News Linux trotz UEFI-Secure-Boot

MusicIsMyLife

MusicIsMyLife

Redaktion
☆☆☆☆☆☆
Mitglied seit
22.02.2002
Beiträge
15.579
Renomée
2.567
Standort
in der Nähe von Cottbus
  • QMC Race
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • BOINC Pentathlon 2020
<div class="newsfloatleft"><img src="http://www.planet3dnow.de/photoplog/images/50626/1_Linux-Tux.png" border="0" alt="Linux-Tux-Logo"></div>Mit dem schleichenden Wechsel bei Mainboards weg vom klassischen BIOS hin zum UEFI ging <a href="http://www.planet3dnow.de/vbulletin/showthread.php?t=402046"“>ein Aufschrei durch die Linux-Gemeinde</a>. Das <a href="http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface" target="_blank">UEFI-Feature "Secure Boot"</a> soll verhindern, dass Schadsoftware im Bootloader ausgeführt werden kann. Dieser Ansatz ist nicht per se schlecht, detailliert betrachtet offenbart sich jedoch ein ganz großes Manko für alle Linux-Nutzer.<br><br>Bei Secure Boot wird ein im Bootloader integrierter Schlüssel gegen einen Schlüssel im UEFI abgeglichen. Nur bei Übereinstimmung kann der Bootvorgang fortgesetzt werden. Um Secure Boot zu umgehen, kann der Mainboard-Hersteller im UEFI eine entsprechende Option zur Deaktivierung anbieten. Was bei Desktop-PCs mitunter noch realistisch erscheint, stellt bei Notebooks mit fast immer äußerst spärlichen Einstellmöglichkeiten bereits ein Problem dar. Da Secure Boot zudem von Microsoft initiiert ist, bedeutet dies, dass alle Non-Windows-Systeme von vornherein ausgeschlossen sind (zumindest theoretisch) &ndash; was in erster Linie Linux betrifft. Der Aufschrei der Linux-Gemeinde war nur allzu verständlich, denn bisher waren nur Microsoft-Bootloader signiert und funktionierten mit aktiviertem Secure Boot. Der Grund dafür ist einfach: Microsoft selbst signiert die Bootloader. Kritiker werfen Microsoft deshalb Mißbrauch der Marktmacht vor. Doch nicht nur deshalb, denn auch bei einer angestrebten Signierung lässt der Redmonder Konzern die Antragssteller nach "seiner Pfeiffe tanzen". So ist das zwingend vorgeschriebene Tool zum Start der Validierungsprozedur nicht unter Linux lauffähig und obendrein muss noch ein Vertrag abgeschlossen werden, welcher die Verwendung von bestimmten Lizenzen untersagt &ndash; was unter Umständen ein Problem für die Linux-Distributionen darstellen kann. Abseits des Validierungsprozesses sollte zudem noch erwähnt werden, dass Microsoft nicht nur Schadsoftware ausbremsen kann, sondern auch weitere, dem Konzern unliebsame Software. So könnte theoretisch eine ältere Windows-Version vom Start auf einem PC mit neuem Mainboard unterbunden werden. Insofern bietet Secure Boot nicht ausschließlich Sicherheitsaspekte, sondern auch handfeste Möglichkeiten zum effektiven Ausschließen unliebsamer "Mitbewerber".<br><br>Am vergangenen Wochenende wurde von Matthew Garrett, Linux-Entwickler und ehemaliger Mitarbeiter bei Red Hat, ein Bootloader vorgestellt, welcher von Microsoft signiert wurde und somit die Verwendung von neuer Hardware mit UEFI in Verbindung mit Linux zulässt. Shim, so der Name des Bootloaders, kann weitere Bootloader starten, sodass es theoretisch keine Einschränkungen mehr in Sachen Distributionen gibt. Eine Anleitung dafür hält Matthew Garrett <a href="http://mjg59.dreamwidth.org/20303.html" target="_blank">hier</a> bereit.<br><br>Die Herangehensweise von Garrett, mittels eines signierten Bootloaders weitere, unsignierte Bootloader zu starten, führt den Sicherheitsgedanken hinter Secure Boot jedoch ad absurdum. Denn unterm Strich wird so möglicher Schadsoftware die mit Secure Boot zugeschlagene Tür auf Linux-Seite wieder ein Stück weit geöffnet. Wobei man ganz klar relativieren muss, dass ein System ohne Secure Boot genauso sicher bzw. unsicher ist wie bisher. Zudem darf kritisch hinterfragt werden, wie häufig die mit Secure Boot geschlossene Sicherheitslücke überhaupt ausgenutzt wird. Diese Lösung mittels Shim dürfte zumindest soweit praktikabel sein, um als Linux-Nutzer weiterhin aktuelle Hardware verwenden zu können. Eine gute Lösung für beide Seiten sieht jedoch anders aus.<br><br><b>Quelle:</b> <a href="http://mjg59.dreamwidth.org/20303.html" target="_blank">Secure Boot bootloader for distributions available now</a><br><br><b>Links zum Thema:</b><ul><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1319018451">FSF startet Kampagne gegen Secure Boot</a></li><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1317729127">UEFI 2.3.1 - Sicherheit vor Linux</a></li></ul>
 
Mich würde mal interessieren, ob schon jemand ein Windows-8-Gerät (x86_64) erstanden hat, bei welchem Secure Boot nicht deaktivierbar war. Wenn sich derartige Geräte verbreiten würden, wär's nämlich wirklich Essig. Das sollte allerdings IMHO eigentlich auch für die RT- (ARM)-Geräte gelten.
 
Wer auf Linux als OS setzt sollte sich gleich Hardware mit vorinstallierten Linux kaufen, Onlinehändler gibt es ja genügend die so etwas anbieten. Also ich begrüße das sogar, weil man sich vorher überlegen muss was man will und was man sich dafür anschaffen muss.

Wenn man sich auf zwei Stühle setzt fällt man meistens durch......;D
 
Peet007 schrieb:
Wer auf Linux als OS setzt sollte sich gleich Hardware mit vorinstallierten Linux kaufen, Onlinehändler gibt es ja genügend die so etwas anbieten. Also ich begrüße das sogar, weil man sich vorher überlegen muss was man will und was man sich dafür anschaffen muss.
Zum Vergrößern anklicken....
Ähm, wenn man eine begrenzte Hardware-Auswahl zu überhöhten Preisen haben will, ist das natürlich ne Option *glaubses*

Ich bin seit 1994 mit Linux unterwegs und achte von vornherein auf Linux-Kompatibilität meiner Hardware, bisher gab's da kaum Probleme - und wenn, waren sie zeitnah lösbar.

Der große Mist bei Aussperr-Hardware ist ja, dass Benutzern die Möglichkeit genommen wird, auch nur spaßes- bzw. interessehalber eine Alternative zu testen (etwa von Live-CD oder -USB-Stick). Das verringert die Verbreitungschancen der Konkurrenz u.U. massiv und ist somit - durch einen marktbeherrschenden Anbieter initiiert - mindestens eine äußerst zweifelhafte Angelegenheit.

Wo Du in dieser Angelegenheit zwei Stühle siehst, ist mir auch nicht klar.
 
Zuletzt bearbeitet:
Wennst meinst das die Preise hier überhöht sind.

http://www.linux-onlineshop.de/Linux-Hardware.geek

Und warum sollte ich mir ein OS kaufen was ich dann eh nicht nutze, und mir vll Probleme mit irgendwelchen no Name Chips einhandle die z. B. in Laptops verbaut sind. Von jetzigen SC-Boot Problemen ganz zu schweigen.

So weiss ich wenigsten das Linux drauf läuft. Schau mal in Linux Foren wieviel sich über Linux beschweren weils bei ihrem Windows Laptop nicht läuft. :]
 
Notebooks 10-14 Zoll: 1 Gerät. LOL ABer immerhin ausstattungstechnisch konfigurierbar und mattes Display (1366 x 768, nochmal LOL). 600 Euro mit 2GB, 500GB, kastriertem Pentium. vergleichbar, Core i3 und auch sonst besser ausgestattet, €430 - mit Win-Lizenz zum verticken ;D

Ich bin nicht irgendein Dödel, der alles vorgekaut bekommen will und obendrein gibt es das Rückgaberecht und auch andernorts kann man mitunter ohne OS-Lizenz einkaufen, z.B. 10-14": Linux (32), ohne Betriebssystem (56). Ich hab auch schon ein Gerät mit Windows gekauft und die OEM-Lizenz oberhlb der €30 verkauft, die der Hersteller angeblich dafür abdrückt. Mit Win8 wird das wegen des in der Firmware abgelegten Keys allerdings schwierig, noch so ein neues Monopoly-Glanzstück.
.
EDIT :
.
Nachtrag: Das "Tuxedo Book 101" hat nen Docking-Port, das ist natürlich was Feines.

Generell hab ich nix gegen derlei Shops, im Gegenteil. C't hat allerdings auch schon "vorkonfigurierte Linux-PCs/ Notebooks" getestet und es lief beiweitem nich alles optimal. Eine Garantie ist solch ein Shop also kaum.

Trotzdem ignorierst Du den Kernpunkt: Die monopoltechnisch äußerst bedenkliche Einschränkung/Ausschluss für Konkurrenzsysteme bei bereits gekauften PCs/NBs.
 
Zuletzt bearbeitet:
Meiner Meinung nach ein Fall für die Kartellbehörden. Mal sehen, ob die da was machen oder ob nicht wieder irgendwer einen schwarzen Koffer zufällig findet und behalten darf ... *suspect*
 
Wenn MS so weitermacht mit ihren immer umständlicher zu bedienenden Betriebssystemen und Einschränkungen, werden schon bald keine PCs mehr benötigt werden.
 
Das Traurige bei der Geschichte ist doch, dass es fast alle Linux-Distributoren ohne zu murren akzeptieren. Es gibt quasi gegen den Signaturzwang von Microsoft fast keine Gegenwehr, also wird es Mittelfristig auch kommen.

Ich persönlich werde mir jedoch kein Motherboard kaufen, welches Booten per UEFI erzwingt, sei es mit oder ohne Signatur. Zumindest, solange es mit UEFI nicht brauchbar möglich ist ein SW-Raid zu booten (d.h. von beiden Platten), denn aktuell scheint das nicht zu gehen. Daher setze ich nach wie vor auf den Kompatibilitätsmodus (BIOS) und dann Grub2.

Bei allen Erfahrungen, die ich mit UEFI gesammelt habe kam es mit wesentlich umständlicher, komplizierter und unflexibler vor als die alten Lösungen, aber naja, es ist ja das tolle Neue... :]
 

Ähnliche Themen

Onkel_Dithmeyer
News FSF startet Kampagne gegen Secure Boot
Antworten
8
Aufrufe
2K
Peet007
Peet007
Dr@
Download AMD Catalyst 13.4 Proprietary Linux Display Driver
Antworten
10
Aufrufe
9K
Liszca
L
Dr@
Download AMD Catalyst 13.1 Proprietary Linux Display Driver
Antworten
4
Aufrufe
3K
yahlov
yahlov
MusicIsMyLife
News Gibt es bald "Radeon-SSDs" von AMD?
Antworten
14
Aufrufe
3K
MagicEye04
MagicEye04
Onkel_Dithmeyer
News UEFI 2.3.1 - Sicherheit vor Linux
2
Antworten
39
Aufrufe
5K
el-mujo
el-mujo
Zurück
Oben Unten