Von Reset-Vektoren und Eigentumsrechten
Boot-Sicherheit, Vertrauensketten und Konformität unter dem Cyber Resilience Act (CRA)
Wer Vertrauensanker kontrolliert, kontrolliert das Gerät, und der CRA sorgt gerade auf EU-Ebene mit harmonisierten Standards dafür, zu beantworten was verpflichtend auf der Verpackung stehen muss.
Zwei Fragen sind bei der Sicherheit der Bootchain tief verzahnt: eine technische („verifiziert dieses Gerät den Code kryptografisch vor der Ausführung?") und eine politische („mit wessen Schlüsseln?"). Für die FOSS-Community sind die Fragen nicht neu und sie begleiten uns spätestens seit UEFI Secure Boot. Mit dem CRA sind sie jetzt in EU-weiter harmonisierter Normung.
Der Vortrag erklärt die technischen und regulatorischen Grundlagen und schaut auf die verschiedenen Beteiligten mit ihrer jeweiligen ökonomischen und operativen Realität. Welche Fragen werden auf EU-Ebene mit dem CRA und den Normen tatsächlich beantwortet, wenn es um Sicherheit und Souveränität von Nutzer*innen geht? Und was bedeutet das alles für das umliegende Ökosystem, oder eben gerade nicht?
Gerade für FOSS-Enthusiasten ist es sehr relevant, ob sie mit einem Gerät machen können, was sie wollen, oder ob das einfach nur ein fremdgesteuertes Etwas ist, über das nur eingeschränkte Kontrolle besteht. Gerade bei Geräten mit persönlichen Daten ist es extrem wichtig zu wissen, wer was mit welchen Daten machen kann und wer die Hoheit hat.
Im Cyber Resilience Act sind verschiedene Aspekte dieser Frage behandelt. Wir arbeiten an Standards, die das zumindest transparent machen sollen.
Wichtig ist auch, dass die Gesetzgebung weitreichende Freiheiten für FOSS vorsieht, die in den Standards reflektiert sind.