Purism Librem筆電將會更安全！新增高安全性啓動程序PureBoot

計算機制造商Purism爲自家筆電加入了新的系統啓動程序PureBoot，這是一個整合衆多軟件，以安全開放爲優先考慮的高安全性開機程序。Purism安全長Kyle Rankin提到，很多黑客喜歡從計算機啓動程序下手，由於能夠進一步隱藏惡意軟件而不被系統發現，雖然多數啓動系統也提供了應有的防禦，但許多廠商爲了方便，使用軟件簽章密鑰，限制只有供貨商認證的啓動軟件才能執行，雖然保護了系統安全，但也限制了用戶控制系統的能力。而Purism要在不犧牲安全以及便利性的狀況下，將這些控制權力還給使用者，所以開發了PureBoot，這是一個綜合多種技術的高安全啓動程序，由於方便起見才以單一名字稱呼，其實PureBoot包含了6大部分，Purism不僅關閉了英特爾管理引擎（Intel Management Engine），置換BIOS成開源任體Coreboot，還使用可信任平臺模塊（Trusted Platform Module，TPM），並加入防篡改啓動軟件Heads，用戶能夠利用Librem USB安全密鑰Librem Key多因素身份認證解鎖磁盤。

Kyle Rankin表示，PureBoot能夠防止多種類型的資安風險，像是筆電遭竊而使敏感數據曝光的風險，因爲PureBoot默認加密系統，所以在首次啓動時，使用者就必需要設定密鑰進行加密，並且Librem Key與LUKS磁盤加密整合，用戶在首次設置完成後，以後只要插入Librem Key就能啓動系統，並在出現提示時，輸入用於GPG簽章的Librem Key PIN碼就能啓動系統。而對於BIOS惡意軟件以及核心Rootkit攻擊，PureBoot也能有效防範，使用者只要插入Librem Key，透過上頭閃爍的燈號就能知道系統安全情況。因爲PureBoot啓動從加載自由軟件BIOS Coreboot開始，Kyle Rankin提到，黑客的惡意軟件一般瞄準主流的專有BIOS，所以使用Coreboot已經能夠避開多種攻擊。

接着加載Heads防竄改啓動程序，並使用TPM芯片比對BIOS，只要Librem Key閃爍綠燈，便表示BIOS安全沒有遭到竄改，遭竄改則閃爍紅燈。過去Heads僅在一小羣的Beta測試計劃中實行，因爲效果卓越，所以如今對外公開，釋出Heads公開測試版。另外，存在於全部使用英特爾芯片計算機上的英特爾管理引擎，是英特爾用來初始化硬件的專有軟件，在部分計算機上，還包含了容許IT人員透過網絡遠程訪問計算機，查看屏幕內容並控制硬件的功能。因爲英特爾管理引擎爲閉源程序，外界沒法對其安全漏洞或是複雜後門程序進行有效審覈，並且資安公司Positive Technologies也發現多個管理引擎的安全漏洞，所以PureBoot採起多種手段對抗管理引擎的漏洞。Purism選擇使用不包含AMT功能的管理引擎芯片，並禁用英特爾管理引擎，不僅如此，Purism還清除管理引擎大部分的程序代碼，只留下一小塊模塊用來初始化硬件，並以TPM芯片以及Heads防篡改啓動軟件保護系統，免於遭受修改過的管理引擎攻擊。爲了防止所用的硬件被廠商加入後門，Kyle Rankin表示，他們進一步保護供應鏈，而且向客戶提供運送反攔截服務，Purism會向客戶分開送出Librem Key以及筆電，當用客戶收到二者時，便能使用Librem Key驗證筆電是否遭到竄改。PureBoot皆使用自由軟件，用戶能夠隨時進行審覈和修改，Purism提到，他們將會在筆電中採用PureBoot，預計在2019年第二季上市。