NitroPad: sicherer Laptop mit einzigartiger Manipulationserkennung

Glauben Sie, dass Ihre Computerhardware sicher ist? Können Sie ausschließen, dass in Ihrer Abwesenheit niemand Ihren Computer manipuliert hat? In einer Welt, in der die meisten Benutzer keine wirkliche Kontrolle über ihre Hardware haben und blind auf die Sicherheitsversprechen der Hersteller vertrauen müssen, ermöglicht NitroPad ein erfrischend neues Sicherheitserlebnis. NitroPad X230 ist deutlich sicherer als normale Computer. Mit NitroPad behalten Sie mehr als jemals zuvor die Kontrolle über Ihre Hardware und Daten, bei gleichzeitig einfacher Bedienbarkeit.

 

Vorteile

Manipulationserkennung durch Measured Boot
Dank der Kombination aus den Open-Source-Lösungen Coreboot, Heads und Nitrokey USB-Hardware können Sie überprüfen, ob Ihr Laptop während des Transports oder in Ihrer Abwesenheit manipuliert wurde (sogenannte Evil Maid Attack). Dabei wird effektiv die Integrität des TPM, der Firmware und des Betriebssystems durch einen separaten Nitrokey USB-Schlüssel überprüft. Schließen Sie einfach während des Bootvorgangs Ihren Nitrokey an das NitroPad an und eine grüne LED des Nitrokeys zeigt an, dass Ihr NitroPad nicht manipuliert wurde. Sollte die LED jedoch einmal rot leuchten, weist dies auf eine Manipulation hin.
 

Deaktivierte Intel Management Engine
Verwundbare und proprietäre Low-Level-Hardwareteile werden deaktiviert, um die Hardware robuster gegen fortgeschrittene Angriffe zu machen.
Die Intel Management Engine (ME) ist eine Art separater Computer innerhalb aller modernen Intel Prozessoren (CPU). Die ME fungiert als Master-Controller für Ihre CPU und hat weitgehenden Zugriff auf Ihren Computer (Systemspeicher, Bildschirm, Tastatur, Netzwerk). Intel kontrolliert den Code der ME und es wurden bereits schwere Schwachstellen in der ME gefunden, die lokale und entfernte Angriffe ermöglichen. Daher kann ME als Hintertür betrachtet werden und ist im NitroPad deaktiviert.
 

Vorinstalliertes Ubuntu Linux mit Festplattenverschlüsselung
NitroPad wird mit einem vorinstallierten Ubuntu Linux 18.04 LTS mit vollständiger Festplattenverschlüsselung ausgeliefert. Ubuntu ist eine der beliebtesten, stabilsten und am einfachsten zu bedienenden Linux-Distributionen. Der Umstieg von Windows auf Linux war noch nie so einfach.
 

Optional: Vorinstalliertes Qubes OS für höchste Sicherheitsanforderungen
Anstelle von Ubuntu Linux erhalten Sie auf Wunsch Ihren NitroPad mit vorinstalliertem Qubes OS 4.0 und vollständiger Festplattenverschlüsselung.
Qubes OS ermöglicht stark abgeschottetes Arbeiten mittels virtueller Maschinen (VM). Für jede Anwendung bzw. jeden Arbeitsbereich wird eine eigene VM gestartet. Dieser Ansatz isoliert Anwendungen und Prozesse wesentlich stärker als herkömmliche Betriebssysteme. Qubes OS hält Ihr System sicher, auch wenn eine Schwachstelle in einer der verwendeten Software ausgenutzt wurde. Beispiel: Wenn Ihr PDF-Anzeigeprogramm oder Webbrowser erfolgreich angegriffen wurde, kann der Angreifer den Rest des Systems nicht kompromittieren und wird ausgesperrt, sobald die VM geschlossen wird.
Zudem können getrennte virtuelle Arbeitsumgebungen verwendet werden, z.B. eine Offline-Arbeitsumgebung für geheime Daten und eine Online-Arbeitsumgebung zur Kommunikation. NitroPad mit Qubes OS ist technisch ähnlich wie SINA Clients (für Behörden), bleibt dabei aber transparent dank Open Source. Qubes OS ist für Benutzer, die maximale Sicherheit wünschen.
 

Schlüssel unter Ihrer Kontrolle
Alle individuellen kryptrografischen Schlüssel werden ausschließlich während der Installation direkt auf dem NitroPad generiert und nicht von uns gespeichert. Trotzdem können alle individuellen Schlüssel von Ihnen ersetzt werden. Anders als bei "Secure Boot" bleiben die Schlüssel zur Absicherung des Betriebssystems unter Ihrer Kontrolle und hängen nicht von der Zustimmung des Herstellers ab.
 

Inklusive Nitrokey USB-Schlüssel
Das NitroPad wird mit einem Nitrokey Pro 2 oder einem Nitrokey Storage 2 ausgeliefert. Deren Sicherheitsfunktionen umfassen beispielsweise E-Mail-Verschlüsselung (PGP, S/MIME), sichere Server-Administration (SSH) und Zwei-Faktor-Authentifizierung mittels Einmalpasswörtern (OTP). Der Nitrokey Storage 2 enthält zusätzlich einen verschlüsselten Massenspeicher mit versteckten Volumen.
 

Professionelle ThinkPad-Hardware
Basierend auf Lenovo ThinkPad X230 erfüllt die Hardware-Verarbeitung und -Robustheit professionelle Qualitäts-Ansprüche. Die berühmte ThinkPad-Tastatur mit Hintergrund-Beleuchtung und TrackPoint erlaubt komfortables Arbeiten. Die gebrauchten Laptops wurden generalüberholt.
 

Sofort startklar
Mit NitroPad müssen Sie sich nicht darum kümmern, das Gehäuse zu öffnen um den BIOS-Chip zu flashen, Linux zu installieren und zu konfigurieren oder den Nitrokey Pro/Storage einzurichten. Wir erledigen das für Sie. Der Nitrokey ist bereits mit Ihrem NitroPad konfiguriert, so dass er ohne weiteren Konfigurationsaufwand zur Manipulationserkennung verwendet werden kann.
 

Sicherheitsbewusster Versand
Um das Abfangen und Manipulieren Ihres NitroPads zu erschweren, werden das NitroPad und der Nitrokey USB-Schlüssel auf Wunsch in zwei separaten Lieferungen verschickt.

 

Anwendungsfälle

Für jeden
Mit dem NitroPad können Sie Manipulationen an der Hardware erkennen. Wird Ihr Laptop beispielsweise beim Grenzübertritt kontrolliert oder lassen Sie Ihr Gerät unbeaufsichtigt im Hotel oder während Reisen, können Sie die Integrität Ihres NitroPads mit Hilfe des Nitrokeys überprüfen.
 

Für Unternehmen
Das NitroPad kann als gehärteter Arbeitsplatz für Zertifizierungsstellen (Certificate Authorities) und andere Anwendungsfälle dienen, die Hochsicherheits-Rechner erfordern. Auf Geschäftsreisen schützt das NitroPad vor Evil-Maid-Angriffen während der Computer unbeaufsichtigt im Hotel oder im Reisegepäck ist.
 

Für Behörden
Behörden können sich mit dem NitroPad vor Advanced Persistent Threats (APT) schützen, ohne sich auf fremde proprietäre Technologien verlassen zu müssen.
 

Für Journalisten
Wenn Sie es als investigativer Journalist mit dem Schutz Ihrer vertraulichen Quellen ernst meinen, hilft Ihnen NitroPad dabei.

 

NitroPad X230 ist ab sofort in unserem Online Shop verfügbar.

 

Weitere Details finden Sie im Produkt-Infolatt.

9.2.2021

Comments

Nice idea the of Nitropad. It would be also a good idea to make the same kind of device as "Tiny Hardware Firewall VPN Client" that is only available to USA buyers. They have several devices. Nitrokey can have at least a device with Wi-Fi (2.4GHz/ 5 GHz) (a/ b/ g/ n/ ac/ ax) to capture the signal and WAN port (10/ 100/ 1000 Mbps), and Wi-Fi to distribute the Secure Wi-Fi (2.4GHz/ 5 GHz) (a/ b/ g/ n/ ac/ ax) and also 4 or more LAN ports (10/ 100/ 1000 Mbps). WPA2 and WPA3 enable for the Secure Wi-Fi. No WPS or similar. Wi-Fi Passwords by default at least like these: 74102-nxbbg-63135-jcynk-69351, and to access the device also things like username: wjghog-495535 and password: jsdsjb-244644 just to make life a little harder by default to attackers. Of course OpenVPN that allows multiple profiles, and also to have multiple jumps between different OpenVPN providers to make it harder for any of them individually to spy on the user, and a nice visual interface to show if any of them is not working and why the device it is not working (not reach the server, local network block, wrong credentials, etc.). And of course technology to allow to bypass attempts to prevent OpenVPN connections (bridges, obfuscation, etc.). Onion ("Tor") network also available. Compatible with login portals (captive portal friendly). With some sort of internal battery that can be easily replaced (say "21700 battery" or something else) and allow external power for even extended periods like "Powerbanks" and/ or directly connected to the electricity network.
I think I heard of this on LTT. I haven't watched the video though, Maybe I should.
W Does it make sense to install the NitroPad distro on other machines? Is there a procedure available? Regrettably there are just few open bios machines out there. Does it also work with TPM enabled machines?
We don't have any own Linux distribution, but customized Qubes and Ubuntu images. https://github.com/Nitrokey/ubuntu-oem/ https://github.com/Nitrokey/qubes-oem We didn't publish instructions how to flash Heads, but you can follow the documentation of Coreboot and Heads instead. Heads works on TPM enabled computers.
Fantastic work guys. Insurgo looked too costly and I wanted to buy a secure hardware laptop. Thank you so much ! It's ridiculous to live in a world where each device has hardware backdoors and there are hacking laws.
What about the last Intel chip flaw and CSME ?
I think is similar to PURISM hardware -> no problem. See news on the website of pursim.
I wonder if Qubes OS does work fast with several virtual machines or if there are any problems because of the old CPU and the old RAM. Is there anyone who has got experience with another Qubes OS running laptop? | Ich frage mich, ob Qubes OS trotz der alten CPU und dem alten RAM flüssig mit einigen Virtuellen Maschinen läuft. Hat jemand Erfahrung und eventuell einen Vergleich zu einem anderen Laptop?
It does. On X230 go for i7 and 16GB RAM.
Your webstore is down as of 5/12/2020 0447
We updated the system which is why our shop went down for a few minutes. It's available now.
Can you get others OS installs for Nitropad than Ubuntu,Mint and Qubes? Can you get a tutorial for changing the OS of Nitropad with all the required steps?
The answer depends on the actual operating system. For instance, Debian can't be installed as of now: https://github.com/osresearch/heads/issues/699
Really should come with a WiFi card that uses Free drivers. Free Software Foundation recommended OSes won't accept the currently built-in proprietary WiFi card('s drivers), and for good reasons. This is a security concern in itself, built in NitroPad's hardware. ME switched off, Heads, Qubes OS et cetera - all very nice; but including a proprietary WiFi card is a serious security risk that should (have) be(en) eliminated by default, i.e. before purchase. Ubuntu is NOT A SECURE OS, too: It contains spyware (data leaking to Canonical and Amazon), nonfree software (and recommends more of it). It should be avoided at all costs, if one cares about her privacy. Vanilla Debian, Parabola, Trisquel (is it still actively developed?), Qubes OS, Tails would be acceptable alternatives - and they are as user friendly, besides Qubes OS perhaps. Otherwise, quite nicely done of course. Thank you for doing this.
Indeed, we are considering adding a better WIFI card. Our Ubuntu 18.04 installation is customized and we removed the Amazon integration. Ubuntu 20.04 doesn't come with Amazon anymore by default. Debian can't be used with Heads as of now, unfortunately.
Do you have free drivers for the wifi module in the meantime?
The ath9k option is as open-source-ish as possible, AR9462 designs have been reported to run without binary blobs. But we've not explicitly verified this in detail within the distributions.
I really love your products, I have bought quite a bunch of Nitrokeys over the years, and I was very close to buying a Qubes Nitropad a few days ago, but it felt a bit too painful to pay around 850$ for a near full specification X230... Could you consider offering a "Nitropad2" or something like that, based for example on a ThinkpadT490 or similar with Intel ME disabled, Qubes installed, and the same boot timing and GPG signing safety features? I would be ready to pay 1500-2500$ for such a machine with full specs without thinking twice, and I think that I am not alone there. Anything that may be drastically less secure than the X230, given ME has been de-activated?
We don't plan to offer any other ThinkPad model soon. This space of Intel Boot Guard and custom firmware is really difficult and it's not that we have many other hardware options. However, we are interested to add other models in the future, if this becomes possible...
Why do you use Lenovo ThinkPads? The Chinese government has been installing backdoors into them for several years now.
That's why we are replacing Lenovo's BIOS/firmware with our own (Heads + coreboot).
Can we install any OS in virtual box on a nitro pad with Ubuntu?
yes
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Are you working with the Qubes team on the future version 4.1? Can you guarantee us the compatibility of your X230 with 4.1 today? -----BEGIN PGP SIGNATURE----- iHUEARYIAB0WIQTugWZs8PdShPP6eVZiJvXjaaomZAUCX0tkcgAKCRBiJvXjaaom ZLnqAP9DjLqvjcdKAZNLwJCrNyH62SXAgnNYHTTN+cmUHCH3awEAgJEQsMllyJKK +RQYAdqYgpsN9ahfKlQ7CQ54R6LJ0Ag= =aSKW -----END PGP SIGNATURE-----
Yes, NitroPads are Qubes-certified and therefore tested well.
How do I reset a nitro pad and the nitrokey pro to original state out of your shop without knowing the pins.
Do you also plan 17,3 notebook with these security features?
No plan for such, as of now.
How can Intel be on your customers list? Don't they trust their own Management Engine?
Is it possible to have no blobs installed to use this, I wanted to use Hyperbola as my operating system. Its a very interesting distribution focused on simplicity, stability, security, and freedom. Not in that order I might add. :) Also, is Hyperbola usable with heads? Can you test?
Do you refer to firmware blobs? We neutralize Intel ME in the firmware already. We don't have time to test Hyperbola in particular but in general every Linux distribution should work and we are not aware of any which doesn't work.
Ah, okay, what about the ethernet blob?
We use the standard blob for the Ethernet driver. If you don't want to use the built-in Ethernet, you would need to connect an external Ethernet adapter.
Oh okay, that wouldn't be a problem whatsoever, I have a few of those. :) I am curious though, is the intel me really unable to do anything remote after its disabled?
According to the current publich knowledge, Intel ME is fully neutralized. What we do is we disable Intel ME by setting the HAP bit and we remove the parts of Intel ME blob which can be removed.
Ah okay, so the backdoor has been rendered both harmless and ineffective. Is it broken beyond repair also? That would be cool.
What do you mean?
Well, I meant when you say its fully neutralized, your saying it can't do anything whatsoever, especially remote damage, as in over the net. correct?
Yes, that's the whole point of neutralizing ME, to prevent any remote access or damaging.
By the way on an old related note, Is this option to not have the ethernet blob added possible? I have a usb to ethernet dongle available.
We don't offer this as of now. I will see if we can add it in the future...
What about this vulnerability? SA-00086 Apparently, intel me being disabled still has this issue... :/ I found out about this vulnerability on wikipedia. And there is a link to it...
One other question though, when the ethernet blob is enabled, is it a remote issue and if so how significant?
I thought of one other question, will there be an option to update the firmware via nitrokey in bios?
But I mean like, regardless of the operating system... Is there a place where I can compile it from source, or is all this not important because you attach the firmware into the usb directly and then maneuver from there in the bios, etc...
You can download binaries and sources from: https://github.com/Nitrokey/heads/releases/latest To update the firmware, you store the firmware file on a USB drive and open it from Heads/firmware menu and trigger the update.
Good to know, that solves my problem for now. :)
Can you guys please make a plan for a laptop that can have more than 16gb of ram please. Speed is very important nowadays as we move into a virtual life. 32, 64, and even 128 gb of ram are becoming ever more important, example for professional software. Please make a plan for that option.

Pages

Add new comment

Fill in the blank.