Mit Chrome OS hat Google ein eigenes Client-Betriebssystem komplett neu entwickelt. Dabei standen die drei Ziele Geschwindigkeit, einfache Handhabung und Sicherheit an oberster Stelle im Pflichtenheft. Im dritten Beitrag unserer Blog-Reihe erfahren Sie, was Chrome OS so besonders macht und wie es diese Design-Ziele erreicht.
Der Browser Google Chrome basiert im Kern auf dem Open-Source-Projekt Chromium, zu dem Google einen sehr grossen Beitrag leistet. Ebenso bildet mit dem Chromium OS, einem Abkömmling der Linux-Distribution Gentoo, ein weiteres Open-Source-Projekt die Basis für das Betriebssystem Google Chrome OS, das Chromium OS um Closed-Source-Komponenten ergänzt. Im Hinblick auf die Sicherheit des Systems ist das Besondere an Chrome OS die enge Verzahnung von Hardware und Software. Details hierzu beschreibt das Google Whitepaper „Cloudnative Sicherheit für Endpunkte“. Wir fassen hier die wichtigsten Aspekte zusammen.
Wenngleich viele verschiedene Hersteller Chromebooks anbieten, ist deren Systemarchitektur unter der Haube doch identisch. Alle Hersteller fertigen ihre Systeme streng nach der Spezifikation von Google. Dies bedeutet, dass es – im Gegensatz etwa zu Microsoft Windows – keine hersteller-spezifischen Treiberpakete gibt, welche die Administratoren installieren und regelmässig aktualisieren müssten. Alle Chromebooks führen dieselbe native Firmware, darauf Chrome OS und darin den Browser Chrome sowie weitere Anwendungen aus.
Das Fundament für die Sicherheit bildet ein Sicherheitschip namens „Titan C“, der in mancher Dokumentation auch unter den Bezeichnungen Cr50 oder H1 geführt wird. Titan C verifiziert beim Boot eines Chromebooks dessen Firmware, indem er einen Hash-Wert berechnet und diesen mit einem von Google signierten Hash-Wert vergleicht.
Die Firmware verifiziert im nächsten Schritt in gleicher Weise den Kernel, der wiederum alle weiteren Codeblöcke des Betriebssystems und schliesslich des Browsers verifiziert. Erkennt das System einen potenziellen Malware-Befall oder irgendeine andere Form von Manipulation, bricht es den Boot-Prozess ab und startet ein Backup der Firmware und des Betriebssystems.
Dass dies funktioniert, liegt unter anderem in der Partitionierung begründet, die in der Dokumentation des Chromium OS im Detail grafisch dargestellt ist. In aller Kürze: Die Partitionen für den Kernel sowie für das Root-Dateisystem sind jeweils doppelt vorhanden. So kann ein Chromebook immer zwei Versionen von Kernel und Betriebssystem vorhalten, eine aktive und eine inaktive. Die aktiven Partitionen sind im laufenden Betrieb grundsätzlich schreibgeschützt eingebunden. Endanwender haben keine Admin-Rechte und benötigen diese auch nicht, denn sämtliche Datenverarbeitung und -speicherung findet im User-Space, nicht im Kernel-Space statt. Schreibenden Zugriff benötigen die User daher nur auf eine verschlüsselte Partition, in der sie ihre verwendeten Apps und persönlichen Daten speichern. Sollten sich im Boot-Prozess trotzdem Anzeichen für eine Kompromittierung finden, wechselt das System auf eine intakte Version von Kernel und Betriebssystem aus den Backup-Partitionen.
Diese Architektur sorgt auch dafür, dass Updates aus Sicht der Endanwender ohne Downtime und Wartezeit auskommen. Sobald Google eine neue Version von Chrome OS veröffentlicht, was derzeit planmässig alle vier bis sechs Wochen der Fall ist, lädt das System diese im Hintergrund herunter und installiert sie in der zu diesem Zeitpunkt inaktiven Partition. Beim nächsten Reboot tauscht das System automatisch die aktiven und inaktiven Partitionen gegeneinander aus und startet mit der neuen Version von Chrome OS. Beim nächsten Betriebssystem-Update wiederholt sich dieser Prozess.
Über die Absicherung des Boot-Vorgangs hinaus hat die Sicherheit auch während der Arbeit mit einem Chromebook einen sehr hohen Stellenwert. Chrome OS nutzt hier konsequent das sogenannte „Sandboxing“. Jede einzelne App, jede Instanz des Browsers Chrome – ja sogar jeder einzelne Tab und jede Domain innerhalb der Browser-Instanzen – sind jeweils in ihrer Sandbox von allen übrigen abgeschottet, sodass sie sich nicht gegenseitig beeinflussen können. Hinzu kommen die „Safe Browsing“-Funktionen und der Passwort-Safe mit integrierter Prüfung auf kompromittierte Passwörter im Browser Chrome.
Bislang kann Chrome OS für sich in Anspruch nehmen, dass die Sicherheitskonzepte absolut zuverlässig funktionieren. Bei Hacker-Wettbewerben wie dem berühmten „Pwn2Own“ oder dem von Google selbst ausgelobten und mit hohen Preisgeldern versehenen Wettbewerb „Pwnium“ wurden zwar in der Vergangenheit einzelne Sicherheitslücken gefunden – und von Google sehr schnell gefixt. Es ist aber noch keinem Teilnehmer gelungen, Chrome OS komplett zu übernehmen.
Durch all diese Massnahmen sind die Endanwender bei der Arbeit mit Chrome OS umfassend vor Phishing, Social Engineering und anderweitigen Angriffsvektoren geschützt – und dies, ohne dass sich Administratoren um Installation und Pflege herkömmlicher Anti-Malware-Lösungen von Drittanbietern kümmern müssten.
Welche Apps und Anwendungsmöglichkeiten für Chrome OS verfügbar sind, werden wir im Beitrag „Google Chrome OS – Erweiterungen, Apps und PWAs“ vorstellen.