Vollkommen freie Distributionen wie Trisquel oder Parabola fristen eher ein Schattendasein. PureOS, ab Werk auf den Notebooks von Purism installiert, möchte dagegen im Rampenlicht stehen.

Rund um Debian und Ubuntu haben sich in den letzten Jahren einige Derivate etabliert, die sich auf die Fahnen geschrieben haben, eine bessere Benutzerfreundlichkeit zu bieten als die Originale. Dazu zählt auch PureOS, das auf Debian aufsetzt. Der US-Hersteller Purism installiert es als Standardbetriebssystem auf seinen Notebooks.

Falls Ihnen der Name PureOS vage bekannt vorkommt, liegt das möglicherweise daran, dass es schon einmal ein gleichnamiges System aus Frankreich gab. Mit dieser inzwischen eingestellten Distribution hat das heutige PureOS jedoch nichts zu tun; die amerikanische Version gewährt zudem durch verschiedene Techniken wie etwa das automatische Verschlüsseln von Massenspeichern erhöhte Sicherheit.

Purism

Der noch recht junge Hardware-Anbieter Purism aus San Francisco unterscheidet sich sowohl in Bezug auf seinen Werdegang wie auch durch seine Produkte von Mainstream-Herstellern: Ende 2014 gegründet, gelang es dem Unternehmen im folgenden Jahr, über eine Crowdfunding-Kampagne auf der Plattform Crowd Supply mehr als eine Million US-Dollar als Finanzierung für die neuen Notebooks der Librem-Baureihe einzusammeln [1].

Das Purism-Konzept sieht vor, Laptops mit aktueller Hardware auszuliefern, die nahezu keine proprietäre Firmware enthalten. Daher haben die Geräte unter anderem kein herkömmliches BIOS an Bord, sondern nutzen das freie Coreboot als BIOS-Ersatz. Coreboot ist – bis auf einen kleinen Binär-Blob [2] – eine freie Implementation für das BIOS.

Um die proprietären Binär-Blobs verbannen zu können, verbaut Purism eigens entwickelte Motherboards in den Notebooks. Außerdem kommen nur ausgesuchte Intel-CPUs und Netzwerkkomponenten bestimmter Hersteller zum Einsatz, vornehmlich solche von Atheros. Deren WLAN-Karten bieten im Gegensatz zu den Intel-Pendants auch ohne proprietäre Firmware eine gleichwertige oder teils sogar bessere Leistung.

Zusätzlich baut der Newcomer im Notebook-Markt in seine Geräte Hardware-Schalter für solche Komponenten ein, die sich zum Ausspionieren eignen könnten. Dazu gehören die Webcam und das Mikrofon sowie die eingebaute WLAN- und Bluetooth-Hardware. Mit PureOS oder alternativ Qubes OS kommen zudem zwei Betriebssysteme auf Linux-Basis zum Einsatz, die die Entwickler gegenüber herkömmlichen Derivaten nochmals gehärtet haben (Abbildung 1).

Abbildung 1: Der US-amerikanische Notebook-Hersteller Purism versucht, elegante Hardware und freie Software miteinander zu kombinieren.

Start frei!

Das System PureOS, das derzeit in einer Beta-Version bereitsteht, rückt neben leichter Bedienbarkeit vor allem die Sicherheit in den Fokus. Daher haben die Entwickler ihm unter der Haube einige besondere Anpassungen mit auf den Weg gegeben, wie eine Firewall und vor allem die GrSec-Erweiterung (“Greater Security”) für den Kernel. Dahinter verbirgt sich eine restriktiv ausgerichtete rollenbasierte Zugriffskontrolle, die es gestattet, die Rechte einzelner Benutzer auf klar definierte Rahmenbedingungen zu begrenzen.

Darüber hinaus lässt sich über eine automatisierte Routine der Tor-Browser installieren, der über das entsprechende Netzwerk einen anonymisierten Zugang ins Internet bietet. Daneben nahmen die Entwickler noch weitere Applikationen ins Visier: So härteten sie den systemeigenen, auf Firefox basierenden PureBrowser mit verschiedenen Addons, sodass potenziell schädliche Software das System nicht kompromittieren kann.

PureOS bringt zudem eine sinnvolle Auswahl vorinstallierter Programme mit, die sich bei Bedarf aber jederzeit aus den Debian-Repositories beliebig ergänzen lässt. Eine weitere Besonderheit stellt der Anzeige-Server dar: Hier setzt der Hersteller auf Wayland, dessen Implementationen langsam den in die Jahre gekommenen X-Server ablösen.

Das Live-Image von PureOS 8 “Prometheus”, das sich laut Firma durchaus auch für andere Notebooks als die hauseigenen eignet [3], laden Sie von der Webseite des Projekts herunter [4]. Es steht ausschließlich für aktuelle 64-Bit-Architekturen zur Verfügung. Nach dem Anlegen eines bootfähigen Datenträgers starten Sie das System, das zunächst einen unspektakulären Grub2-Bildschirm zeigt. Hier wählen Sie, ob Sie PureOS zunächst als Live-System booten oder auf dem Massenspeicher des Rechners installieren möchten.

Im Live-Modus präsentiert sich nach kurzer Zeit das System mit einem aufgeräumten Gnome-Desktop. Nach einem Klick auf den Eintrag Activities im oben horizontal angeordneten Panel erscheint links eine Starterleiste. Sobald Sie dort auf das Kachel-Symbol Show Applications klicken, füllt sich der Bildschirm mit den Icons der gut zwei Dutzend verfügbaren Programme (Abbildung 2).

Abbildung 2: Der wenig spektakuläre Gnome-Desktop von PureOS bringt eine sinnvolle, aber nicht allzu umfangreiche erste Auswahl an Programmen mit.

Neben LibreOffice finden Sie hier einige kleinere Tools aus dem Gnome-Fundus, das Media-Center Kodi sowie den bereits erwähnten PureBrowser mit den vorinstallierten Addons uBlock Origin und HTTPS-Everywhere. Als Standard-Suchmaschine dient DuckDuckGo. Anwendungsboliden wie VLC, Thunderbird oder Gimp fehlen.

Die Möglichkeiten zum Konfigurieren der einzelnen Applikationen halten sich aufgrund der Design-Richtlinien von Gnome in sehr engen Grenzen, die vor allem fortgeschrittenen Anwendern unangenehm aufstoßen dürften. Den Programmfenstern fehlen fast durch die Bank Menüleisten, was individualisierte Anpassungen faktisch nahezu ausschließt.

Im Live-Betrieb stechen weitere, durch die GrSec-Erweiterungen des Kernels bedingten Restriktionen ins Auge. So öffnet das System Wechselmedien nur lesend. Die fehlende Möglichkeit zur Vergabe erweiterter Rechte macht selbst das Kopieren von Dateien auf angeschlossene USB-Speichersticks unmöglich.

Mit Mängeln

Wir entschließen uns daher, das System auf der Festplatte zu installieren. Der entsprechende Starter Install PureOS in der Anwendungsübersicht öffnet den Calamares-Assistenten, der PureOS in wenigen Schritten auf den Massenspeicher packt. Nach einem erneuten Warmstart präsentiert sich das Debian-Derivat mit einem im Vergleich zum Live-System unveränderten Desktop. Auch am vorinstallierten Software-Bestand hat sich (mit Ausnahme des nun fehlenden Calamares-Assistenten) nichts verändert.

Bereits in den ersten Minuten nach der Installation stechen einige äußerst hinderliche Einschränkungen ins Auge, die den Nutzwert des Systems auf anderen Rechnern als den Librem-Notebooks stark beeinträchtigen. So gelingt es nicht, per WLAN einen Internet-Zugang aufzubauen. Die in den Testgeräten, zwei Elitebook-Notebooks von Hewlett-Packard, eingebauten WWAN-Karten vom Typ Gobi2000 und Gobi3000 lassen sich mangels passender Firmware nicht ansprechen. Der Betrieb der internen WLAN-Karten von Intel verlangt aufgrund des Zwangs zu proprietärer Firmware auf einem originalen Debian manuelle Nacharbeiten.

Höchst unkooperativ zeigt sich PureOS auch bei insgesamt fünf externen WLAN-Sticks, die wir über den USB-Anschluss mit den Systemen verbanden: Von den Geräten der Hersteller TP-Link, Asus und Proware Technologies funktioniert kein einziges mit PureOS. Ein Blick ins Systemprotokoll zeigt, dass die zum Betrieb der Dongles nötige Firmware fehlt, obwohl die Komponenten teils auf Standard-Chipsätzen der Hersteller Broadcom, Realtek und Atheros aufsetzen (Abbildung 3).

Abbildung 3: Der Aufbau einer Netzwerkverbindung via WLAN gestaltete sich im Test schwierig: Mehrere WLAN-Dongles ließen sich mangels Firmware nicht in Betrieb nehmen.

Ein Blick in das Unterverzeichnis /lib/firmware/, in dem bei gängigen Distributionen üblicherweise alle Firmware-Dateien lagern, zeigt bei PureOS nahezu gähnende Leere: Die Entwickler haben hier bis auf vier einzelne Dateien und ein halbes Dutzend teils leerer Unterverzeichnisse keinerlei Daten eingepflegt. Bei anderen Distributionen, die unter anderem auf unfreie Firmware setzen, um Hardware überhaupt zu aktivieren, befinden sich in diesem Verzeichnis oft mehr als 100 Dateien und mehrere Dutzend herstellerspezifische Unterverzeichnisse. PureOS verlangt dem Anwender also bei allen WLAN-Komponenten mit Ausnahme der wenigen in den Librem-Notebooks verbauten Atheros-Chipsätzen Handarbeit ab, um die Geräte zur Kooperation zu bewegen.

Das System stellt unsere Geduld anschließend auf eine weitere harte Probe: Beim Versuch, PureOS mithilfe eines kabelgebundenen DSL-Anschlusses mit dem Internet zu verbinden und anschließend zu aktualisieren, stellen wir fest, dass auch auf diesem Weg kein Zugriff gelingt. Trotz korrekt eingestellter Parameter – wir erreichen sowohl den Router als auch die DNS-Server von Google – erscheinen in den Protokolldateien zahlreiche Fehlermeldungen, vermutlich aufgrund von Problemen von PureOS mit den Intel-Chipsätzen der Testrechner.

Wir versuchen als Nächstes, PureOS auf einem älteren Notebook von Fujitsu-Siemens in Betrieb zu nehmen. Der Esprimo Mobile D9510 startet das System von einem USB-Stick aus, anschließend wählen wir gleich die Installation auf dem Massenspeicher. Hier führt der Installationsassistent von Debian in wenigen Schritten zu einem funktionsfähigen System.

Da das Siemens-Notebook eine WLAN-Karte älterer Bauart von Atheros mit freier Firmware sowie einen älteren Intel-Chipsatz beherbergt, gibt es erwartungsgemäß weniger Probleme als mit den deutlich neueren Elitebooks von Hewlett-Packard. Negativ fällt allerdings auf, dass das Debian-Derivat mit dem Wayland-Server und Gnome nicht flüssig arbeitet. Erst das Umschalten auf Gnome mit dem althergebrachten X-Server bringt deutlich mehr Schwung.

Ein älterer Prozessor der Core-2-Duo-Generation und eine Atheros-Karte bedeuten zudem nicht automatisch, dass PureOS auf einer solchen Maschine rund läuft: Auf einem Thinkpad T400 von Lenovo der gleichen Prozessor- und Chipsatzgeneration mit Libreboot-BIOS versagt PureOS komplett, es lässt sich weder von einem USB-Stick noch von einer DVD starten.

Fazit

PureOS bietet einige interessante Ansätze und implementiert technische Innovationen, doch befindet sich vieles noch im experimentellen Stadium. Zudem demonstriert das Debian-Derivat eindrucksvoll, welchen Herausforderungen man gegenübersteht, wenn man eine Distribution zu nutzen versucht, die nur freie Software im Sinne der FSF zulässt und komplett auf proprietäre Bestandteile verzichtet. Ein solches System eignet sich nur noch für sehr wenige, handverlesene Hardware-Komponenten und schränkt den Anwender durch den Wegfall etablierter Technologien derart ein, dass ein solcher Computer in vielen Fällen nur noch als bessere Schreibmaschine taugt.