Extra veilige laptop: Linux-laptop Nitrokey Nitropad X230

De NitroPad X230 is bijzonder veilig: de extra veilige laptop is standaard versleuteld en het starten van het systeem kan via een cryptostick gecontroleerd worden. De hardware ziet er op de een of andere manier echter bekend uit.

Het is geen toeval dat de NitroPad X230 doet denken aan Lenovo’s even robuuste als oude ThinkPad X230. Het bedrijf Nitrokey uit Teltow bij Berlijn maakt de NitroPad namelijk niet zelf, maar koopt gebruikte ThinkPads op om daar zwaar beveiligde laptops van te maken. Dat concept is zinvol, want de apparaten zijn stevig en makkelijk te repareren. Ook al is Lenovo zes jaar geleden gestopt met de productie, het is nog steeds makkelijk om reserve­onderdelen zoals accu’s en toetsenborden op internet te krijgen. Het recycling-idee heeft ook een positief effect op de prijs: Nitrokey verkoopt de NitroPad veilige laptop in de kleinste configuratie voor 450 euro. Dat is op zich wel aardig wat geld voor een tweedehandse ThinkPad van die generatie, maar dan hebben we het wel over een laptop die gericht is op mensen met bijzonder hoge veiligheidseisen.

Nitrokey heeft enkele wijzigingen aangebracht aan het apparaat. Dat merk je meteen als je de veilige laptop aanzet: in plaats van het Lenovo-BIOS meldt zich de opensource Coreboot. Met Coreboot hoef je er niet alleen maar op te vertrouwen dat een fabrikant geen veiligheidslekken of achterdeuren achter­gelaten heeft. Bij dit opensourceproject kan iedereen de ­broncode ­controleren en indien nodig zelfs zelf compileren.

Core­boot wordt gevolgd door Heads. Dat is een kleine Linux wiens taak het in wezen is een veilig en betrouwbaar opstartproces te garanderen – vergelijkbaar met Secure Boot, maar ook nu weer opensource en onder volledige controle van de gebruiker. Het veilig­heidsconcept van Heads is gebaseerd op het feit dat alle bootonderdelen door de gebruiker ondertekend moeten worden. Als Heads een onjuiste of ontbrekende handtekening tegenkomt, wordt het starten van het systeem afgebroken en wordt er een waarschuwing getoond. In dat geval moet je goed opletten, want dit kan betekenen dat er met je veilige laptop geknoeid is. Er kan bijvoorbeeld een rootkit actief zijn of een Evil-Maid-aanval plaatsvinden. Bij dat laatste geval kan een aanvaller een wachtwoordprompt in de opstartcode hebben gezet, die vraagt om het wachtwoord in te voeren om de harde schijf te ontsleutelen en dat vervolgens naar de aanvaller stuurt.

De systeemschijf van de NitroPad wordt op het moment van levering al versleuteld. Het wachtwoord is ‘PleaseChangeMe’ en moet uiteraard gewijzigd worden. Na Heads meldt zich een Ubuntu 18.04 LTS (Long Term Support). Na de eerste configuratie brengt Ubuntu zichzelf up-to-date, wat er bij ons meteen toe leidde dat de manipulatiedetectie van Heads aansprong: de bijgewerkte onderdelen waren namelijk nog niet met onze sleutel ondertekend, de volgende systeemstart werd onderbroken met een waarschuwing. Daarna moesten we de gewijzigde bestanden met Heads onder­tekenen, wat makkelijk te doen was.

Voor het ondertekenen gebruikt Heads een privé crypto-sleutel die onleesbaar staat opgeslagen op de meegeleverde Nitrokey Pro 2. Dat is een usb-stick die onder andere als een OpenPGP-smartcard werkt. In combinatie met de NitroPad heeft hij een andere interessante functie: hij controleert de handtekeningen van de opstartcomponenten tijdens het opstarten. Als alles in orde is, knippert hij groen, anders rood. Als je de Nitrokey altijd bij je draagt aan je sleutelbos, kun je er zeker van zijn dat er niet met je NitroPad geknoeid is tijdens je afwezigheid of tijdens een grenscontrole. Tijdens het gebruik van Ubuntu kan de sleutel extra taken op zich nemen en dienen als OpenPGP-smartcard voor mail-encryptie of via OTP als tweede factor bij het inloggen op webservices zoals Google en Facebook. De nieuwe FIDO2-procedure voor het inloggen zonder wachtwoord ondersteunt deze versie van de Nitrokey echter niet.

De meegeleverde Nitrokey-stick controleert of de opstartcode gemanipuleerd is.

Volgens Nitrokey wordt de NitroPad veilige laptop geleverd met de Intel Management Engine (ME) grotendeels uitgeschakeld. Dit is een microprocessor met eigen firmware, die hardwarematig de functies van moderne computers overneemt. De Engine werkt als een zwarte doos en is nauwelijks gedocumenteerd, en heeft in het verleden herhaaldelijk voor opschudding gezorgd door fatale beveiligingsgaten. Normaal gesproken is er geen manier om die zwarte doos heen en moet je de fabrikant maar weer vertrouwen dat hij de kritische chip veilig geprogrammeerd heeft en snel updates levert zodra er een kwetsbaarheid ontdekt wordt. Maar de ervaring leert dat je niet op het een dan wel het ander kunt vertrouwen. Nitrokey stelt bij de NitroPad een bepaalde bit in en overschrijft bovendien delen van de ME-firmware. Daardoor moet de ME gedeactiveerd worden of in ieder geval het effect ervan tot een minimum beperkt blijven. Dat is echter niet te verifiëren.

In principe bestaat het gevaar dat apparaten zoals deze veilige laptop tijdens het vervoer naar de klant onderschept worden en gemanipuleerd. Het is denkbaar dat er een keylogging-chip of een bug ingesoldeerd wordt, wat voor de gebruiker onmogelijk te detecteren zou zijn. Ook het manipuleren van bestaande laptopchips kan de veiligheid ernstig in gevaar brengen. Als je dat aanvalsscenario wilt uitsluiten of in ieder geval het risico wilt verminderen, kun je de NitroPad voor een meerprijs van 100 euro laten verzenden met verzegelde schroeven en in een verzegelde transportzak. We hebben onze veilige laptop verzegeld laten versturen, en waren verrast door de pragmatische uitvoering: de laptop werd geleverd in een bewijszakje zoals je die kent van misdaadseries. Na het openmaken van de zak kan die niet meer goed gesloten worden.

Een verzegelde schroef van de NitroPad X230 in close-up. De fabrikant stuurde deze foto per e-mail ter verificatie dat onze laptop tijdens het transport niet geopend was.  Foto: Nitrokey

De schroeven van de veilige laptop waren eenvoudigweg bedekt met glitternagellak. Nitrokey mailde ons macrofoto’s van alle schroeven, waarmee we konden controleren of de laptop niet geopend was sinds deze het bedrijf verliet. Het idee is eenvoudig maar effectief – de positie van de glitterdeeltjes in de heldere nagellak is compleet willekeurig en nauwelijks reproduceerbaar. Als dat niet genoeg is, kan de Nitrokey-stick voor 20 euro extra ook apart geleverd worden. Dat verkleint de kans dat de bootsoftware van de NitroPad onderweg gemanipuleerd is en opnieuw ondertekend, omdat je daar zowel de laptop als de stick voor nodig hebt.

Als je kiest voor een veilige verzending, krijg je de Nitrokey NitroPad in een verzegelde bewijszak toegestuurd. Die zak kan na opening niet meer goed worden gesloten.

Afgezien van de hierboven beschreven modificaties heeft de NitroPad X230 geen positieve of negatieve verrassingen in petto – het is beproefde hardware. Het vorige leven van onze NitroPad als ThinkPad is wel te zien in zijn leeftijd. Hij is in een conditie die past bij die leeftijd met sporen van gebruik en kleine krassen. Het display toont de typische druksporen van het toetsenbord, dat nog steeds uitstekend typt. De leeftijd van de laptop valt het meest op bij het display: het 12,5-inch scherm met een resolutie van 1366 × 768 pixels ziet er kleurloos uit en is niet meer van deze tijd. In tegenstelling tot een nieuw apparaat heeft de laptop een garantie van 12 maanden, en geen 24 maanden.

Je kunt zien dat de NitroPad een voorgeschiedenis heeft als een ThinkPad. Ons exemplaar had duidelijke tekenen van gebruik.

De hardwareconfiguratie hangt volledig af van hoe diep je in je zak wilt reiken: voor 450 euro krijg je een i5 3320M-processor, 4 GB RAM en een harde schijf met 320 GB. Onze testversie komt bijna overeen met de maximale configuratie met een i7 CPU (3520M), 16 GB RAM en 256GB-ssd en kost 835 euro. Het verbaasde ons niet dat je met een oudere Ivy-Bridge-processor met veel werkgeheugen en een ssd nog steeds goed uit de voeten kunt.

Bij een praktijktest kon het apparaat altijd soepel worden bediend en werd het niet overbelast door een virtuele Windows 10-­machine. We hebben zonder problemen een extern display op de NitroPad kunnen aansluiten via DisplayPort. Natuurlijk kan de verouderde processor de huidige cpu’s niet bijhouden, maar de beschikbare prestaties zijn voor de meeste toepassingen nog steeds voldoende. Performancevreters zoals games en video-editors zullen op deze kleine Linux-laptop waarschijnlijk toch al niet gebruikt worden. De accuduur van minder dan zes uur in rusttoestand is vrij kort. We hebben geen pogingen gedaan om Windows te installeren – Coreboot is volledig ontworpen voor Linux, om daar Windows op te installeren zou alleen maar een hoop gedoe worden – als het überhaupt al zou lukken. Nitrokey kon ons geen informatie geven of en hoe Windows op het apparaat werkt.

De Nitrokey NitroPad X230 is interessant voor iedereen die behoefte heeft aan een (zeer) hoge mate van beveiliging – en daarbij de voorkeur geeft aan opensource in plaats van propriëtaire oplossingen zoals Secure Boot en Bit­Locker. De NitroPad is niet chic, maar wel solide en relatief goedkoop. Laptops met Coreboot zijn over het algemeen juist zeldzaam en duur. Ter vergelijking: Purism verkoopt zijn Librem-laptops met Coreboot en Heads voor 1400 dollar en meer. In ruil daarvoor krijg je dan wel een gloednieuw apparaat met een veel nieuwere Kaby-Lake-architectuur.

Als je technisch bedreven bent en graag sleutelt, kun je de conversie ook zelf uitproberen. Een geschikte ThinkPad kost ongeveer 150 euro, het installeren van Coreboot en Heads is openbaar gedocumenteerd. Maar dat is geen triviale taak: het apparaat moet worden geopend en de flashchip voor het BIOS moet worden uitgelezen en opnieuw geladen.

(Ronald Eikenberg en Noud van Kruysbergen, c’t magazine)

Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief: