neustes

Digitalkultur IM HERZ , , , , , ,

Vertrauen als Architekturprinzip: Warum der Baochip-1x die Sicherheitsphilosophie der Embedded-Welt auf den Kopf stellt

Ein Mikrocontroller, dessen innerste Schaltkreise sich mit einer handelsüblichen Kamera überprüfen lassen – und dessen Design offen auf GitHub liegt. Was nach einem Hobbyprojekt für Hardware-Enthusiasten klingt, ist der ernsthafte Versuch, das Fundament der digitalen Sicherheit neu zu denken. Der Baochip-1x, entwickelt von Andrew „bunnie“ Huang und Sean Cross, verspricht nichts weniger als die Rückeroberung von Vertrauen in einer Branche, die sich längst mit undurchschaubaren Blackbox-Chips arrangiert hat.

Es gibt Momente in der Technikgeschichte, in denen eine Entwicklung mehr ist als nur ein neues Produkt – sie wird zum Statement. Die Ankündigung des Crowdfunding-Starts für den Baochip-1x am 4. März 2026 ist ein solcher Moment . Während die Halbleiterindustrie seit Jahrzehnten nach dem Prinzip „höher, schneller, weiter“ funktioniert und Sicherheit oft nur als nachträglich aufgesetztes Feature betrachtet, wählen Huang und Cross einen radikal anderen Ansatz: Sie legen sämtliche Karten auf den Tisch. Der Baochip-1x ist ein Mikrocontroller, der nicht durch schiere Rechenleistung besticht, sondern durch etwas weitaus Kostbareres – vollständige Überprüfbarkeit. Dieser Artikel beleuchtet die Hintergründe, die technische Philosophie und die weitreichenden Implikationen eines Projekts, das die Frage aufwirft: Muss gute Hardware zwangsläufig ein Geheimnis sein?

Der Architekt: Andrew „bunnie“ Huang und die Konsequenz des Selbermachens

Um den Baochip-1x zu verstehen, muss man seinen Schöpfer verstehen. Andrew Huang, in der Hardware-Community schlicht „bunnie“ genannt, ist keine Unbekannte in der Welt des offenen Hardware-Designs. Sein Name steht seit fast zwei Jahrzehnten für eine Haltung: Wer wirklich verstehen will, wie Technik funktioniert, der muss sie selbst öffnen, analysieren und nachbauen können. Bekannt wurde er unter anderem durch seine tiefgreifenden Analysen der Xbox-360-Sicherheit und das darauf folgende Katz-und-Maus-Spiel mit Microsoft – eine Zeit, die ihn nachhaltig prägte.

Gemeinsam mit Sean Cross, seinem langjährigen Weggefährten, realisierte er bereits das Novena-Motherboard, einen der ersten Versuche, einen vollständig offenen Laptop zu bauen. Es folgte Precursor, eine Plattform für sichere Smartphone-Kommunikation, die noch auf FPGA-Technologie basierte . Diese Projekte waren jedoch stets Nischenprodukte – Liebhaberstücke für Eingeweihte. Mit dem Baochip-1x und dem dazugehörigen „Dabao“-Evaluationsboard, das ab 9,50 Dollar vorbestellt werden kann, betreten Huang und Cross nun ein neues Terrain: Sie wollen den Markt für Massenprodukte erobern, allerdings zu ihren Bedingungen .

Die treibende Kraft hinter diesem Vorstoß ist eine tiefe Unzufriedenheit mit dem Status quo. In ihrem Vortrag auf dem 39. Chaos Communication Congress (39C3) im Dezember 2025 skizzierten sie das Dilemma der Embedded-Welt mit schonungsloser Klarheit . Auf der einen Seite stehen leistungsfähige Prozessoren mit Memory Management Unit (MMU), die komplexe Betriebssysteme wie Linux ausführen können – aber undurchschaubar sind und eine Unmenge an unnötigem Ballast mit sich bringen. Auf der anderen Seite stehen einfache Mikrocontroller ohne MMU, die mit Betriebssystemen wie Zephyr oder FreeRTOS laufen, jedoch keinerlei Speicherisolierung bieten. Ein einziger Pufferüberlauf in einem einzelnen Thread genügt, und das gesamte Gerät ist kompromittiert. Diese Lücke, so die Überzeugung von Huang und Cross, lässt sich nur durch einen grundlegend neuen Ansatz schließen.

Ein Blick unter die Haube: Die Technik des Baochip-1x

Der Baochip-1x ist ein System-on-a-Chip (SoC), der in vielerlei Hinsicht eigene Wege geht. Hergestellt wird er im modernen 22-Nanometer-Verfahren bei TSMC, einem der weltweit führenden Halbleiterauftragsfertiger . Das allein ist bemerkenswert: Einen Open-Source-Chip bei einem Branchenriesen wie TSMC fertigen zu lassen, unterstreicht den Anspruch des Projekts, kein Spielzeug, sondern ein ernstzunehmendes Industrieprodukt zu sein.

Das Herzstück bildet ein VexRiscv-Prozessorkern, der mit 350 Megahertz taktet. VexRiscv ist kein von Grund auf neu entwickelter Kern, sondern ein bemerkenswertes Beispiel für die Flexibilität der Open-Source-Idee selbst: Er ist in der Hardware-Beschreibungssprache SpinalHDL geschrieben und zeichnet sich durch eine modulare, konfigurierbare Architektur aus . Für den Baochip-1x wurde er mit einem RV32IMAC-Befehlssatz ausgestattet, was neben den Basisoperationen auch Multiplikation, Division und Atomare Operationen umfasst – das Fundament für anspruchsvolle Rechenaufgaben.

Doch die eigentliche Innovation verbirgt sich hinter dem Akronym BIO. Dabei handelt es sich um einen Quad-Core-I/O-Beschleuniger, der auf dem ebenso offenen PicoRV32-Design basiert. Diese vier Kerne takten mit satten 700 Megahertz und sind ausschließlich dafür zuständig, die Ein- und Ausgabe zu verwalten . Diese Architektur entlastet den Hauptprozessor und ermöglicht eine hochgradig effiziente, echtzeitfähige Abhandlung von Peripherie-Ereignissen. Sie ist eine Reminiszenz an die Zeiten, als Computer noch separate I/O-Prozessoren hatten – nur dass hier alles auf einem einzigen Chip vereint ist und vollständig offen einsehbar bleibt.

Der Speicher ist ebenfalls zukunftsweisend. Statt herkömmlichem Flash-Speicher setzt der Baochip-1x auf 4 Megabyte ReRAM (Resistive RAM). Diese nichtflüchtige Speichertechnologie kombiniert die Geschwindigkeit von Arbeitsspeicher mit der Beständigkeit von Flash und ist weniger anfällig für bestimmte Angriffsformen . Ergänzt wird dies durch 2 Megabyte SRAM für schnelle Zugriffe des Hauptprozessors.

Doch all diese technischen Daten verblassen angesichts der Sicherheitsarchitektur. Der Chip verfügt über einen Hardware-Beschleuniger für eine ganze Reihe von Verschlüsselungsalgorithmen (AES, RSA, ECC, SHA3, um nur einige zu nennen), einen echten Zufallszahlengenerator (TRNG) und einen abgeschotteten Schlüsselspeicher (Keystore) . Physische Angriffe, wie sie etwa durch das gezielte Erzeugen von Spannungsspitzen (Glitching) versucht werden, sollen durch integrierte Sensoren erkannt und abgewehrt werden. Ein Sicherheitsnetz aus leitfähigen Bahnen (Secure Mesh) macht es zudem extrem schwierig, mit feinen Nadeln Kontakt zu internen Bussen aufzunehmen.

IRIS: Wenn der Chip sich selbst durchleuchten lässt

Das vielleicht faszinierendste Feature des Baochip-1x trägt den poetischen Namen IRIS – Infra-Red, In Situ. Es ist die Antwort auf eine der drängendsten Fragen der Hardwaresicherheit: Woher weiß ich, dass der Chip, den ich in den Händen halte, tatsächlich dem entspricht, was der Hersteller verspricht? Was, wenn geheime Hintertüren (Hardware-Trojaner) oder Manipulationen im Gießereiprozess eingeschleust wurden?

Huang und Cross haben eine Methode entwickelt, die diese Frage nicht mit einem teuren Laboraufwand, sondern mit erschwinglichen Mitteln beantwortet. Das Silizium des Baochip-1x ist für Infrarotlicht teilweise durchlässig. Mit einer leicht modifizierten Kamera, bei der der Infrarotsperrfilter entfernt wurde, und einer Infrarot-LED kann jeder Besitzer eines Dabao-Boards die inneren Strukturen des Chips sichtbar machen . Die im Silizium eingebetteten Schaltkreise werfen Schatten, die ein Muster ergeben. Dieses Muster kann mit dem erwarteten Layout, das aus den offenen RTL-Dateien abgeleitet wurde, verglichen werden.

IRIS ist keine vollständige logische Verifikation – sie zeigt nicht, ob der Chip auch richtig rechnet. Aber sie ist ein wirksames Mittel gegen Austausch und grobe Manipulation. Sie beweist, dass der Chip physisch dem Design entspricht. In einer Zeit, in der die Komplexität moderner Chips jede Form der individuellen Überprüfung unmöglich gemacht hat, ist IRIS ein radikaler Schritt zurück zu einer handfesten, optischen Vertrauensbasis. Es ist, als würde der Hersteller sagen: „Glaubt mir nicht, schaut selbst.“

Xous: Ein Betriebssystem aus dem Geiste Rusts

Ein Chip ist nur so gut wie die Software, die auf ihm läuft. Auch hier gehen Huang und Cross einen unkonventionellen Weg. Der Baochip-1x wurde nicht für Linux oder herkömmliche Echtzeitbetriebssysteme entworfen, sondern für Xous – ein Mikrokernel-Betriebssystem, das vollständig in der Programmiersprache Rust geschrieben ist .

Rust ist bekannt für seine Speichersicherheit ohne Garbage Collector. Das ist kein akademisches Nischenthema, sondern die Grundlage für Xous‘ Sicherheitsphilosophie. Xous nutzt die im Baochip-1x vorhandene MMU, um Prozesse vollständig voneinander zu isolieren – genau wie ein modernes Desktop-Betriebssystem. Jeder Treiber, jeder Dienst läuft in seinem eigenen geschützten Adressraum. Fällt ein Dienst aus oder wird kompromittiert, bleibt der Rest des Systems unberührt .

Die Kommunikation zwischen diesen isolierten Prozessen erfolgt über ein asynchrones Nachrichtensystem. Hier kommt die Stärke von Rust voll zum Tragen: Das Konzept des Besitzes und Ausleihens (Ownership und Borrowing) wird genutzt, um Speicherseiten sicher zwischen Prozessen zu verschieben oder auszuleihen, ohne dass es zu unerlaubten Zugriffen kommen kann . Der Kernel selbst ist mit nur etwa 4 Kilobyte Code winzig . Ein kleiner Kernel bedeutet weniger Angriffsfläche, weniger potenzielle Fehler und eine bessere Auditierbarkeit.

Bemerkenswert ist auch, dass Xous seine eigene Rust-Standardbibliothek mitbringt. Viele Rust-Projekte für Embedded-Systeme greifen im Hintergrund auf die C-Standardbibliothek des Systems zurück. Xous hingegen implementiert alles in Rust – von der Speicherverwaltung bis zu Synchronisationsprimitiven . Das ist ein radikaler Purismus, der Konsistenz und Sicherheit maximiert.

Die historische Perspektive: Ein neues Kapitel im Kampf um Vertrauen

Der Baochip-1x steht in einer langen Tradition von Versuchen, Hard- und Software vertrauenswürdiger zu machen. In den 1980er Jahren waren es vor allem militärische und staatliche Stellen, die auf speziell gesicherte, oft obskure Systeme setzten. Mit der Verbreitung des Internets und der zunehmenden Durchdringung des Alltags mit eingebetteten Systemen wurde die Frage nach Vertrauen zu einer gesellschaftlichen.

Die Open-Source-Bewegung der 1990er Jahre übertrug das Prinzip der Transparenz von Software auf Hardware – zumindest theoretisch. In der Praxis scheiterte dies oft an den enormen Kosten für Chip-Design und -Produktion. Projekte wie das OpenRISC oder später der erste RISC-V-Chip der Universität Berkeley blieben lange Zeit akademische Übungen.

Erst mit dem Aufkommen von RISC-V als offenem Befehlssatzstandard und der zunehmenden Verfügbarkeit kostengünstiger Fertigungsmöglichkeiten (Shuttle-Services bei TSMC) wurde die Idee eines vollständig offenen Chips realistisch. Der Baochip-1x ist der bisher konsequenteste Versuch, diese Idee in ein marktfähiges Produkt zu überführen. Er ist, wenn man so will, der erste „Open-Source-Bürger“ unter den Mikrocontrollern.

Gleichzeitig ist das Projekt eine Reaktion auf eine wachsende Verunsicherung. Die Snowden-Enthüllungen über Hardware-Backdoors, die Diskussionen um chinesische Netzwerkausrüstung oder die undurchsichtigen Lieferketten großer Elektronikkonzerne haben das Bewusstsein dafür geschärft, dass Vertrauen in Hardware nicht einfach vorausgesetzt werden kann. Der Baochip-1x bietet eine Alternative: Vertrauen durch Verifikation, nicht durch blindes Vertrauen in Marken oder Herkunftsländer.

Kontroversen und Herausforderungen: Ist offen immer sicher?

So überzeugend die Philosophie des Baochip-1x auf den ersten Blick erscheinen mag, so sehr wirft sie auch Fragen auf. Die vielleicht wichtigste: Ist Offenheit automatisch gleichbedeutend mit Sicherheit? Die Gegenthese lautet: „Security by obscurity“ – Sicherheit durch Geheimhaltung – mag in der Praxis oft versagen, aber sie stellt zumindest eine Hürde dar. Wer den genauen Aufbau eines Chips kennt, kann gezielter nach Schwachstellen suchen.

Die Open-Source-Community kontert darauf mit dem sogenannten „Linus’s Law“: „Given enough eyeballs, all bugs are shallow.“ Vereinfacht: Viele Menschen, die den Code prüfen, finden mehr Fehler als ein einzelnes, abgeschottetes Entwicklerteam. Das mag für Software gelten, ist aber auf Hardware nur bedingt übertragbar. Die Überprüfung von RTL-Code ist ungleich komplexer und erfordert spezialisiertes Wissen, das nicht in der Breite vorhanden ist. Zudem kann eine einmal entdeckte Hardware-Schwachstelle nicht einfach per Update geflickt werden – der Chip muss physisch ausgetauscht werden.

Ein weiterer Kritikpunkt betrifft den Begriff „Open-Source“ selbst. Der Baochip-1x wird als „mostly open“ bezeichnet. Einige analoge Komponenten und Mixed-Signal-Blöcke bleiben aus lizenzrechtlichen und praktischen Gründen geschlossen . Puristen stören sich daran. Die Entwickler argumentieren, dass die offenen Teile – insbesondere die gesamte digitale Logik – ausreichen, um das Sicherheitsversprechen einzulösen. Der Streit darüber, wie offen „offen genug“ ist, wird das Projekt begleiten.

Schließlich ist da die Frage der Wirtschaftlichkeit. Kann sich ein Produkt wie der Baochip-1x gegen die etablierte Konkurrenz von Herstellern wie Espressif (ESP32), Raspberry Pi (RP2040/RP2350) oder den unzähligen ARM-Cortex-M-Implementierungen behaupten? Der Preis von 9,50 Dollar für das Dabao-Board ist konkurrenzlos günstig für ein Entwicklungsboard dieser Klasse . Doch ob der Chip den Sprung in ernsthafte kommerzielle Produkte schafft, hängt nicht nur vom Preis ab, sondern auch von der Verfügbarkeit von Entwicklungstools, der Stabilität der Software und der Langzeitverfügbarkeit. Xous als Betriebssystem ist exzellent, aber es ist ein neues Ökosystem, das Entwickler erst erlernen müssen. Das kostet Zeit und Geld.

Ausblick: Eine Bewegung oder ein Einzelfall?

Was also bedeutet der Baochip-1x für die Zukunft? Ist er der Beginn einer neuen Ära offener, vertrauenswürdiger Hardware oder bleibt er ein leuchtendes, aber letztlich folgenloses Exempel?

Die Antwort liegt wahrscheinlich irgendwo in der Mitte. Für sicherheitskritische Nischen – Passwort-Manager, Hardware-Wallets für Kryptowährungen, Geräte für Journalisten in autoritären Regimen, militärische Anwendungen – ist der Baochip-1x mehr als interessant. Er bietet ein Alleinstellungsmerkmal, das in diesen Bereichen Gold wert ist: die nachweisbare Abwesenheit von Hintertüren.

Im Massenmarkt für IoT-Geräte, wo der Preis oft die entscheidende Rolle spielt, wird es schwerer. Hersteller von vernetzten Glühbirnen oder smarten Türklingeln haben meist wenig Interesse daran, dass ihre Kunden den Chip durchleuchten. Der Baochip-1x könnte hier aber einen indirekten Einfluss haben, indem er den Druck auf die etablierten Hersteller erhöht. Wenn es einen offenen, überprüfbaren Chip gibt, müssen sich die Anbieter von Blackbox-Chips rechtfertigen, warum ihre Produkte undurchsichtig bleiben.

Die eigentliche Revolution des Baochip-1x findet vielleicht gar nicht auf dem Markt statt, sondern in den Köpfen. Er zeigt, dass es anders geht. Er beweist, dass ein kleineres, fokussiertes Team mit einer klaren Vision und dem Mut, alte Pfade zu verlassen, einen modernen Chip entwickeln kann, der in vielerlei Hinsicht fortschrittlicher ist als die Produkte der Giganten. Die vollständige Transparenz des Designs, kombiniert mit der physikalischen Überprüfbarkeit durch IRIS, ist ein Paradigma, das Schule machen könnte.

Der Baochip-1x ist letztlich ein zutiefst politisches Projekt. Er stellt die Frage nach der Machtverteilung in der digitalen Welt. Wer kontrolliert die Grundlagen unserer Infrastruktur? Einige wenige, undurchschaubare Konzerne, oder eine Gemeinschaft von Entwicklern und Nutzern, die Einsicht und Kontrolle beansprucht? Die Antwort, die Huang und Cross mit ihrem Chip geben, ist eindeutig: Vertrauen ist gut, Kontrolle ist besser. Und die beste Kontrolle ist die, die jeder selbst ausüben kann.

Quellen

Die Darstellung in diesem Artikel stützt sich auf folgende öffentlich zugängliche Quellen:

  • cnx-software.com (März 2026): Detaillierte technische Spezifikationen des Baochip-1x und Informationen zum Crowdfunding auf Crowd Supply.
  • linuxgizmos.com (Januar 2026): Vorstellung des Baochip-1x mit Schwerpunkt auf der offenen RTL-Architektur und dem Verilator-Simulationsframework.
  • fahrplan.events.ccc.de (Dezember 2025): Programmankündigung und Zusammenfassung des 39C3-Vortrags „Xous: A Pure-Rust Rethink of the Embedded Operating System“ von Andrew Huang und Sean Cross.
  • betrusted.io (o.D.): Offizielle Glossar-Dokumentation des Xous-Betriebssystems mit Erläuterungen zu zentralen Begriffen wie „BIO“, „Keystore“ und „PID“.
  • prohoster.info (Dezember 2025): Hebräischsprachige Zusammenfassung der Ankündigung auf dem 39C3.
  • prohoster.info (Dezember 2025): Russischsprachige Zusammenfassung der Ankündigung auf dem 39C3.
  • blog.csdn.net (Januar 2026): Technische Analyse der Code-Organisation und der RTL-Struktur des Baochip-1x-Projekts auf GitHub.
  • lib.rs (Dezember 2025): Eintrag der Xous-Core-Crate mit Übersicht der Abhängigkeiten und Build-Kommandos.
  • devuan.ru (Dezember 2025): Forenbeitrag, der die russischsprachige Meldung von opennet.ru zum Baochip-1x wiedergibt.
Schlagwort

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst