LWN：关注隐私安全自由的PureOS！

关注了就能看到更多这么棒的文章哦～

PureOS: freedom, privacy, and security

By Jake Edge
December 23, 2020
DeepL assisted translation
https://lwn.net/Articles/841105/

Purism 最近的一篇博客文章是在庆祝整整三年之前 FSF 认可了它的 Linux 发行版。Purism 公司开发了 PureOS 并将其在关注安全性的硬件上运行。尽管这种认可在社区中的重视程度其实并不像人们想象的那样大，但这仍然是 PureOS 所取得的一项很不错的成就。哪怕对于那些不赞成 FSF 或不同意 FSF 对 "free" 发行版的定义的人来说，如果能获得这一认可，都愿意做许多工作。虽然 Purism 和 PureOS 我们已经关注了几年了，但现在似乎更加值得看一下这个发行版和它背后的公司的发展情况。

上面提到的博客文章指出，PureOS 和 Purism "就像坐在一个由自由、隐私和安全这三条腿构成的凳子上"。当然，这三者是交织在一起的，因为 PureOS 完全是由自由软件搭建的，可以让用户来审查确保没有任何恶意功能被塞入操作系统或应用程序中，从而影响用户的隐私或安全。除此之外，自由软件还能很好地抵御各种软件供应链攻击。并且，自由软件所拥有的代码可审查性，也能在搭建时给用户提供更多的安全保障：

终于，得益于 Reproducible Builds (https://reproducible-builds.org/)，自由软件在供应链安全方面比专有软件 (proprietary software) 拥有了巨大的优势。有了 Reproducible Builds，你可以下载用于构建软件的源代码并自己编译，然后将你的输出产物与你从软件供应商那里得到的输出产物进行比较。如果输出可以匹配匹配，那么您可以放心，在软件 supply-chain 中并没有注入任何恶意代码，并且它 100% 与开代码匹配，可以审核来检查是否有后门。由于专有软件无法供第三方编译出相同的产物（因为他们不提供代码），你只能依靠软件包的签名来保证软件提供链路上的安全。

PureOS 是 Debian 的衍生版本，包含一个名为 "Amber" 的稳定版本，以及一个滚动发行的 "Byzantium" 版本。Amber 是基于 Debian 10 ("Buster")的，而 Byzantium 则从 Debian testing 版本中提取软件包。因为 PureOS 只包含自由软件，所以它只会从 "main" 仓库中选取软件包，而不会从 "contrib " 或 "non-free" 中选取，因为它们包含了不符合 Debian 自由软件指南（DFSG， Debian Free Software Guideline）的软件包。

这个系统也经过了定制，进行了各种调整，包括添加安全相关内核补丁，启用 AppArmor，并默认选用了基于 Wayland 的 GNOME 桌面。它还安装了一个致力于提供更好的隐私和安全的浏览器，最初它是基于 Firefox 的，但最近改为 GNOME Web（以前称为 Epiphany）。它还配备了 DuckDuckGo 作为默认搜索引擎，而不是那些帮助搜集大量的搜索和点击信息以实现 "更好的" 广告目标的其他选项。

PureOS 可以在大多数能运行 Linux 的台式机和笔记本电脑上运行，这其实并不出乎人们的预料。一些硬件可能无法工作 (如笔记本电脑的 WiFi)，因为它需要一个专有的二进制程序文件，但如果确实需要的话，用户可以选择从其他地方来安装这些部件。但 移动版的 PureOS 不可能在现有的手机硬件上运行，正如 PureOS FAQ 所指出的那样，手机硬件一般需要二进制程序文件，并且它们通常只适用于特定的旧内核版本，而移动版 PureOS 使用的是最新的 mainline kernel，因此无法正常使用。

为了在手机上运行 PureOS，Purism 提供了 Librem 5 手机。它最初是众筹生产的，经历了不少曲折才走到了量产（这让一些人对 Purism 颇为不满），但它在设计时考虑到了前面说过的“凳子的三条腿”。比如，它有硬件开关可以用来强制断开各种外设，比如手机调制解调器、麦克风、摄像头和 WiFi。当然，这个手机的所有功能也都不依赖于那些只有二进制可执行程序的不开源代码。

其他硬件，如笔记本电脑（Librem 14 和 15）、mini-PC 和服务器，也都考虑到了隐私和安全问题。例如，笔记本电脑具有摄像头和麦克风的硬件开关。购买这些硬件产品时也都可以订购该公司的防干扰服务（anti-interdiction service），该服务提供了专门的机制能够使收货人能够检测到硬件在运输过程中是否被篡改过。这些措施包括在硬件及其包装盒上贴上防篡改胶带、在螺丝上涂上闪亮的指甲油、以及将所有这些照片用 GPG 加密后单独再发给客户。

除此之外，用户还可以订购 PureBoot Bundle 服务，它将 PureBoot 的安全固件与预装的 Librem Key 结合了起来，Librem Key 是一张用来预防篡改的 USB OpenPGP smart card。这个硬件 Key 设备附带了一个 GPG 密钥，会被安装为系统的安全启动密钥。这个设备将在系统发货前单独发货，可以发送给购买者所提供的另一个地址。Librem Key 预先配置好了，如果 firmware 在运输途中被篡改过，它将闪烁其 LED 灯来报告用户。

PureBoot 是基于 coreboot (https://www.coreboot.org/) 的，修改并禁用了英特尔管理引擎（IME，Intel Management Engine），这是 firmware 中有些人认为比较容易被侵入的部分，这几年来已经发现了一些安全漏洞。想要完全控制系统的用户会希望尽可能地移除 IME。名为 Heads 的启动软件(https://github.com/osresearch/heads)也可以检测出对 firmware 的篡改。

对于那些关心自己安全和隐私的人来说，这一切功能合在一起就成为了一个令人印象深刻的故事。然而，在大量的博客文章和 Purism 所提供的其他文档里面所描绘的这个故事，按有些用户的说法（比如 https://anarc.at/blog/2020-07-13-not-recommending-purism/ ），可能并未能很好的实现。此外还有其他一些关于 Purism 公司、产品和行为的投诉。显然，有一些问题需要解决，但硬件和软件背后的想法及概念似乎是很不错的。

正如我们所猜测的那样，安全和隐私功能并不能免费得到的，甚至价格还不便宜。Purism 的硬件产品通常比安全性较低的竞品贵不少，但系统和服务还是很容易获取到的，这对于那些需要这种级别安全保证的人来说是一个福音。

我们人类为了方便和低成本，在很大程度上牺牲了我们的自由、隐私和安全。多年来，LWN 一直在关注这些问题的各个方面，包括最近 Mozilla 从 surveillance capitalism 手中 "夺回 "互联网的努力（部分灵感来自《社会困境》这部电影，即 The Social Dilemma）。在 12 月初，我们还介绍了在用户自己的设备上不允许进行 general-purpose computing 的做法( LWN: 通用计算的未来！)。Purism 提供的硬件以及类似产品则是解决这个问题的一种方式，至少目前看来是这样的。

但是，这些选择只有在至少有一些消费者有兴趣购买的情况下才会继续存在。Purism 看起来有很多正确的做法，如果运气好的话，将有足够大的市场规模来支持更多种此类硬件和软件。PureOS 和 PureBoot 都是免费软件，其他人也可以使用并改进。不过要想让这一切有所进展的话，人们就必须开始改变自己的思想，将自由、隐私和安全放在便利性和价格之上。事实上，很遗憾，这看起来相当难。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作～

长按下面二维码关注，关注 LWN 深度文章以及开源社区的各种新近言论～