Ich bin Aleksa, Gründungsingenieur bei Amutable. Das Modell, das wir uns vorstellen, ist eines, in dem der Nutzer seine Schlüssel vollständig selbst kontrolliert.
    Das ist nicht nur im Sinne der Nutzerfreiheit, sondern auch aus Sicht der Unternehmenssicherheit deutlich wünschenswerter. Als jemand, der sein ganzes Leben mit FOSS verbracht hat, würde ich so ein Problem nicht verursachen.
  • Wenn die Hälfte der Gründer von Microsoft kommt, ist die Antwort für mich ohnehin klar.
  • Eine sarkastische Reaktion im Stil von: „Am Ende haben wir also wirklich den Torment Nexus aus klassischer Science-Fiction Realität werden lassen.“
• Ich bin langjähriger Linux-Nutzer und schalte Secure Boot normalerweise aus. Die Installation des DisplayLink-Treibers ist fehlgeschlagen, also bin ich am Ende wieder in die UEFI-Einstellungen gegangen und habe es deaktiviert.
  Weniger sicher zu sein, aber volle Kontrolle zu haben, ist mir wichtiger. Deshalb macht mir die Vorstellung Sorgen, dass künftig für die Nutzung von Online-Diensten ein „vollständig attestiertes System“ erzwungen wird.
  • Secure Boot erweitert die Vertrauenskette in der Firmware nur bis zur ersten UEFI-Binärdatei.
    Unter Linux wird derzeit nur bis zum Kernel verifiziert; initrd und User Space werden danach nicht geprüft.
    Secure Boot in seiner heutigen Form ist kaum mehr als ein Mechanismus, der einen dazu bringt, Microsoft-Schlüsseln zu vertrauen, statt echte Sicherheit zu liefern.
    Wenn jedoch eine vollständige Code-Signatur-Prüfung möglich wird, könnte Linux ein Sicherheitsniveau erreichen, das kommerziellen Betriebssystemen entspricht.
• Dass andere Akteure den ausgeführten Code kontrollieren auf einem Gerät, das mir gehört, ist für mich völlig inakzeptabel. Egal ob Kunden oder Aktionäre.
  • Wer schon systemd benutzt, hat die Kontrolle ohnehin bereits aufgegeben. Diese Zeit wird als Wendepunkt in Erinnerung bleiben, an dem die Freiheit ausgehöhlt wurde.
• Jetzt weiß ich, welche Technik mir in fünf Jahren den Tag ruinieren wird: Attestation im Kernel.
  • Es ist erstaunlich, wie sich die Open-Source-Bewegung von „Lasst uns auch Unternehmen in die Bewegung für freie Software einbeziehen“ zu „Es ist okay, wenn Unternehmen die Richtung von OSS monopolisieren“ verändert hat.
• Remote Attestation ist an sich keine Technik, die Softwarefreiheit einschränken muss. Aber die folgenden Fälle haben Freiheit bereits eingeschränkt:
  • Integritätsprüfungen auf Smartphones (SafetyNet / Play Integrity / Apple DeviceCheck)
  • HDMI/HDCP
  • Streaming-DRM (Widevine / FairPlay)
  • Secure Boot (auf Basis von Herstellerschlüsseln)
  • In Chips integrierte Authentifizierung von Druckerpatronen
  • Proprietäre Dateiformate und Netzwerkeffekte
  • Ich bin dagegen. In der Praxis gab es viele Schäden durch Unternehmenskontrolle, aber einen „evil maid“-Angriff habe ich noch nie erlebt. Diese Technik ist nicht im Interesse der Nutzer.
  • Ich frage mich, warum es nicht umgekehrt eine Technik gibt, mit der der Server attestiert, wie er mit den Daten der Nutzer umgeht.
  • Umgekehrt erforscht Mullvad Remote Attestation, damit Nutzer Server verifizieren können. Relevanter Link
  • Die Absichten der Autoren mögen gut sein, aber irgendwann wird es jemand missbrauchen. Ich frage mich, ob man das wie bei GPLv3 per Lizenz einschränken könnte.
  • Ich habe dazu auch gemischte Gefühle. Für die Sicherheit entfernter Server oder persönlicher Geräte ist es zwar nötig, aber das Problem beginnt, wenn es zu einem Zwangsmittel wird.
    Im Moment ist die Zahl der Linux-Nutzer klein genug, dass die Bedrohung begrenzt ist. Wenn solche Integritätsprüfungen aber auf Web-Plattformen erzwungen werden, könnte schon der Zugang zu Diensten selbst eingeschränkt werden.
    Andererseits könnte KI solche anti-nutzerischen Maßnahmen automatisiert aushebeln und so helfen, die Kontrolle der Nutzer wiederherzustellen.
• systemd hat viele Probleme von Linux gelöst, scheint jetzt aber in Richtung vollständiger image-basierter Distributionen und signierter Unified Kernel Images zu gehen.
  Das würde die Möglichkeiten der Nutzer zur Veränderung einschränken, und der Verlust des „signierten Status“ könnte sogar den Zugang zum Internet blockieren.
  Wenn man sieht, dass Poettering bei Microsoft arbeitet, erkennt man einen Trend, Linux in ein betriebssystemartiges Haushaltsgerät zu verwandeln.
  • Solche Ansätze werden wahrscheinlich nur in einigen speziellen Einsatzbereichen genutzt. Dass sie allen Linux-Systemen aufgezwungen werden, ist realistisch kaum möglich.
  • Wir haben schon gesagt, dass systemd nur der Anfang ist.
  • Das heutige Linux wird größtenteils durch Sponsoring großer Unternehmen aufrechterhalten. Die Komplexität und die unternehmenszentrierte Struktur sind das Ergebnis davon.
    Andererseits ist Linux durch diese Finanzierung auch gewachsen. Ein kostenloses Mittagessen gibt es eben nicht.
  • Ich verstehe die Denkweise nicht, mit der man an solchen nutzerfeindlichen Projekten mitarbeitet und sich dabei noch einredet, man tue etwas Gutes.
    Dass Poettering an so einer Richtung beteiligt ist, überrascht mich nicht. Es wirkt wie ein Angriff auf das freie Computing.