1. GrapheneOS – Warum kein anderes System?
  2. GrapheneOS – Viele Maßnahmen für die Sicherheit
  3. GrapheneOS – Installation und Einrichtung
  4. GrapheneOS – Eine Sammlung von F-Droid Apps
  5. GrapheneOS – Updates ohne Risiko
  6. GrapheneOS – Eine gute Entscheidung

Die Installation von GrapheneOS ist auf einem Pixel-Gerät ohne Hacks und komische Handgriffe möglich. Von der komplizierten Anleitung sollte man sich nicht abschrecken lassen. Geht man sie Schritt für Schritt durch, kann man eigentlich keine Fehler machen. Eine Rückkehr zum Ursprungszustand ist immer möglich.

Es gibt einen Webinstaller und die Installation ist hervorragend bei GrapheneOS dokumentiert. Weil auf meinem Desktop kein Chromium bzw. ein Chromium-Fork installiert ist und Firefox nicht offiziell supportet wird, habe ich mich für die Installation auf der Kommandozeile entschieden. Für die Vollständigkeit der Serie möchte ich das hier kurz darstellen, empfehle aber bei entsprechenden Englischkenntnissen die GrapheneOS-Dokumentation.

Installation von GrapheneOS auf dem Pixel 6

OEM aktivieren

Zuerst muss man im Google Stock ROM die OEM Option aktivieren. Das war tatsächlich das erste und einzige Mal, das ich das originale Google-Betriebssystem des Pixel 6 starten musste – vom ersten Funktionstest direkt nach dem Kauf einmal abgesehen.

Das erfolgt in zwei Schritten:

  1. Einstellungen –> Über das Telefon –> Mehrfach die BuildNummer tippen bis die Entwickleroptionen freigeschaltet werden.
  2. Einstellungen –> System –> Entwickleroptionen –> Schalter bei OEM-Entsperrung umlegen

Danach kann man das Gerät erst mal wieder abschalten.

Image herunterladen und prüfen

Nun bezieht man die notwendigen Images von GrapheneOS und prüft diese mit signify. Das haben alle Distributionen in den Paketquellen. Bei Debian und allen Derivaten aufpassen, dass man das richtige Paket signify-openbsd nimmt und nicht das nutzlose und nicht gewartete signify.

Zuerst lädt man den öffentlichen Schlüssel von GrapheneOS herunter. Das kann man z. B. mit curl erledigen.

$ curl -O https://releases.grapheneos.org/factory.pub

Anschließend folgen das sogenannte Factory Image und die entsprechende Sig-Datei. Die URL ist das experimentelle Release vom 11.12.2021 und folglich den aktuellen Gegebenheiten anzupassen:

$ curl -O https://releases.grapheneos.org/oriole-factory-2021121117.zip
$ curl -O https://releases.grapheneos.org/oriole-factory-2021121117.zip.sig

Nun erfolgt die Prüfung, ob die Downloads korrekt sind. Auch hier sind die Dateinamen zukünftig anzupassen.

$ signify -Cqp factory.pub -x oriole-factory-2021121117.zip.sig && echo verified
verified

Das heruntergeladene Image kann man mit z. B. bsdtar entpacken.

$ bsdtar xvf oriole-factory-2021121117.zip

Fastboot installieren

Für die folgenden Schritte benötigt man fastboot und die android-udev Regeln. Viele Distributionen haben die Android-Tools in den Paketquellen. Nicht bei allen sind sie in den entsprechend aktuellen Versionen vorhanden. Die entsprechenden Warnhinweise bei GrapheneOS sollte man ernst nehmen und deshalb vorab prüfen, welche Version man installiert hat.

$ fastboot --version
fastboot version 31.0.3-android-tools
Installed as /usr/bin/fastboot

Zum Zeitpunkt des Verfassens dieses Beitrags 31.0.3 zulässig. Die in openSUSE Tumbleweed enthaltene Version reichte also aus. Ansonsten sind bei GrapheneOS Hinweise zu finden, wie man die offiziellen Android-Tools beziehen kann.

Bootloader öffnen und GrapheneOS installieren

Nun startet man das Smartphone mit gedrückter Lautstärke-runter Taste. Das Smartphone startet dadurch in die Bootloader-Oberfläche.

Nun verbindet man das Smartphone mittels Kabel mit dem PC und entsperrt den Bootloader mit folgendem Befehl:

$ fastboot flashing unlock

Nun wechselt man in das Verzeichnis mit dem Image:

$ cd oriole-factory-2021121117

Danach kann man die Installation beginnen

$ ./flash-all.sh

Die Installation läuft nun durch. Das Smartphone startet derweil mehrfach neu und wechselt unter anderem ins Bootloader Interface und Recovery-System. Hier sieht es teilweise so aus, als ob man als Anwender etwas machen könnte oder sollte. Einfach nichts tun und warten! Irgendwann endet der Prozess im Bootloader-Interface.

Hier nun den Bootloader wieder sperren, um den verifizierten Start wieder herzustellen und weitere Manipulationen am Gerät zu unterbinden.

$ fastboot flashing lock

Einrichtung nach der Installation

Nun kann man das Smartphone initial starten. Beim Start kommt ein Hinweis auf das alternative Betriebssystem. Hiervon nicht irritieren lassen, das ist normal und erscheint nur beim Stock Android von Google nicht. Anschließend wird man vom GrapheneOS Startscreen begrüßt. Nach dem ersten Start kommt die obligatorische Einrichtungsroutine von Android. Auf diese wird hier nicht näher eingegangen.

Zuerst sollte man die Erlaubnis zur OEM-Entsperrung in den Entwickleroptionen widerrufen. Dazu einfach wie oben die entsprechenden Einstellungen aufrufen und dort die Option deaktivieren.

Wie bereits in einem anderen Teil der Serie thematisiert, ist GrapheneOS sehr reduziert im Umfang. Wer hier mehr Komfort haben möchte, kann ggf. einen Blick auf CalxyOS werfen.

Standardmäßig sieht ein GrapheneOS-System so aus:

Selbst absolut puristische Anwender werden nicht umhin kommen einige Apps aus F-Droid zu beziehen.

Dazu in Einstellungen –> Apps –> Spezieller Zugriff –> Installieren unbekannter Apps für Vanadium erlauben. Dann mittels eben jenes Vanadium die Webseite von F-Droid aufrufen und den Store herunterladen und installieren.

Danach in jedem Fall die Berechtigung für Vanadium rückgängig machen und entsprechend für F-Droid erteilen.

Updates kommen nun für die nächsten Jahre einfach Over-The-Air (OTA).

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

10 Ergänzungen

  1. So hat jeder Nutzer die Apps seiner Wahl zu installieren; wem würde nützen, wenn welche vorinstalliert wären, die er gar nicht will/nutzt etc.

    Wer „seine“ App nicht bei F-Droid findet, kann von dort den „Aurora Store“ installieren. Das ist ein Frontend für den original Google Play Store, mit dem man anonym dessen Apps installieren kann.

    • Ja, hat mich auch immer abgeschreckt, aber hat zwei simple Ursachen:

      Bei anderer Hardware ist meist offiziell die Installation anderer Betriebssysteme verboten und/oder es fehlt an notwendigen Hardware-seitigen Sicherheitsfeatures.

      Hinzu kommt noch ein praktischer Grund. Die Treiber für die Pixel-Geräte werden direkt in AOSP übernommen, wodurch die Unterstützung aller Bestandteile von Firmware, über Kernel bis AOSP relativ einfach ist. Das ist bei anderen Geräten nicht so einfach oder gar nicht möglich.

  2. Erstmal vielen Dank für die vielen Tips.

    Ich habe mich für die Webinstall-Methode entschieden. Auf der Seite von GrapheneOS heißt es dazu:

    (…)
    Officially supported browsers for the web install method:
    Chromium (outside Ubuntu, since they ship a broken Snap package without working WebUSB)
    Bromite
    Vanadium (GrapheneOS)
    Google Chrome
    Microsoft Edge
    Brave
    (…)

    Ich kann keinen dieser Browser auf meinem MacBook installieren. Geht das auch mit dem Safari Browser?

  3. Hallo. Kann die Installation denn auch wieder rückgängig gemacht werden, so dass das originale Google System wiederhergestellt wird?

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein