Wer sich sinnvoll ein neues Mobiltelefon anschaffen möchte, hat mit konkurrierenden Aspekten zu tun:
- Privatsphäre
- Sicherheit
- Nachhaltigkeit (lange Lebensdauer von Maschine, Software und Akku; reparierbar, recyclen)
- Transparente Wertschöpfung (sog. fairer Handel, Wertschöpfungskette, gerechte Entlohnung)
- Lieferkette (saubere und nachvollziehbare Gewinnung der Rohstoffe)
- Menschenrechte (solidarische Arbeitsbedingungen, keine Kinderarbeit ...)
- OpenSource
- Ausstattung
Leider erfüllt keines der aktuell in 2024 auf diesem Planeten gebauten Mobiltelefone alle Anforderungen aus diesen verschiedenen Blickwinkeln. Vielmehr gibt es bisher nur Teillösungen, z.B. das
- Fairphone bezogen auf Nachhaltigkeit, Wertschöpfung und Menschenrechte
- NitroPhone/ GrapheneOS bezogen auf Privatsphäre und Sicherheit sowie OpenSource
GrapheneOS
Ein Betriebssystem auf Basis des Android Open Source Project (AOSP), welches sich auszeichnet durch
- gehärteten Kernel, Toolchain und Laufzeitumgebung,
- einer stark abgesicherte App-Sandbox und
- der Entfernung von Google-Diensten
Eine starke Verschlüsselung sowie ein verifizierter Bootvorgang mit Nutzung des dedizierten Sicherheitschips Titan M2 schützt vor fortgeschrittenen physischen Angriffen und stellt sicher, dass das Betriebssystem unverändert ist. Daher kann derzeit (Stand Februar 2024) das Betriebssystem weiterhin nur auf einem Google Pixel Gerät installiert werden, da der Google Sicherheitsschip am fortgeschrittesten entwickelt ist.
Wer Erfahrungen mit dem Unlock eines Android-Mobiltelefons hat oder interessiert ist, hat nach der ca. 15 minütigen (netto) browserbasierten Installation ein sicheres System mit grundsätzlichen Standard-Apps: Vanadium (WebBrowser), PDFViewer, Telefon, SMS/MMS, Auditor, Kamera. Dabei kann man es belassen ;-)
Hinweis: der brutto-Zeitaufwand ist höher, da vor der Installation von GrapheneOS erst einmal im Google Android alle Updates installiert werden müssen/sollten.
Vor Zugang des Gerätes in Netzwerke und dem Internet sollte mit der Auditor-App die Authentizität und Integrität der Telefonsoftware geprüft und dokumentiert werden.
Das Betriebssystem setzt Maßstäbe beim Stand der Technik. Und es erfüllt Privacy by Design und Privacy by Default.
Weitere Features
- Verwürfelung des PIN-Layouts
- Blitzschnelle Verteilung von Sicherheitsupdates
- Alle Apps sind in einer Sandbox untergebracht
- Isolierung Baseband-Funkprozessor mittels IOMMU, dadurch Schutz gegen over-the-air Exploits
- Nur-LTE-Modus (optionale Deaktivierung vom Netztyp 2G und 3G)
- Standardmäßig kein Tracking, kein Google
- Schutz vor Tracking: Apps können nicht auf IMEI- und Seriennummern des Gerätes, Seriennummern der SIM-Karte, Teilnehmer-ID, MAC-Adresse usw. zugreifen.
- MAC-Randomisierung pro Verbindung verhindert die Verfolgung (Tracking) durch WiFi-Scanner in der Nähe.
- Granulare Netzwerk- und Sensor-Berechtigungen für jede App einstellbar
- Wer es echt braucht: Installation des originalen Google Play Services ist möglich in einer Sandbox ohne besondere Privilegien. Ich empfehle hier die Nutzung eines weiteren Profils, in welchen dann und nur dort mit Google Play Services und entsprechenden Apps gearbeitet wird. Wenn man also diese google-play-abhängigen Apps nutzen will, wechselt man in dieses Profil. Ein Datenabfluss findet also nur in diesem Profil statt. Mögliche Apps wären z.B. Deutsche Bahn, Flinkster, manche Banking-Apps, Google Authenticator usw
- siehe ansonsten auch die Übersicht der Features bei GrapheneOS.
Weitere Apps mit F-Droid und von Herstellern
Mit der App F-Droid erhält man einen Katalog mit Free and Open Source Software (FOSS-Apps), worüber sich bei Bedarf ein weiterer Schwung von Apps installieren lässt. Der Katalog ordnet Apps auch Anti-Features zu, wenn diese unerwünschte Merkmale aufweisen, z.B. wird OsmAnd+ als "non-Free Net" geführt, da die App nur mit einem vorgegebenen Server sich verbinden lässt. Im Sinne von OpenSource ist das unerwünscht, alternative Server sollen für einen Dienst möglich sein.
Beispielhaft sind folgende grundlegende Apps genannt:
- DAVx5 (Verwaltung Konten CardDAV, CalDAV, Webcal, Nextcloud usw.)
- OpenTasks (Aufgaben)
- etar (Kalender)
- K-9 Mail
- Nextcloud
- Fennec (Zweit-Webbrowser basierend auf Firefox)
sowie weitere interessante Apps:
- Conversations (Messenger)
- Threema (Messenger)
- Delta Chat (Messenger via E-Mail IMAP)
- OsmAnd+ (Openstreetmap)
- Tiny Tiny RSS (Feed-Reader)
- KeePassDX (Schlüsselverwaltung)
- F-Droid Nearby
- Ning (Netzwerkscanner)
- editor
- Kleine Wettervorschau Deutschland (basiert auf DWD Daten und Warnmeldungen)
- AusweisApp (elektronischer Personalausweis)
- AntennaPod (Podcasts)
- VLC (Video/Audio)
- AnkiDroid (Vokabeln lernen)
- TimeCop (Zeiterfassung, lokal)
Manchmal sind Apps direkt vom Hersteller zu besorgen und manuell zu installieren:
- Signal (Messenger)
In allen Fällen sollte sehr genau geprüft werden, ob und was zusätzlich installiert wird. Dabei muss immer die Herkunft bekannt und das Einspielen von Updates garantiert sein.
Nachteil
Größter Nachteil derzeit: GrapheneOS kann nur auf Maschinen mit dem Titan M2 Chip installiert werden. Alles andere untergräbt sofort die Überlegungen hinsichtlich Sicherheit gegen physische Einbrüche und Manipulationen. Der Titan M2-Chip ist von Google entwickelt und ist mit Stand Februar 2024 nur in Google Pixel-Geräte vorhanden. Alternative brauchbare Chips oder andere Hersteller mit Titan-M-Geräte gibt es bisher nicht.
Aber: am 07.02.2022 teilt GrapheneOS via Twitter mit, dass sie mit einem Hardware-Anbieter zusammenarbeiten, um ein Gerät mit vergleichbarer Sicherheit und Support als Alternative zu Pixel zu entwickeln. Weiteres Details werden erst in ein paar Monaten veröffentlicht.
Hardware-Preise beginnen daher leider bei 350€ aufwärts.
Ausbau von Mikrofon und Sensoren
Ein paar Menschen benötigen vielleicht noch eine höher gehenden Gewissheit über die Einhaltung der Privatsphäre. Für den Fall können Mikrofon und Sensoren ausgebaut werden und bei Bedarf wird dann ein externes Headset mit USB-C-Stecker genommen zum Telefonieren. Der Ausbau erfordert entsprechendes Werkzeug und sicherlich handwerkliches Geschick. Bei Ifixit weist die Anleitung bis zum Ausbau des unteren Mikrofons 41 Schritte auf bei einem Google Pixel 4. Für das unten beschriebene Nitrophone kann man den Ausbau beauftragen beim Kauf.
Meine Erfahrungen (Oktober 2021, Update Dezember 2021, Update Februar 2024)
2024
- weiterhin beste Wahl
- weiterhin hohe Zeitersparnis, da wie sonst üblich bei den anderen, kommerziellen Betriebssystemen nach Updates hier keine Änderungen der Privacy-Einstellungen stattfinden, also nicht nochmals diese geprüft und überall verschiedenste Haken wieder wie gewünscht gesetzt werden müssten. Betriebswirtschaftlich ist somit der Anschaffungspreis durch diese Zeitersparnis zügig ausgewogen.
- durch die gesetzliche Verschärfung der EU hinsichtlich Verfügbarkeit von Ersatzteilen (7 Jahre), Funktionsupdate (5 Jahre), USB-C als Standard, Pflicht des Einspielens von Sicherheitsupdates nach spätestens vier Monaten, bei Funktionsupdates nach sechs Monaten usw. ist die Lebensdauer somit endlich verlängert, da ohne Sicherheitsupdates ein Mobile-Gerät nicht mehr regulär genutzt werden sollte. Diese gesetzlichen Anforderungen müssen bis spätestens Ende 2024 umgesetzt werden in der EU. Details der Lebensdauer bei GrapheneOS. Berichte Ende 2022 bei heise und Der Standard.
- die im AOSP durch Google bereitgestellten Updates werden sehr schnell eingespielt vom Entwickler-Team. Auch das Upgrade auf die Android Version 14 wurde zügig umgesetzt.
2021
- kein bis extrem geringes Datensendeverhalten der installierten Apps an Hersteller. Prüfung im Dezember 2021: eine Verbindung zu grapheneos.network sowie wenige, legitime Hintergrund-Verbindungen der installierten Apps wie Threema, Signal, Corona-Warn-App, K9. Die Telefonie/VOIP über WLAN läuft auf IPSEC-Basis via 3gppnetwork.org.
(Dagegen ein Xiaomi-Mobile: kontinuierliche Verbindungen zu Google und Xiaomi, auch zu Bereichen, die nie genutzt werden wie Youtube (Google), Gtalk (Google), Chat (Xiaomi) usw...; krass hier auch das Versenden einer SMS, die nur über das LTE-Mobilnetz gesendet wird, ABER: bei jeder SMS wird eine Verbindung via WLAN nach app-measurement.com, also Google, aufgebaut) - ein erstes Gefühl von Vertrauen in dem mobilen Kleinstcomputer und das die Hoheit über diese Art Maschine zu erlangen möglich ist
- endlich kein zeitaufwendiges Rumklicken mehr in der Konfiguration des Betriebssystems und aller Apps, um die Privatsphäre und Sicherheit zu erhalten bzw. erhöhen (alleine dieser schwindende Aufwand rechtfertigt monetär problemlos den Pixel-Kauf und Installationsaufwand; oder gar den Kauf des Nitrophones!)
Nitrophone
Die Nitrokey GmbH (Berlin) hat 2021 das NitroPhone in ihrer Produktpalette aufgenommen, ein Mobiltelefon auf Basis von GrapheneOS und Pixel. Wer also das GrapheneOS nicht selbst auf ein Pixel installieren kann/will, hat hier die Möglichkeit, das komplett fertig installiert zu kaufen. Optional kann auch die physische Entfernung von Mikrofonen und Sensoren beauftragt werden beim Kauf.
Im Shop kann auch eine Blickschutzfolie gekauft werden.
Initiale Installation durch mich
Ich kann die Installation für Sie durchführen bzw. dabei unterstützen. Bei Bedarf sprechen Sie mich bitte an.
Ebenso kann ich ein Template bereitstellen für eine individuelle Schutzhülle, die bei Budni / CEWE dann beauftragt werden kann.
Anleitung für die Installation von GrapheneOS auf einem Google Pixel Gerät
Wie jede Anleitung spiegelt die folgende eine Hilfe dar und muss daher nicht vollständig sein oder unter jeder Bedingung funktionieren. Sie enthält Erfahrungswerte und relevante Hinweise, zuletzt angewendet Juli 2023 mit einem Pixel 6a. Sie bezieht sich auch auf fabrikneue Geräte.
zuerst Google Updates
Wichtig: das Mobile muss auf den letzten Stand gebracht werden, damit die neueste Firmware für den Anschluss des Pixel Gerätes an den Computer vorhanden ist für die Durchführung des Flash-Prozesses.
Es muss also einmal das Gerät initialisiert werden mit dem originalen Google Android. Es wird kein Googe Play Konto benötigt, um die Systemupdates durchzuführen. (Es wird auch kein Konto für App-Updates benötigt! Einfach bei Bedarf oben Rechts auf die drei Punkte für Einstellungen in Google Play klicken).
WLAN sollte eingerichtet werden, weil die Systemupdates sind mind. je 500MB groß und in Summe kann das Monatsdatenvolumen schnell verbraucht sein.
Bei einem Neugerät können das vier bis fünf Neustarts sein, also nach jedem Neustart wegen Update nochmals prüfen lassen, ob es noch ein weiteres Update gibt. Manche Updates ziehen sich lange hin, so war z.B. das erste Update bei einem im Juli 2023 gekauften Pixel 6a ca. 45 Minuten unterwegs, Grund: Upgrade auf Version 13 mit etwa 520 MB. Zweite Update danach mit 275 MB. Dritte Update mit 362 MB. Vierte Update mit nur 20 MB hat auch reichlich gedauert. Insgesamt benötigten alle Updates locker 3 Stunden. Sollte man also einplanen und gute Nebentätigkeiten parat haben.
Computer zur Einrichtung des Mobiles vorbereiten
unter
- Debian 12: apt-get install android-sdk-platform-tools-common
- Windows 10: Gerät anschließen und über UPDATE OPTIONALE die erforderlichen Treiber installieren lassen
Webbasierte Installation
- als Admin ausführen in Windows-Umgebung, um ggf. Treiber zu installieren
- webbasiert: https://grapheneos.org/install/web
- Anleitung verstehen und Schritte durchführen (ggf. per deepl.com übersetzen)
- Ebenfalls ggf. die Seite mit F5 neu laden oder gar Cache löschen und Browser neu starten -> error "you need to download a release first"
- beim Pixel 6a: OEM-Freischaltung /-entsprerrung funktioniert nicht direkt!
- über ein Over-the-Air-Update (WLAN ...) auf die Version vom Juni 2022 oder später aktualisieren. Also wie Eingangs beschrieben bis zum letzten Update
- dann auf das Gerät auf die Werkseinstellungen zurücksetzen: EINSTELLUNGEN / SYSTEM / OPTIONEN ZUM ZURÜCKSETZEN -> Alle Daten Löschen (auf Werkseinstellungen zurücksetzen)
- nach dem Neustart muss erneut die initiale Konfiguration nochmal durchgeführt werden
- dann EINSTELLUNGEN / ÜBER DAS TELEFON / BUILD-NUMBER (xfach klicken bis Zähler die Entwicklungsumgebung frei gibt)
- dann EINSTELLUNGEN / SYSTEM / ENTWICKLEROPTIONEN und dort die OEM-ENTSPERRUNG zulassen
- GERÄT ausschalten
- VOLUMEN DOWN Button festhalten und GERÄT starten -> es sollte nun im FASTBOOT MODE halten
- GERÄT an vorbereiten Computer anschließen und mit Edge, Chromium etc. (ABER NICHT Firefox) die Webseite öffnen: : https://grapheneos.org/install/web
- bei Klick auf UNLOCK BOOTLOADER muss das entsperrte Mobile gelistet sein. Auswählen und dann auf CONNECT klicken
- Probleme:
- Beachten: Firefox funktioniert nicht;
- USB-C auf USB-C Kabel funktionierte nicht -> USB-A auf USB-C genommen -> OK
- Gerätetreiber schauen, ob gelistet das Pixel, ggf. Treiber aktualisieren
- Android Device muss als Rubrik vorhanden sein
- am GERÄT den Menupunkt UNLOCK the bootloader auswählen und mit Power-Knopf bestätigen -> führt zu Neustart und nun erscheint unten im FASTBOOT MODE das Wort unlock
- Probleme:
- dann die weiteren Button auf der Install-Webseite klicken, wenn jeweils der Balken vollständig ist
- wenn ein Timeout gemeldet wird auf der /install/web: diese Seite neu laden und nochmals die Button prüfen und FLASH RELEASE klicken.
- wenn fastbootd am Mobile display erscheint, nichts machen, es werden im Hintergrund die Programme etc. geschrieben (sollte bei /install/web so auch stehen; ansonsten siehe zuvor)
- Fertig wenn: "Flashed ... zip to device" dort steht
- Disabling OEM unlocking
- Der Menupunkt Entwicklereinstellungen ist deaktiviert. Um also die OEM-entsperrung zu deaktiveren, muss zuerst die Entwicklerumgebung wieder aktiviert werden, dann kann die Entsperrung deaktivert werden. Dabei die Entwicklerumgebung ebenfalls wieder deaktivieren.
- Verifying installation
- "Die von den unterstützten Geräten bereitgestellten Funktionen "Verified Boot" und "Attestation" können verwendet werden, um zu überprüfen, ob die Hardware, die Firmware und die GrapheneOS-Installation echt sind. Selbst wenn der Computer, den Sie zum Flashen von GrapheneOS verwendet haben, kompromittiert wurde und ein Angreifer GrapheneOS durch sein eigenes bösartiges Betriebssystem ersetzt hat, kann dies mit diesen Funktionen erkannt werden."
Verified Boot verifiziert die Gesamtheit der Firmware- und Betriebssystem-Images bei jedem Start. Der öffentliche Schlüssel für die Firmware-Images wird werksseitig in Fuses im SoC eingebrannt. Firmware-Sicherheitsupdates können auch den in die Fuses eingebrannten Rollback-Index aktualisieren, um einen Rollback-Schutz zu gewährleisten.
Die abschließende Firmware-Boot-Phase vor dem Betriebssystem ist für die Verifizierung der Firmware zuständig. Für das Standardbetriebssystem wird ein fest verdrahteter öffentlicher Schlüssel verwendet. Bei der Installation von GrapheneOS wird der von GrapheneOS verifizierte öffentliche Boot-Schlüssel in das sichere Element geflasht. Bei jedem Start wird dieser Schlüssel geladen und zur Verifizierung des Betriebssystems verwendet. Sowohl für das Standard-Betriebssystem als auch für GrapheneOS wird ein auf dem Sicherheits-Patch-Level basierender Rollback-Index vom sicheren Element geladen, um einen Rollback-Schutz zu bieten."
- "Die von den unterstützten Geräten bereitgestellten Funktionen "Verified Boot" und "Attestation" können verwendet werden, um zu überprüfen, ob die Hardware, die Firmware und die GrapheneOS-Installation echt sind. Selbst wenn der Computer, den Sie zum Flashen von GrapheneOS verwendet haben, kompromittiert wurde und ein Angreifer GrapheneOS durch sein eigenes bösartiges Betriebssystem ersetzt hat, kann dies mit diesen Funktionen erkannt werden."
- Verified boot key hash
- "Wenn ein alternatives Betriebssystem geladen wird, zeigt das Gerät beim Booten einen gelben Hinweis mit der ID des alternativen Betriebssystems an, die auf dem sha256 des verifizierten öffentlichen Schlüssels für das Booten basiert. Bei Pixeln der 4. und 5. Generation werden nur die ersten 32 Bits des Hashwerts angezeigt, sodass Sie diesen Ansatz nicht verwenden können. Die Pixel der 6. und 7. Generation zeigen den vollständigen Hash und Sie können ihn mit den offiziellen GrapheneOS verifizierten Boot-Hashes unten vergleichen: Pixel 6a: 08c860350a9600692d10c8512f7b8e80707757468e8fbfeea2a870c0a83d6031"
- "Diese Überprüfung ist nach der Installation nützlich, aber Sie müssen sie nicht manuell durchführen, damit verifiziertes Booten funktioniert. Der öffentliche Schlüssel für verifiziertes Booten, der auf das sichere Element geflasht wurde, kann nur geändert werden, wenn das Gerät entsperrt ist. Durch das Entsperren des Geräts wird das Sicherheitselement auf dieselbe Weise gelöscht wie beim Zurücksetzen auf die Werkseinstellungen und es können keine Daten wiederhergestellt werden, selbst wenn die SSD geklont wurde und Ihre Passphrase(n) erlangt wurde(n), da die Verschlüsselungsschlüssel nicht mehr abgeleitet werden können. Der verifizierte Boot-Schlüssel ist neben der/den Sperrmethode(n) des Benutzers und dem/den zufälligen Token(s) auf dem sicheren Element auch eine der Eingaben für die Ableitung der Verschlüsselungsschlüssel."
- Hardware-based attestation
- "GrapheneOS stellt unsere Auditor-App zur Verfügung, um mit einer Kombination aus verifiziertem Boot und Attestierungsfunktionen die Echtheit der Hardware, der Firmware und des Betriebssystems zu überprüfen und weitere nützliche Daten über die Hardware und das Betriebssystem zu erhalten.
Da der Zweck von Auditor darin besteht, Informationen über das Gerät zu erhalten, ohne darauf zu vertrauen, dass es ehrlich ist, werden die Ergebnisse nicht auf dem zu überprüfenden Gerät angezeigt. Sie benötigen ein zweites Android-Gerät, auf dem Auditor für die lokale QR-Code-basierte Überprüfung läuft. Sie können auch unseren optionalen Dienst zur Überwachung der Geräteintegrität für automatische, geplante Überprüfungen mit Unterstützung für E-Mail-Warnungen verwenden.
- "GrapheneOS stellt unsere Auditor-App zur Verfügung, um mit einer Kombination aus verifiziertem Boot und Attestierungsfunktionen die Echtheit der Hardware, der Firmware und des Betriebssystems zu überprüfen und weitere nützliche Daten über die Hardware und das Betriebssystem zu erhalten.
- Replacing GrapheneOS with the stock OS
- "Die Installation des Standard-Betriebssystems über die Werks-Images ist ähnlich wie der oben beschriebene Prozess, allerdings mit dem Web-Flashing-Tool von Google. Vor dem Flashen und Sperren gibt es jedoch einen zusätzlichen Schritt, um das Gerät vollständig in einen sauberen Werkszustand zurückzuversetzen."
- "Die GrapheneOS-Fabrik-Images flashen einen nicht originalen Android Verified Boot Key, der gelöscht werden muss, um das Gerät vollständig in den Originalzustand zurückzuversetzen. Vor dem Flashen der Stock-Factory-Images und vor dem Sperren des Bootloaders sollten Sie den benutzerdefinierten Android Verified Boot-Schlüssel löschen, um ihm nicht zu vertrauen:"