Purism bietet Laptops mit einem Fokus auf Sicherheit an. So deaktiviert der Hersteller auf seinen Geräten unter anderem Intels Management Engine. Neuerdings integriert die Firma auch die TPM-Firmware Heads.
Die von Purism verkauften Geräte verwenden dazu ein Coreboot, das von dem eigenes integrierten TPM-Chip (Trusted Platform Module) Gebrauch macht. Heads wiederum misst laut der Ankündigung mit Hilfe der TPM-Register den Bootprozess, was sicherstellen soll, dass niemand die Boot-Firmware oder -Konfiguration manipuliert hat. Ist das System sicher, dass keine Manipulationen vorliegen, tritt das TPM als Schlüsselsafe für die Festplatten-Entschlüsselung in Aktion.
Zeitbasierte Einmal-Passwörter
Auch der kryptografische LUKS-Header lässt sich zum Beispiel an ein TPM PCR (Platform Configuration Register) binden. Zudem ist es möglich, zeitbasierte Einmal-Passwort-Algorithmen (Time-based One-time Password Algorithm) zu generieren. Diese vom System beim Booten erzeugten Einmal-Passwörter sind an das TPM gebunden, das sie wiederum erst dann generiert, wenn es sicher ist, dass die Boot-Firmware und -Konfiguration nicht angetastet wurden. Über das Handy und zum Beispiel den Google Authenticator lässt sich der gezeigte Code dann abgleichen.
Purism integriert den TPM-Chip seit November 2017 auf Wunsch der Kunden zum Aufpreis. Da sich 98 Prozent der Kunden für diese Konstellation entschieden haben, bringen die Laptops diese TPM-Chips seit Februar 2018 standardmäßig und kostenlos mit. Auch die Heads-Integration kommt nicht von heute auf morgen: Seit April 2017 arbeitet der Hersteller mit dem Heads-Entwickler Trammel Hudson zusammen. Der hielt auch einen Vortrag zum Thema auf dem letzten Chaos Communication Congress.
