Diese Übersetzung basiert auf dem Commit 91e0f3e vom 2024-03-22. Falls du Hinweise oder Verbesserungsvorschläge hast, dann schreib uns gerne oder arbeite mit uns auf GitHub an dieser Übersetzung.

CLI-Installationsanleitung

Dies ist eine Anleitung für die Installation von GrapheneOS auf den offiziell unterstützten Geräten. Sie kann sowohl für die offiziellen Versionen als auch für eigene Builds verwendet werden. Der Web-Installer [deutsche Übersetzung] ist eine einfachere Methode zur Installation der offiziellen Versionen über einen Browser mit WebUSB-Unterstützung.

Wir empfehlen dringend, diesen offiziellen Anweisungen zu folgen. Für die offizielle Anleitung wurde viel gemeinsame Arbeit in die Abdeckung aller Grenzfälle gesteckt. Sie wird regelmäßig von vielen Personen auf allen unterstützten Betriebssystemen getestet. Das Befolgen dieser Anweisungen, ohne irgendwelche Schritte zu überspringen, umzuordnen oder hinzuzufügen, gibt Ihnen eine ordentliche GrapheneOS-Installation, außer es gibt ein Hardwareproblem. Wir raten dringend davon ab, inoffiziellen Anleitungen zu folgen, die in irgendeiner Weise von den offiziellen Anleitungen abweichen.

Wenn Sie Probleme mit dem Installationsprozess haben, fragen Sie im offiziellen GrapheneOS-Chat um Hilfe. Es gibt fast immer Leute, die bereit sind zu helfen. Bevor Sie um Hilfe bitten, versuchen Sie, der Anleitung selbst zu folgen und bitten Sie erst dann um Hilfe, wenn Sie selbst nicht weiterkommen.

Inhaltsverzeichnis

Voraussetzungen

Sie sollten mindestens 2 GB freien Arbeitsspeicher und 8 GB freien Speicherplatz zur Verfügung haben.

Sie benötigen ein USB-Kabel, um das Gerät mit einem Laptop oder Desktop-Computer zu verbinden. Verwenden Sie nach Möglichkeit das hochwertige, standardkonforme USB-C-Kabel, das dem Gerät beiliegt. Wenn Ihr Computer keine USB-C-Anschlüsse hat, benötigen Sie ein hochwertiges USB-C-zu-USB-A-Kabel. Sie sollten vermeiden, einen USB-Hub zu verwenden, wie z. B. an der Vorderseite eines Desktop-Computergehäuses. Schließen Sie das Kabel direkt an einen rückwärtigen Anschluss eines Desktops oder an die Anschlüsse eines Laptops an. Viele weit verbreitete USB-Kabel und -Hubs sind kaputt und die häufigste Ursache für Probleme bei der Installation von GrapheneOS.

Die Installation von einem Betriebssystem in einer virtuellen Maschine wird nicht empfohlen. USB-Passthrough ist oft nicht zuverlässig. Um diese Probleme auszuschließen, installieren Sie von einem Betriebssystem, das direkt auf einem Gerät läuft. Virtuelle Maschinen sind außerdem oft so konfiguriert, dass sie sehr begrenzten Arbeitsspeicher und Speicherplatz haben.

Offiziell unterstützte Betriebssysteme für die CLI-Installationsmethode:

Stellen Sie sicher, dass Ihr Betriebssystem auf dem neuesten Stand ist, bevor Sie fortfahren.

Der Web-Installer [deutsche Übersetzung] ist portabler und kann von Android, ChromeOS und GrapheneOS selbst verwendet werden, da er überall ausgeführt werden kann, wo ein Browser mit funktionierender WebUSB-Unterstützung zur Verfügung steht.

Sie benötigen eines der offiziell unterstützten Geräte. Um sicherzustellen, dass das Gerät für die Installation von GrapheneOS freigeschaltet werden kann, sollten Sie netzbetreiber-spezifische Geräte vermeiden. Netzbetreiber-spezifische Varianten der Pixel-Smartphones verwenden dasselbe Stock-Betriebssystem und dieselbe Firmware, aber mit einer Carrier-ID ungleich Null, die bei der Herstellung auf die persistente Partition geflasht wurde. Die Carrier-ID aktiviert eine netzbetreiber-spezifische Konfiguration im Stock-Betriebssystem, einschließlich einer Deaktivierung der Netzbetreiber- und Bootloader-Entsperrung. Der Netzbetreiber kann dies möglicherweise aus der Ferne deaktivieren, aber seine Support-Mitarbeiter wissen das möglicherweise nicht und werden es wahrscheinlich auch nicht tun. Holen Sie sich ein netzbetreiberunabhängiges Gerät, um das Risiko und möglichen Ärger zu vermeiden. Wenn Sie einen Weg finden können, ein netzbetreiber-spezifisches Gerät zu entsperren, ist das kein Problem, da GrapheneOS die Carrier-ID einfach ignorieren kann und die Hardware die gleiche ist.

Es hat sich bewährt, das Gerät vor der Installation von GrapheneOS zu aktualisieren, um beim Anschluss des Gerätes an den Computer und in der frühen Phase des Installationsprozesses die neueste Firmware zu haben. So oder so, GrapheneOS flasht die neueste Firmware zu Beginn des Installationsprozesses.

OEM-Entsperrung aktivieren

Die OEM-Entsperrung muss innerhalb des Betriebssystems aktiviert werden.

Aktivieren Sie das Menü “Entwickleroptionen”, indem Sie zu Einstellungen > Über das Telefon/Tablet gehen und wiederholt auf den Menüeintrag Build-Nummer drücken, bis die Entwickleroptionen aktiviert sind.

Gehen Sie dann zu Einstellungen > System > Entwickleroptionen und aktivieren Sie die Einstellung OEM-Entsperrung. Bei Gerätevarianten (SKUs), die von Netzbetreibern als gesperrte Geräte verkauft werden können, erfordert die Aktivierung der OEM-Entsperrung einen Internetzugang, damit das Stock-Betriebssystem prüfen kann, ob das Gerät von einem Netzbetreiber als gesperrt verkauft wurde.

Für das Pixel 6a wird die OEM-Entsperrung nicht mit der ab Werk installierten Version des Stock-Betriebssystems funktionieren. Sie müssen es mit einem Over-the-Air-Update auf die Version von Juni 2022 oder später aktualisieren. Nach der Aktualisierung müssen Sie das Gerät auf die Werkseinstellungen zurücksetzen, um die OEM-Entsperrung zu ermöglichen.

Ein Terminal öffnen

Diese Anleitung verwendet Kommandozeilen-Werkzeuge. Starten Sie das Terminal wie jede andere Anwendung. Falls Sie Windows verwenden, starten Sie eine normale Nicht-Administrator-Instanz des PowerShell-Terminals. Verwenden Sie nicht die alte Eingabeaufforderung und auch nicht die PowerShell als Administrator.

Verwenden Sie für den gesamten Installationsvorgang das gleiche Terminal. Wenn Sie es schließen, geht die Einrichtung der Umgebungsvariablen für die Installation verloren.

Führen Sie unter Windows den folgenden Befehl aus, um das veraltete curl-Alias der PowerShell für die aktuelle Shell zu entfernen, damit Sie curl statt curl.exe verwenden können:

Remove-Item Alias:Curl

fastboot beschaffen

Sie benötigen eine aktuelle Kopie des fastboot-Tools und das Verzeichnis, das es enthält, muss in die Umgebungsvariable PATH aufgenommen werden. Mit fastboot --version können Sie die aktuell installierte Version ermitteln. Sie muss mindestens 34.0.5 sein. Sie können dafür die Paketverwaltung Ihrer genutzten Distribution verwenden, aber die meisten Distributionen paketieren fälschlicherweise Entwicklungs-Snapshots von fastboot, verstecken das Standard-Versionsschema der Platform Tools (adb, fastboot, etc.) hinter ihrem eigenen Schema und halten es nicht auf dem neuesten Stand, obwohl das entscheidend ist.

Unter Arch Linux installieren Sie android-tools und überspringen Sie den folgenden Abschnitt über das Verwenden der eigenständigen Versionen der Android Platform Tools:

sudo pacman -S android-tools

Debian und Ubuntu haben kein brauchbares Paket für fastboot. Ihre Pakete für diese Werkzeuge sind sowohl kaputt als auch viele Jahre veraltet. Folgen Sie den nachfolgenden Anweisungen für Plattformen ohne ein geeignetes Paket.

Standalone Platform Tools

Wenn Ihr Betriebssystem keine brauchbare Version von fastboot enthält, können Sie die offiziellen Standalone-Versionen der platform-tools verwenden. Das ist unsere Empfehlung für die meisten Benutzer. Das Flashen funktioniert nur, wenn Sie diese Anweisungen befolgen, einschließlich der Einrichtung von PATH.

Zum Herunterladen, Verifizieren und Entpacken der standalone platform-tools unter Debian und Ubuntu:

sudo apt install libarchive-tools
curl -O https://dl.google.com/android/repository/platform-tools_r35.0.0-linux.zip
echo '62fc977c1b7622ef8dbd6fe1312987d9b139aa8a0b06e88573c1b60129399d49  platform-tools_r35.0.0-linux.zip' | sha256sum -c
bsdtar xvf platform-tools_r35.0.0-linux.zip

Zum Herunterladen, Verifizieren und Entpacken der standalone platform-tools unter macOS:

curl -O https://dl.google.com/android/repository/platform-tools_r35.0.0-darwin.zip
echo 'SHA256 (platform-tools_r35.0.0-darwin.zip) = 85c75ac31556dc95712cf1bdec592098e6c5067dc485356591d85932178bf8cd' | shasum -c
tar xvf platform-tools_r35.0.0-darwin.zip

Zum Herunterladen, Verifizieren und Entpacken der standalone platform-tools unter Windows:

curl -O https://dl.google.com/android/repository/platform-tools_r35.0.0-windows.zip
(Get-FileHash platform-tools_r35.0.0-windows.zip).hash -eq "7ab78a8f8b305ae4d0de647d99c43599744de61a0838d3a47bda0cdffefee87e"
tar xvf platform-tools_r35.0.0-windows.zip

Als Nächstes fügen Sie die Tools zu Ihrem PATH in der aktuellen Shell hinzu, sodass sie ohne Angabe des Dateipfads verwendet werden können, was die Verwendung durch das Flash-Skript ermöglicht.

Unter Debian, Ubuntu und macOS:

export PATH="$PWD/platform-tools:$PATH"

Unter Windows:

$env:Path = "$pwd\platform-tools;$env:Path"

Dies ändert nur den PATH für die aktuelle Shell und muss erneut durchgeführt werden, wenn Sie ein neues Terminal öffnen.

Überprüfen der Fastboot-Version

Überprüfen Sie die Ausgabe von fastboot --version, bevor Sie fortfahren.

Beispiel für die Ausgabe nach dem Ausführen der obigen Anweisungen für die Standalone platform-tools:

fastboot version 35.0.0-11411520
Installed as /home/username/platform-tools/fastboot

Flash als Nicht-Root-Benutzer

Bei traditionellen Linux-Distributionen können USB-Geräte ohne udev-Regeln für den jeweiligen Gerätetyp nicht als Nicht-Root verwendet werden. Für andere Plattformen ist das kein Problem.

Unter Arch Linux:

sudo pacman -S android-udev

Unter Debian und Ubuntu:

sudo apt install android-sdk-platform-tools-common

Die udev-Regeln unter Debian und Ubuntu sind sehr veraltet, aber das Paket enthält dennoch die Regeln, die für Pixel-Geräte benötigt werden, da die gleichen USB-IDs seit vielen Jahren verwendet werden.

Umgehen des fwupd-Bugs auf Linux-Distributionen

Debian Stable und Ubuntu haben ein veraltetes fwupd-Paket mit einem Fehler, der die Verbindung zu Androids Bootloader-Schnittstelle (fastboot) unterbricht, während fwupd läuft, da es versucht, sich mit beliebigen Geräten zu verbinden. Dieser Abschnitt kann auf Arch Linux und anderen Distributionen mit fwupd 1.9.10 oder höher übersprungen werden, da wir den Fehler gemeldet haben und er behoben wurde. Android oder ChromeOS waren davon nie betroffen.

Sie können fwupd mit dem folgenden Befehl stoppen:

sudo systemctl stop fwupd.service

Der Dienst wird dadurch nicht dauerhaft deaktiviert und beim Neustart erneut gestartet.

Booten in den Bootloader-Modus

Sie müssen Ihr Gerät in den Bootloader-Modus booten. Um das zu tun, müssen Sie die Leiser-Taste gedrückt lassen, während das Gerät bootet.

Am einfachsten ist es, das Gerät neu zu starten und die Leiser-Taste gedrückt zu halten, bis es im Bootloader-Modus startet.

Alternativ schalten Sie das Gerät aus und starten Sie es dann, wobei Sie die Leiser-Taste während des Bootvorgangs gedrückt halten. Sie können es entweder mit der Einschalttaste oder durch das Anschließen des Kabels starten, was im nächsten Abschnitt ohnehin nötig ist.

Das Gerät verbinden

Verbinden Sie das Gerät mit dem Computer. Unter Linux müssen Sie das erneut tun, falls Sie die udev-Regeln beim Anschließen des Gerätes noch nicht eingerichtet hatten.

Unter Windows müssen Sie einen Treiber für fastboot installieren, sofern Sie ihn nicht bereits haben. Für andere Betriebssysteme ist kein Treiber erforderlich. Sie können den Treiber über Windows Update beziehen, das ihn als optionales Update erkennt, wenn das Gerät im Bootloader-Modus ist und mit dem Computer verbunden ist. Öffnen Sie Windows Update, führen Sie eine Prüfung auf Updates durch und gehen Sie danach auf “Optionale Updates anzeigen”. Installieren Sie den Treiber für die Android-Bootloader-Schnittstelle als optionales Update.

Eine alternativer Weg, die Windows Fastboot-Treiber zu beziehen, besteht darin, den neuesten Treiber für Pixels von Google herunterzuladen und ihn dann manuell über den Windows-Geräte-Manager zu installieren.

Trennen Sie das Pixel-Tablet vom Ladedock mit Lautsprecher, bevor Sie fortfahren. Das Ladedock verwendet USB zum Aufladen und für die Audioausgabe, aber das Tablet bietet keine Unterstützung für die gleichzeitige Verwendung des Ladedock und des USB-Anschlusses.

Den Bootloader entsperren

Entsperren Sie den Bootloader, damit Sie das Betriebssystem und die Firmware flashen können:

fastboot flashing unlock

Der Befehl muss auf dem Gerät bestätigt werden und löscht alle Daten. Verwenden Sie eine der Lautstärketasten, um Ihre Auswahl zu treffen, und die Einschalttaste, um diese zu bestätigen.

OpenSSH beschaffen

OpenSSH wird verwendet, um den Download des Betriebssystems über die durch HTTPS gebotene Sicherheit hinaus zu überprüfen.

macOS und Windows enthalten OpenSSH bereits in ihrer Grundinstallation.

Unter Arch Linux:

sudo pacman -S openssh

Unter Debian und Ubuntu:

sudo apt install openssh-client

Factory Images beschaffen

Um mit dem Installationsprozess fortzufahren, müssen Sie die GrapheneOS Factory Image für Ihr Gerät beschaffen.

Sie können die Dateien entweder mit Ihrem Browser oder mit einem Befehl wie curl herunterladen. In der Regel ist es einfacher, die Kommandozeile zu verwenden, da Sie sie bereits für den Rest des Installationsprozesses nutzen. Daher verwendet diese Anleitung curl.

Laden Sie den öffentlichen Schlüssel der Factory Images (allowed_signers) herunter, um die Factory Images zu verifizieren:

curl -O https://releases.grapheneos.org/allowed_signers

Das ist der Inhalt von allowed_signers:

contact@grapheneos.org ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIUg/m5CoP83b0rfSCzYSVA4cw4ir49io5GPoxbgxdJE

Andere Stellen an denen Sie den Signierschlüssel erhalten können:

Der aktuelle öffentliche Schlüssel wurde mit dem vorherigen signify-Schlüssel signiert. Wenn Sie bereits im Besitz des vorherigen signify-Schlüssels (factory.pub) sind und den neuen Schlüssel damit verifizieren wollen:

curl -O https://releases.grapheneos.org/allowed_signers.sig
signify -V -m allowed_signers -x allowed_signers.sig -p factory.pub

Wenn der aktuelle Signierschlüssel ersetzt wird, wird der neue Schlüssel mit diesem signiert.

Laden Sie die Factory Images für das Gerät von der Unterseite “Releases” herunter. Um zum Beispiel die VERSION-Version für ein Gerät mit dem Codenamen DEVICE_NAME herunterzuladen:

curl -O https://releases.grapheneos.org/DEVICE_NAME-factory-VERSION.zip
curl -O https://releases.grapheneos.org/DEVICE_NAME-factory-VERSION.zip.sig

Überprüfen Sie anschließend die Images anhand der Signatur.

Unter Linux und macOS:

ssh-keygen -Y verify -f allowed_signers -I contact@grapheneos.org -n "factory images" -s DEVICE_NAME-factory-VERSION.zip.sig < DEVICE_NAME-factory-VERSION.zip

Unter Windows:

cmd /c 'ssh-keygen -Y verify -f allowed_signers -I contact@grapheneos.org -n "factory images" -s DEVICE_NAME-factory-VERSION.zip.sig < DEVICE_NAME-factory-VERSION.zip'

Wenn die Überprüfung erfolgreich war, wird die folgende Ausgabe angezeigt:

Good "factory images" signature for contact@grapheneos.org with ED25519 key SHA256:AhgHif0mei+9aNyKLfMZBh2yptHdw/aN7Tlh/j2eFwM

Factory Images flashen

Die Erstinstallation erfolgt durch das Flashen der Factory Images. Das wird das bestehende Betriebssystem ersetzen und alle vorhandenen Daten löschen.

Extrahieren Sie als Nächstes die Factory Images.

Unter Linux:

bsdtar xvf DEVICE_NAME-factory-VERSION.zip

Unter macOS und Windows:

tar xvf DEVICE_NAME-factory-VERSION.zip

Wechseln Sie in das Verzeichnis:

cd DEVICE_NAME-factory-VERSION

Flashen Sie die Images mit dem flash-all-Script in dem Verzeichnis.

Unter Linux und macOS:

./flash-all.sh

Unter Windows:

./flash-all.bat

Warten Sie, bis der Flashvorgang abgeschlossen ist. Die Firmware wird automatisch geflasht, das Gerät wird in den Bootloader-Modus gebootet, der Kern des Betriebssystems wird geflasht, das Gerät wird in den Userspace-Fastboot-Modus gebootet, der Rest des Betriebssystems wird geflasht und schließlich wird es wieder in den Bootloader-Modus gebootet. Vermeiden Sie es, mit dem Gerät zu interagieren, bis das Flash-Skript beendet ist und das Gerät wieder im Bootloader-Modus ist. Sperren Sie im Anschluss den Bootloader, bevor Sie das Gerät verwenden, da beim Sperren die Daten erneut gelöscht werden.

Fehlersuche

Die Textausgabe eines fehlgeschlagenen Flashversuchs enthält wertvolle Diagnoseinformationen, die wichtig sind, um zu wissen, wo und wie der Prozess schief gelaufen ist. Bitte geben Sie diese Informationen an, wenn Sie im GrapheneOS-Chatraum um Hilfe bitten.

Ein häufiges Problem bei Linux-Distributionen ist, dass sie das Standardverzeichnis für temporäre Dateien /tmp als tmpfs mounten, was dazu führt, dass der Arbeitsspeicher und Swap anstatt des dauerhaften Speicher verwendet wird. Standardmäßig beträgt die Größe 50% des verfügbaren virtuellen Speichers. Dies ist für den Flash-Prozess oft nicht ausreichend, zumal /tmp von Anwendungen und Benutzern gemeinsam genutzt wird. Verwenden Sie ein anderes temporäres Verzeichnis, falls Ihr /tmp nicht genügend Platz bietet:

mkdir tmp && TMPDIR="$PWD/tmp" ./flash-all.sh

Den Bootloader sperren

Das Sperren des Bootloaders ist wichtig, da es einen vollständig verifizierten Bootvorgang ermöglicht. Es verhindert auch die Verwendung von fastboot zum Flashen, Formatieren oder Löschen von Partitionen. Ein verifizierter Bootvorgang erkennt Änderungen an den Betriebssystempartitionen und verhindert das Lesen von veränderten oder beschädigten Daten. Wenn Änderungen erkannt werden, wird mit Hilfe von Fehlerkorrekturdaten versucht, die ursprünglichen Daten zu erhalten, die dann erneut verifiziert werden, was das verifizierte Booten gegen nicht-bösartige Datenveränderungen abhärtet.

Während sich das Gerät im Bootloader-Modus befindet, setzen Sie es auf “locked”:

fastboot flashing lock

Der Befehl muss auf dem Gerät bestätigt werden und löscht alle Daten. Verwenden Sie eine der Lautstärketasten, um Ihre Auswahl zu treffen, und die Einschalttaste, um diese zu bestätigen.

Nach der Installation

Booten

Sie haben GrapheneOS nun erfolgreich installiert und können es booten. Wenn Sie die Einschalttaste drücken und die Standardoption “Start” im Bootloader-Modus ausgewählt lassen, wird das Betriebssystem gestartet.

OEM-Entsperrung deaktivieren

Die OEM-Entsperrung kann nach dem Neustart des Betriebssystems im Menü “Entwickleroptionen” wieder deaktiviert werden.

Nach der Deaktivierung der OEM-Entsperrung empfehlen wir, die Entwickleroptionen insgesamt zu deaktivieren, falls das Gerät nicht zur App- oder Betriebssystementwicklung verwendet wird.

Überprüfung der Installation

Die von den unterstützten Geräten bereitgestellten Funktionen “Verified Boot” und “Attestation” können verwendet werden, um zu überprüfen, ob die Hardware, die Firmware und die GrapheneOS-Installation unverfälscht sind. Selbst wenn der Computer, den Sie zum Flashen von GrapheneOS verwendet haben, kompromittiert wurde und ein Angreifer GrapheneOS durch sein eigenes bösartiges Betriebssystem ersetzt hat, kann dies mit diesen Funktionen erkannt werden.

Verified Boot überprüft bei jedem Startvorgang sämtliche Firmware- und Betriebssystem-Images. Der öffentliche Schlüssel für die Firmware-Images ist werkseitig in elektronische Sicherungen im SoC eingebrannt. Firmware-Sicherheitsupdates können auch den in die Sicherungen eingebrannten Rollback-Index aktualisieren, um einen Rollback-Schutz zu gewährleisten.

Die letzte Bootphase der Firmware vor dem Betriebssystem ist für die Verifizierung des Betriebssystems zuständig. Für das Stock-Betriebssystem wird ein fest eingebauter öffentlicher Schlüssel verwendet. Bei der Installation von GrapheneOS wird der öffentliche Verified-Boot-Schlüssel von GrapheneOS in den Sicherheitschip geflasht. Bei jedem Start wird dieser Schlüssel geladen und zur Verifizierung des Betriebssystems verwendet. Sowohl für das Stock-Betriebssystem als auch für GrapheneOS wird ein auf dem Sicherheits-Patch-Level basierender Rollback-Index aus dem Sicherheitschip geladen, um einen Rollback-Schutz zu gewährleisten.

Hash des öffentlichen Verified-Boot-Schlüssels

Beim Laden eines alternativen Betriebssystems zeigt das Gerät beim Booten einen gelben Hinweis mit der ID des alternativen Betriebssystems an, die auf dem SHA256-Hashwert des öffentlichen Verified-Boot-Schlüssels basiert. Bei Pixels der 4. und 5. Generation werden nur die ersten 32 Bits des Hashwerts angezeigt, sodass Sie diesen Ansatz nicht verwenden können. Pixels der 6. und 7. Generation zeigen den vollständigen Hashwert, den Sie mit den offiziellen Verified-Boot-Key-Hashwert von GrapheneOS vergleichen können:

Diese Überprüfung ist nach der Installation sinnvoll, aber Sie müssen sie nicht manuell vornehmen, damit verifiziertes Booten funktioniert. Der öffentliche Schlüssel für verifiziertes Booten, der auf dem Sicherheitschip gespeichert wurde, kann nur geändert werden, wenn das Gerät entsperrt ist. Das Entsperren [des Bootloaders, Anm. d. Übers.] des Geräts löscht den Sicherheitschip auf die selbe Weise wie ein Zurücksetzen auf Werkseinstellungen und verhindert ein Wiederherstellen von Daten, selbst wenn die SSD geklont wurde und Ihre Passphrase(n) erlangt wurde(n), da die Verschlüsselungsschlüssel nicht mehr abgeleitet werden können. Der Verified-Boot-Schlüssel ist außerdem einer der Inputs für die Ableitung der Verschlüsselungsschlüssel, zusätzlich zu den Sperrmethode(n) des Benutzers und zufälligen Token(s) auf dem Sicherheitschip.

Hardware-gestützte Attestierung

GrapheneOS enthält unsere Auditor-App, die eine Kombination aus Verified-Boot- und Attestierungsfunktionen verwendet, um die Unverfälschtheit der Hardware, der Firmware und des Betriebssystems zu überprüfen und weitere nützliche Daten der Hardware und des Betriebssystems bereitzustellen.

Da der Zweck von Auditor darin besteht, Informationen über das Gerät zu erhalten, ohne dem Gerät vertrauen zu müssen, werden die Ergebnisse nicht auf dem zu überprüfenden Gerät angezeigt. Sie benötigen ein zweites Android-Gerät, auf dem der Auditor zur lokalen QR-Code-basierte Überprüfung läuft. Sie können auch unseren optionalen Dienst zur Überwachung der Geräteintegrität für automatische, planmäßige Überprüfungen mit Unterstützung für E-Mail-Warnungen verwenden.

Eine Anleitung dazu finden Sie im Auditor-Tutorial [deutsche Übersetzung].

Auditor basiert in erster Linie auf einem Pairing-Modell, bei dem ein hardwaregestützter Signierschlüssel und ein hardwaregestützter Attestierungs-Signierschlüssel generiert und als Teil der ersten Verifizierung festgehalten werden. Die erste Verifizierung entsteht auf Basis einer Chain of Trust zu einer der Android-Attestierungs-Root-Keys. Nach der ersten Verifizierung bietet er ein hochgradig sicheres System für den Erhalt weiterer Informationen über das Gerät. Ein Angreifer könnte die erste Verifizierung mit einem geleakten Attestation-Key umgehen oder durch die Weiterleitung an ein anderes Gerät mit dem Gerätemodell, dem Betriebssystem und dem Patch-Level, das der Benutzer erwartet. Das Weiterleiten auf ein anderes Gerät wird in Zukunft mit einer optionalen Unterstützung für die Attestierung der Hardware-Seriennummer angegangen werden.

Weitere Informationen

Bitte schauen Sie sich das Benutzerhandbuch und die FAQ für weitere Informationen an. Wenn Sie weitere Fragen haben, die nicht von der Website abgedeckt werden, treten Sie den offiziellen GrapheneOS-Chat-Kanälen bei und stellen Sie Ihre Fragen in dem entsprechenden Kanal.

GrapheneOS durch das Standardbetriebssystem ersetzen

Die Installation des Stock-Betriebssystems mittels Factory Images ist derselbe Prozess wie oben beschrieben. Vor dem Flashen und Sperren gibt es jedoch einen zusätzlichen Schritt, um das Gerät vollständig in einen sauberen Werkszustand zurückzusetzen.

Die GrapheneOS Factory Images flashen einen nicht-standardmäßigen Android-Verified-Boot-Schlüssel, der gelöscht werden muss, um das Gerät vollständig in den Werkszustand zurückzuversetzen. Bevor Sie die Factory Images flashen und den Bootloader sperren, sollten Sie den benutzerdefinierten Android-Verified-Boot-Schlüssel löschen, um ihm nicht länger zu vertrauen:

fastboot erase avb_custom_key