Libreboot — свободная прошивка на базе Сoreboot

Ранее мы делали обзор на Coreboot, с которым можно ознакомиться здесь.
Libreboot является производным проектом (по сути — пользовательской сборкой/форком) Coreboot с акцентом на максимальную свободу и прозрачность.

Libreboot — это открытая альтернатива BIOS/UEFI.
Его задача — заменить закрытую заводскую прошивку материнской платы на максимально прозрачную и контролируемую систему инициализации оборудования.

Проще говоря: это фундамент, который запускает компьютер до загрузки операционной системы.

Что такое BIOS и зачем его менять BIOS/UEFI — это код, записанный в отдельную микросхему на плате.
Он:

• инициализирует процессор, память и устройств
• запускает загрузчик ОС
• управляет базовыми настройками железа

Проблема в том, что почти весь этот код — закрытый.
Пользователь не может проверить:

• есть ли в нём уязвимости
• есть ли закладки
• какие функции реально выполняются

В сфере информационной безопасности это вопрос контроля над поверхностью атаки и доверия к производителю.

Что делает Libreboot Libreboot — это ориентированная на пользователя сборка coreboot с акцентом на прозрачность.

Он:

• заменяет проприетарный BIOS
• минимизирует или устраняет закрытые компоненты
• сокращает время загрузки
• даёт контроль над ранней стадией старта системы
  

Полезная нагруpка (Payload): GRUB И SEABIOS Libreboot, как и coreboot, сам по себе лишь инициализирует оборудование.
Далее управление передаётся так называемой полезной нагрузке (payload).

Наиболее распространённые варианты:

GRUB:
Позволяет загружать Linux напрямую без промежуточного BIOS-слоя.
Преимущества:
- нативная поддержка LUKS (включая шифрованный /boot)
- гибкая конфигурация
- отсутствие лишнего кода совместимости

SeaBIOS:
Свободная реализация классического BIOS.
- нужен для загрузки Windows и некоторых BSD-систем.
- плюс — высокая совместимость.
- минус — добавляется слой legacy-эмуляции.

Если цель — максимальная минимизация и контроль, чаще выбирают GRUB без SeaBIOS.

Особенности шифрования Одна из сильных сторон Libreboot — корректная работа с полнодисковым шифрованием.

При использовании GRUB возможно:

• шифрование всего диска, включая /boot
• отсутствие незашифрованного загрузочного раздела
• защита от подмены ядра и initramfs
  
  В классической UEFI-схеме /boot часто остаётся открытым.
  Здесь такой необходимости нет.

Это важно в сценариях, где рассматриваются:

• физический доступ к устройству
• атаки через подмену загрузчика
• анализ носителя вне системы

Кому это может быть нужно

Libreboot — не массовый продукт.
Это инструмент для осознанных пользователей.

Он может быть актуален для:

• специалистов по информационной безопасности
• исследователей firmware и low-level атак
• правозащитников и журналистов в рискованных юрисдикциях
• предпринимателей, работающих с чувствительными данными
• технических энтузиастов, ценящих контроль над системой

Перелом 2022 года Долгое время Libreboot придерживался политики 0% проприетарного кода (FSDG).

17 ноября 2022 года проект официально принял
Binary Blob Reduction Policy — политику сокращения бинарных компонентов.

Причины:
1️⃣Аппаратная реальность
Современные процессоры (Intel после ~2008, AMD после ~2013) не запускаются без закрытых компонентов инициализации памяти и CPU (MRC, microcode и др.).
Поддержка ограничивалась устаревшими моделями вроде ThinkPad X200/T400.

2️⃣Безопасность
Старые процессоры без обновлений микрокода уязвимы к Spectre, Meltdown и другим атакам.

3️⃣Потеря актуальности
Проект терял актуальность из-за привязки к 15‑летнему железу.

Новая модель Подход стал прагматичным:

• если устройство может работать без блобов — они не используются.
• если без них запуск невозможен — допускается минимальный набор.
• приоритет — минимизация и контроль.

Libreboot не стал «проприетарным».
Он выбрал инженерный компромисс.

Что это дало Список поддерживаемых устройств расширился.

Теперь доступны:

• Lenovo ThinkPad X230, T430, T440p, W541
• Dell Latitude E6400, E6430, E6530
• Платы на чипсетах Q67/Q77
• Некоторые Chromebook и серверные решения

Это уже рабочие машины, пригодные для повседневных задач.

Отношение к Intel ME На поддерживаемых платформах возможно частичное или максимальное нейтрализование Intel ME (в зависимости от поколения).

Это снижает потенциальные риски скрытого управления, но не является абсолютной гарантией.

В информационной безопасности не существует 100% защиты — есть снижение рисков.

Угрозы firmware и RootKit-атаки Firmware‑rootkit — это вредоносный код, закрепляющийся ниже уровня ОС и переживающий переустановку системы.

За счёт минималистичной архитектуры и отсутствия сложных проприетарных компонентов, таких как UEFI‑парсеры изображений и закрытые DXE‑модули, Coreboot/Libreboot не подвержены ряду современных атак на прошивку (например, LogoFAIL) в их классической реализации.
Кроме того, открытая архитектура и сокращённая поверхность атаки существенно усложняют внедрение persistent‑имплантов уровня BlackLotus, CosmicStrand или MoonBounce по сравнению с типовым проприетарным UEFI.

Альтернативы После изменения политики часть сообщества отделилась.
В октябре 2023 года был запущен Canoeboot — проект, сохраняющий старую, максимально строгую модель без компромиссов.

Для тех, кто хочет именно 100% свободы — даже ценой современности.

Итог Libreboot эволюционировал. Из радикального идеологического проекта он превратился в практичный инструмент для тех, кто хочет:

• контролировать firmware
• минимизировать закрытые компоненты
• снизить зависимость от вендора
• использовать относительно современное железо

⚠️Важно понимать: Libreboot — не магическая защита и не «кнопка безопасности». Это элемент архитектуры безопасности (OpSec), а не её конечное решение.