News UEFI 2.3.1 - Sicherheit vor Linux
- Ersteller Onkel_Dithmeyer
- Erstellt am
Onkel_Dithmeyer
Redaktion
☆☆☆☆☆☆
<div class="newsfloatleft"><a href="http://www.planet3dnow.de/photoplog/index.php?n=12759"><img src="http://www.planet3dnow.de/photoplog/images/50626/1_Linux-Tux.png" border="0" alt="Linux-Tux-Logo"></a></div>Am 6. April diesen Jahres wurde die UEFI-Spezifikation 2.3.1 veröffentlicht. Sie sieht eine Funktion namens Secure Boot vor, welche die Sicherheit des Systems verbessern soll. Geschehen soll dies indem nur noch signierte Bootloader geladen werden können, wie ihn etwa Windows 8 enthalten soll. Damit wäre es Angreifern nicht mehr möglich mittels Bootsektor-Virus einen Schadcode in den Bootsektor zu schreiben. Im Moment können die Schutzmechanismen des Betriebssystems umgangen werden. Diese sinnvolle Funktion wollen viele Hersteller bereits in den nächsten Generationen von Mainboards bereitstellen.<p style="clear:left;">
Die Sache hat aber einen Haken und dieser liegt bei Linux. Der fast ausschließlich genutzte Bootloader GRUB 2 (Grand Unified Bootloader) welcher das Starten von vielen Linux-Derivaten erst ermöglicht steht unter GPLv3-Lizenz. Diese schreibt vor, dass genau diese benötigte Signatur veröffentlicht werden muss. So könnte ein Angreifer mit dieser Signatur ausgestattet wiederum den eigenen Bootloader signieren und hätte diese neue Funktion umgangen. Entsprechend ist es nachvollziehbar, dass eine Signierung von GRUB nicht in Frage kommt. Viele befürchten deswegen, dass man mit dieser Funktion das Betreiben von Linux auf einem PC verhindern wolle. Unter Punkt 27.7.3.3 in Schritt 5 beschreibt die UEFI-Spezifikation allerdings eine Möglichkeit, auch nicht signierte Software zu starten. Dabei wird ein Passwort abgefragt, wenn UEFI ein unsigniertes Boot-Image findet. Im Umkehrschluss würde dies allerdings bedeuten, dass Linux-Nutzer bei jedem Start ihres Systems nach diesem Passwort gefragt werden, sollten sie Secure Boot aktivieren.
<b>Quellen:</b><ul><li><a href="http://www.heise.de/open/artikel/Die-Woche-Linux-wird-nicht-ausgebootet-1348799.html">Heise</a></li><li><a href="http://www.uefi.org/specs">UEFI.org</a></li></ul>
<b>Links zum Thema</b><ul><li><a href="http://de.wikipedia.org/wiki/Freie_Software" target="b">Was ist freie Software?</a></li><li><a href="http://de.wikipedia.org/wiki/GNU_General_Public_License" target="b">GNU General Public License</li></ul>
Die Sache hat aber einen Haken und dieser liegt bei Linux. Der fast ausschließlich genutzte Bootloader GRUB 2 (Grand Unified Bootloader) welcher das Starten von vielen Linux-Derivaten erst ermöglicht steht unter GPLv3-Lizenz. Diese schreibt vor, dass genau diese benötigte Signatur veröffentlicht werden muss. So könnte ein Angreifer mit dieser Signatur ausgestattet wiederum den eigenen Bootloader signieren und hätte diese neue Funktion umgangen. Entsprechend ist es nachvollziehbar, dass eine Signierung von GRUB nicht in Frage kommt. Viele befürchten deswegen, dass man mit dieser Funktion das Betreiben von Linux auf einem PC verhindern wolle. Unter Punkt 27.7.3.3 in Schritt 5 beschreibt die UEFI-Spezifikation allerdings eine Möglichkeit, auch nicht signierte Software zu starten. Dabei wird ein Passwort abgefragt, wenn UEFI ein unsigniertes Boot-Image findet. Im Umkehrschluss würde dies allerdings bedeuten, dass Linux-Nutzer bei jedem Start ihres Systems nach diesem Passwort gefragt werden, sollten sie Secure Boot aktivieren.
<b>Quellen:</b><ul><li><a href="http://www.heise.de/open/artikel/Die-Woche-Linux-wird-nicht-ausgebootet-1348799.html">Heise</a></li><li><a href="http://www.uefi.org/specs">UEFI.org</a></li></ul>
<b>Links zum Thema</b><ul><li><a href="http://de.wikipedia.org/wiki/Freie_Software" target="b">Was ist freie Software?</a></li><li><a href="http://de.wikipedia.org/wiki/GNU_General_Public_License" target="b">GNU General Public License</li></ul>
el-mujo
Admiral Special
Es wird Zeit für einen umfassenden Artikel höchster Qualität, der das wahre Gesicht von EFI zu Tage bringt.
Was mit Efi theoretisch machbar wär, wer Interessen daran hat, wie sich das mit den geltenden Gesetzen in Verbindung bringen lässt. Was das allgemein für die IT-Welt bedeuten kann. Was der Nutzer zu erwarten und zu beachten hat.
Bisher nur geblubber ohne Substanz mit Ansätzen zur Kritik. Und zwar überall - nicht nur hier.
Schutz vor Bootsektorvieren und manipulierten Bootloadern schafft auch TPM. Stichwort "Aurora" - TPM-Geräte verweigerten die Ausführung von nicht signierten Code. Und dabei ist TPM lediglich ein sicherer Speicherort für Keys auf der Hardware, kein komplexes geschlossenes Betriebssystem.
Was mit Efi theoretisch machbar wär, wer Interessen daran hat, wie sich das mit den geltenden Gesetzen in Verbindung bringen lässt. Was das allgemein für die IT-Welt bedeuten kann. Was der Nutzer zu erwarten und zu beachten hat.
Bisher nur geblubber ohne Substanz mit Ansätzen zur Kritik. Und zwar überall - nicht nur hier.
Schutz vor Bootsektorvieren und manipulierten Bootloadern schafft auch TPM. Stichwort "Aurora" - TPM-Geräte verweigerten die Ausführung von nicht signierten Code. Und dabei ist TPM lediglich ein sicherer Speicherort für Keys auf der Hardware, kein komplexes geschlossenes Betriebssystem.
Onkel_Dithmeyer
Redaktion
☆☆☆☆☆☆
Es steht jedem frei einen Artikel dazu zu verfassen. Wenn dich das Thema interessiert und du ja offenbar Hintergrundwissen mitbringst würde ich mich freuen, dir dabei zu helfen!
Siehe meine signatur... die Zukunft des PC.
Früher bekannt unter "Palladium", später "NGSCB".
Effektiv nichts anderes als die zwangsverdongelung von PC, Betriebssystem und "sicherer" Software.
Hollywood lässt grüßen, endlich keine Raubkopien mehr....
Früher bekannt unter "Palladium", später "NGSCB".
Effektiv nichts anderes als die zwangsverdongelung von PC, Betriebssystem und "sicherer" Software.
Hollywood lässt grüßen, endlich keine Raubkopien mehr....
el-mujo
Admiral Special
Tut mir leid, wollte dir nicht auf den Schips treten mit dem "geblubber". Es ist ja schon mal die Richtung erkannt worden, wohin die Reise gehen könnte. Dafür auf jeden Fall vielen Dank das mal wieder zur Ansprache zu bringen, auch wenn Heise hierbei vielleicht die Inspiration war, was ich anhand des fehlenden Zeitspempels bei Heise nicht nachprüfen kann.
Hauptsache es wird auch mal kritisch über EFI berichtet.
Ich selber verfüge nicht über genügend Fachwissen um einen qualitativen Artikel zu schreiben. Ich kann aber wenn ich Ergebnisse habe, Schlüsse auf den User und die Allgemeinheit ziehen oder propagieren.
Ich wollte halt nur anmerken, dass es bisher an umfassenden Aufklärungsmaterial zu dem Thema fehlt. Genauso wie bei TR-069, was ja noch geschlossener und sogar noch intimer ist.
Viel Spass in der neuen Welt, im Web 3.0, dem Web, das nichts entgeht und das sich selber überwacht und managed und Anderen die Schnittstellen für manuelle Tätigkeiten eröffnet und dies sogar für die Routerhersteller verpflichtend ist diese einzubauen.
Wenn ich mich nicht irre, existiert seit 2002 eine Eu Richtlinie, in der Alle Provider eine Schnittstelle eingebaut haben müssen, die Strafverfolgungsbehörden die Möglichkeit gibt, live den Netzwerkverkehr zu überwachen. Die genau Bezeichnung der Vorschrift ist mir gerade nicht zugegen und es ist auch schwierig sie zu finden.
Dann mal kurz zusammengezählt: Direktes Interface für den Staat (wer weiss, für wen noch) an der Schnittstelle von dir und Internet und dann EFI mit dem Ethernet, dazu IADs die vom Provider "gemanaged" werden... was soll da wohl tolles bei rauskommen?!
jaja, ich weiss, 3TB+Support und schnelles booten.
Eine Kompetenz auf dem Gebiet der Telekommunikationsnetze ist der Herr Prof. Tolkiehn an der TFH-Wildau bei Berlin. Er ist auch Mitglied in der CAPI Vereinigung und kann speziell bei TR-069 und Kommunikationsnetzen allgemein gute Auskünfte geben. Ein persönlicher Termin zu einem Gespräch musste leider wegen Krankheit meinerseits abgesagt werden. Das ist noch einer der alten Schule die noch Assambler gelernt haben, also wissen was ein BIOS genau ist.
http://www.th-wildau.de/tolkiehn/
Hauptsache es wird auch mal kritisch über EFI berichtet.
Ich selber verfüge nicht über genügend Fachwissen um einen qualitativen Artikel zu schreiben. Ich kann aber wenn ich Ergebnisse habe, Schlüsse auf den User und die Allgemeinheit ziehen oder propagieren.
Ich wollte halt nur anmerken, dass es bisher an umfassenden Aufklärungsmaterial zu dem Thema fehlt. Genauso wie bei TR-069, was ja noch geschlossener und sogar noch intimer ist.
Viel Spass in der neuen Welt, im Web 3.0, dem Web, das nichts entgeht und das sich selber überwacht und managed und Anderen die Schnittstellen für manuelle Tätigkeiten eröffnet und dies sogar für die Routerhersteller verpflichtend ist diese einzubauen.
Wenn ich mich nicht irre, existiert seit 2002 eine Eu Richtlinie, in der Alle Provider eine Schnittstelle eingebaut haben müssen, die Strafverfolgungsbehörden die Möglichkeit gibt, live den Netzwerkverkehr zu überwachen. Die genau Bezeichnung der Vorschrift ist mir gerade nicht zugegen und es ist auch schwierig sie zu finden.
Dann mal kurz zusammengezählt: Direktes Interface für den Staat (wer weiss, für wen noch) an der Schnittstelle von dir und Internet und dann EFI mit dem Ethernet, dazu IADs die vom Provider "gemanaged" werden... was soll da wohl tolles bei rauskommen?!
jaja, ich weiss, 3TB+Support und schnelles booten.
Eine Kompetenz auf dem Gebiet der Telekommunikationsnetze ist der Herr Prof. Tolkiehn an der TFH-Wildau bei Berlin. Er ist auch Mitglied in der CAPI Vereinigung und kann speziell bei TR-069 und Kommunikationsnetzen allgemein gute Auskünfte geben. Ein persönlicher Termin zu einem Gespräch musste leider wegen Krankheit meinerseits abgesagt werden. Das ist noch einer der alten Schule die noch Assambler gelernt haben, also wissen was ein BIOS genau ist.
http://www.th-wildau.de/tolkiehn/
Zuletzt bearbeitet:
Der Artikel bezieht sich nur auf Linux. Allerdings betrifft das Problem jedes Betriebssystem außer das vorinstallierte Windwos 8.
Wer den Bootloader von z.b. Windows7 verwenden will guckt genauso in die Röhre.
Genau so siehts aus.
Andererseits kann man auch den Windows Bootloader dazu bringen Grub zu laden ...
Wer den Bootloader von z.b. Windows7 verwenden will guckt genauso in die Röhre.
Siehe meine signatur... die Zukunft des PC.
Früher bekannt unter "Palladium", später "NGSCB".
Effektiv nichts anderes als die zwangsverdongelung von PC, Betriebssystem und "sicherer" Software.
Hollywood lässt grüßen, endlich keine Raubkopien mehr....
Genau so siehts aus.
Andererseits kann man auch den Windows Bootloader dazu bringen Grub zu laden ...
wie jetzt? Ich kauf mir ein Mainboard und das EFi sagt mir dann auch noch was ich machen darf oder nicht?
was steckt dahinter? Geld? Kunde soll nur noch das machen was die Industrie will?
Stinkt mir ja schon bei Druckern, dass die nur die Kartuschen haben sollen, die die Firmen verkaufen möchten.
Schöne Sch**ße.
Haben die Piraten ein Gesetzt gegen sowas
was steckt dahinter? Geld? Kunde soll nur noch das machen was die Industrie will?
Stinkt mir ja schon bei Druckern, dass die nur die Kartuschen haben sollen, die die Firmen verkaufen möchten.
Schöne Sch**ße.
Haben die Piraten ein Gesetzt gegen sowas
![[MTB]JackTheRipper](/data/avatars/m/1/1018.jpg?1596828194){kind=avatar}
[MTB]JackTheRipper
Grand Admiral Special
Das "Tolle" an EFI ist ja, dass Netzwerksupport vorhanden ist. Damit hast du keine Kontrolle mehr über die Daten die ins Netz gelangen, weil du das auf Betriebssystemebene nicht überwachen kannst.
Natürlich nicht.
Im EFI 3.0 wird dann der gesamte Rechner beim Booten gecheckt ob nur "valide" SW installiert ist, und bootet ansonsten nicht.
Oder er fragt per internet erstmal beim Server von Microsoft oder sonstwem nach ob du, User-ID 0815 auch ein braver user bist, und bootet ansonsten nicht.
Ob man dich dann noch booten lässt wenn du es wagst in einem Forum, Newsgroup, Twitter oder sosntwo den Mund aufzumachen ist ein anderes Thema.
China würde das bestimmt freuen... alle Dissidenten die munter vor sich hin Bloggen mal eben per Zentralserver am Booten beliebiger PCs hindern. Identifiziert per Fingerabdruck, Boot-Passwort oder Gesichtserkennung per eingebauter Webcam. (Lacht nicht, dieses dubiose HP-Sicherheitstool auf meinem Läppi bietet mir das als alternative zum Fingerabdruck-logon in Windows bereits an! Oo)
Ob die Piraten ein Gesetz dagegen haben ist übrigens egal. Die Lobby wird schon dafür sorgen dass man den user weiter bevormunden darf... ansosnten wird halt wieder die alte Keule der Terror- oder KiPo-Bekämpfung ausgepackt und schon kriegt man das durch.
Wenn dann auch noch Wahlen online Stattfinden können (Kostengünstiger) kann das System dich sogar daran hindern deine Stimme für "die falschen" (nach Ansicht der Industrie) abzugeben.
Lang lebe George Orwell.
Im EFI 3.0 wird dann der gesamte Rechner beim Booten gecheckt ob nur "valide" SW installiert ist, und bootet ansonsten nicht.
Oder er fragt per internet erstmal beim Server von Microsoft oder sonstwem nach ob du, User-ID 0815 auch ein braver user bist, und bootet ansonsten nicht.
Ob man dich dann noch booten lässt wenn du es wagst in einem Forum, Newsgroup, Twitter oder sosntwo den Mund aufzumachen ist ein anderes Thema.
China würde das bestimmt freuen... alle Dissidenten die munter vor sich hin Bloggen mal eben per Zentralserver am Booten beliebiger PCs hindern. Identifiziert per Fingerabdruck, Boot-Passwort oder Gesichtserkennung per eingebauter Webcam. (Lacht nicht, dieses dubiose HP-Sicherheitstool auf meinem Läppi bietet mir das als alternative zum Fingerabdruck-logon in Windows bereits an! Oo)
Ob die Piraten ein Gesetz dagegen haben ist übrigens egal. Die Lobby wird schon dafür sorgen dass man den user weiter bevormunden darf... ansosnten wird halt wieder die alte Keule der Terror- oder KiPo-Bekämpfung ausgepackt und schon kriegt man das durch.
Wenn dann auch noch Wahlen online Stattfinden können (Kostengünstiger) kann das System dich sogar daran hindern deine Stimme für "die falschen" (nach Ansicht der Industrie) abzugeben.
Lang lebe George Orwell.
Zuletzt bearbeitet:
Ist das nun auch was für Verschwörungstheoretiker?
Gibbet dan gehackte EFI Firmware. Wird dann sicher auch nen Sport werden.
Wat ist dass denn dann für ein MIst? Wie repariere ich denn dann mit einer NotCd meine Kiste?
Gibbet dan gehackte EFI Firmware. Wird dann sicher auch nen Sport werden.
Wat ist dass denn dann für ein MIst? Wie repariere ich denn dann mit einer NotCd meine Kiste?
Zuletzt bearbeitet:
el-mujo
Admiral Special
Du hast ja auch wahrscheinlich nicht die Version 2.3.1 drauf...
Das ist sicher für OEMs interessant
Im Moment gibt es sicherlich noch WEge drumherum, weil zu viel Software im Umlauf ist die auf LEgacy Schnittstellen setzt, Diw Windowse selbst eben auch und diverse rettungs und Virensäuberungs-CDs... aber das sagt nichts darüber aus was uns in Zukunft alles bevorstehen könnte.
Das hat auch garnichts mit Verschwörugnstheorien zu tun... es ist nur die logische Folge aus Gier, Gewinnmaximierung und vermeintlicher "Sicherheit" durch Kontrolle der Userschaft.
Politisch wurde ja seit dem 11. September schon einiges in diese Richtung gemacht & gestattet, da ist es nur die logische Konsequenz dass das früher oder später auf die IT-Welt übertragen wird.
Gerade in Hinblick auf die Nützlichkeit des Internets für Aufstände & Revolutionen (Siehe Ägypten und Libyen)
MEnschen sind machthungrig, gierig und käuflich... deswegen wurden Instrumentarien zru GEwaltenteilung geschaffen...
Wenn wir als Gesellschaft irgendwann dumm genug sind, all diese Prinzipien aus Angst, Bequemlichkeit oder anderen Beweggründen über Bord zu wefen... nunja...
Das hat auch garnichts mit Verschwörugnstheorien zu tun... es ist nur die logische Folge aus Gier, Gewinnmaximierung und vermeintlicher "Sicherheit" durch Kontrolle der Userschaft.
Politisch wurde ja seit dem 11. September schon einiges in diese Richtung gemacht & gestattet, da ist es nur die logische Konsequenz dass das früher oder später auf die IT-Welt übertragen wird.
Gerade in Hinblick auf die Nützlichkeit des Internets für Aufstände & Revolutionen (Siehe Ägypten und Libyen)
MEnschen sind machthungrig, gierig und käuflich... deswegen wurden Instrumentarien zru GEwaltenteilung geschaffen...
Wenn wir als Gesellschaft irgendwann dumm genug sind, all diese Prinzipien aus Angst, Bequemlichkeit oder anderen Beweggründen über Bord zu wefen... nunja...
Shai Hulud
Grand Admiral Special
Auch das wird man schnellstmöglich knacken, da mach ich mir keine Sorgen!
Gruß Thomas!
Grand Admiral Special
Schon eine tolle Wurst ist das...
Also ich kann mir nicht vorstellen das die "freie Hardware" irgendwann ausstirbt. Oder das Intel/Microsoft alles so mir nichts dir nichts durchsetzt.
Könnt ja sein das so ein kleiner GNU/Linux PC auf den Markt kommt, der dem User alle Rechte auch zugesteht.
Könnt ja sein das so ein kleiner GNU/Linux PC auf den Markt kommt, der dem User alle Rechte auch zugesteht.
Markus Everson
Grand Admiral Special
So wie bisher auch - indem Du beim Kauf darauf achtest das "die Kiste" kompatibel zur Not-CD ist. Das Gerücht, das künftig ein Rollkommando im schwarzen VW-Bus vorfährt und dem frischgebackenen Besitzer eines nicht-UEFI-PC die Bude zerlegt darf bezweifelt werden.
wintermute_3dc
Admiral Special
Lieber Onkel,
kann es sein das dein Heise-Link auf einen anderen Artikel verweist?
Wäre der hier nicht besser:
http://heise.de/-1348799
Ansonsten möchte ich auf 2 Artikel von Mathew Garrett verweisen, der als einer der ersten darüber berichtet hat:
http://mjg59.dreamwidth.org/5552.html
und
http://mjg59.dreamwidth.org/5850.html
Edit: Der Heise-Link ist wg. GPLV3 dort, bitte meine diesbezügliche Anmerkung zu ignorieren. Ich hatte nur den Artikel zu der UEFI-Problematik in Erinnerung
kann es sein das dein Heise-Link auf einen anderen Artikel verweist?
Wäre der hier nicht besser:
http://heise.de/-1348799
Ansonsten möchte ich auf 2 Artikel von Mathew Garrett verweisen, der als einer der ersten darüber berichtet hat:
http://mjg59.dreamwidth.org/5552.html
und
http://mjg59.dreamwidth.org/5850.html
Edit: Der Heise-Link ist wg. GPLV3 dort, bitte meine diesbezügliche Anmerkung zu ignorieren. Ich hatte nur den Artikel zu der UEFI-Problematik in Erinnerung
Zuletzt bearbeitet:
Onkel_Dithmeyer
Redaktion
☆☆☆☆☆☆
Ist gefixt, danke, ist mir nicht aufgefallen.
Chris_Bear
Admiral Special
Sorry, aber hat hier irgend jemand den Heise-Artikel gelesen und erst einmal 2 Sekunden drüber nachgedacht, bevor hier wieder wild auf dem "Überwachungsstaat" herumgehackt wird? Nein? Dachte ich mir...
Secure Boot ist nichts weiter als ein neues Feature, das zur Systemsicherheit beitragen kann wenn es denn aktiviert wird. Niemand wird dazu gezwungen es zu nutzen. Es kann jedoch auch sehr nützlich beim Schutz der EIGENEN Daten VOR dem "Überwachungsstaat" sein.
Im Moment kann ich meine gesamte Festplatte per BitLocker / TrueCrypt / LUKS verschlüsseln, was mir schon einmal eine grundlegende Datensicherheit bietet falls mein Laptop verloren geht. Leider gibt es bei allen genannten Methoden immer noch verschiede Möglichkeiten an die Daten heranzukommen, z.B. per Cold Boot oder Evil Maid-Attacke (mehr Infos hier: http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html). Diese Attacke basiert auf einem modifizierten Bootloader, was mit Secure Boot erfolgreich verhindert werden kann.
BitLocker versucht schon Ähnliches durch die Einbindung von TPM (um Modifikationen an der Hardware oder am Bootloader zu erkennen), aber da es auch hier noch Möglichkeiten gibt TPM zu umgehen, setzt Secure Boot eben eine Stufe tiefer an.
Für etwas ausfühlichere Informationen zum Thema Sicherheit beim Booten (inkl. TPM, TXT, und verwandten Technologien) empfehle ich folgenden Blog: http://theinvisiblethings.blogspot.com/
Da wird übrigens dasselbe mit Qubes, einem Unix-basierten OS, gemacht
Mehr Infos zum Windows 8-Bootprozess und UEFI (von den Leuten, die Windows 8 entwickeln) gibt's hier: http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx
(man beachte den letzten Screenshot - da kann Secure Boot einfach deaktiviert werden)
Gruß,
Chris
Secure Boot ist nichts weiter als ein neues Feature, das zur Systemsicherheit beitragen kann wenn es denn aktiviert wird. Niemand wird dazu gezwungen es zu nutzen. Es kann jedoch auch sehr nützlich beim Schutz der EIGENEN Daten VOR dem "Überwachungsstaat" sein.
Im Moment kann ich meine gesamte Festplatte per BitLocker / TrueCrypt / LUKS verschlüsseln, was mir schon einmal eine grundlegende Datensicherheit bietet falls mein Laptop verloren geht. Leider gibt es bei allen genannten Methoden immer noch verschiede Möglichkeiten an die Daten heranzukommen, z.B. per Cold Boot oder Evil Maid-Attacke (mehr Infos hier: http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html). Diese Attacke basiert auf einem modifizierten Bootloader, was mit Secure Boot erfolgreich verhindert werden kann.
BitLocker versucht schon Ähnliches durch die Einbindung von TPM (um Modifikationen an der Hardware oder am Bootloader zu erkennen), aber da es auch hier noch Möglichkeiten gibt TPM zu umgehen, setzt Secure Boot eben eine Stufe tiefer an.
Für etwas ausfühlichere Informationen zum Thema Sicherheit beim Booten (inkl. TPM, TXT, und verwandten Technologien) empfehle ich folgenden Blog: http://theinvisiblethings.blogspot.com/
Da wird übrigens dasselbe mit Qubes, einem Unix-basierten OS, gemacht
Mehr Infos zum Windows 8-Bootprozess und UEFI (von den Leuten, die Windows 8 entwickeln) gibt's hier: http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx
(man beachte den letzten Screenshot - da kann Secure Boot einfach deaktiviert werden)
Gruß,
Chris
el-mujo
Admiral Special
"http://www.pro-linux.de/news/1/17527...unterging.html"
Ein reichlich wenig qualifizierter Beitrag, etwas weiter unten im Text heisst es:
"Betroffen von möglichen Problemen wären also Laptop- und Fertigsystemkäufer, die ein dediziertes System mit einer Windows-8-Zertifizierung gekauft haben. Es ist davon auszugehen, dass kein Motherboardhersteller, der seine Produkte als Komponenten verkauft, die neue Funktion nutzen wird."
So.. und wie groß ist der Marktanteil von selbst zusammengebauten PCs?! Baust du dir dann dein Notebook selber zusammen? Welches neue Notebook wird wohl OHNE riesen Zertifikate-Aufkleber "für Windows8 designed" im Handel stehen?
Wer erklärt dass dem gewöhnlichen Käufer, der eine Maschine verlangt, die IHM gehört und das macht was ER will?!
Im Allgemeinen beschreibt der Artikel lediglich die Technik zum Schutz von manipulierten Bootloader, wie sie auch bei TPM zum Tragen kommt. Nur dass man TPM IMMER abschalten kann wenn man will.
Das mit Linux ist aber doch eh nur Ablenkung um Aufregung auf einer Seite zu erzeugen, die die wirklichen Interessenten am EFI doch nur so wollen.
Entscheidend ist für mich hier die Netzwerkkomponente. Wie kann sichergestellt werden, dass mich nur die Daten erreichen, die ich auch anfordere? Also wie kann sichergestellt werden, dass mir keine Daten "untergeschoben" werden?
Dass es irgendwann Einschränkungen für den Einsatz fremder Software gibt, halte ich nur für eine Zeitfrage. Auch wenn im Moment sicher noch in der Tat viel Spinnerei dabei ist. Die Grundlagen dafür aber werden bereits jetzt aktuell auf breiter Front gelegt.
Und darum nochmal die Frage, warum wird kein Coreboot verwendet?
Ich finde das Thema ist doch zu wichtig, da grundlegend um es als Panikmache abzustempeln. Die Großen Fragezeichen rühren doch nur daher, dass es bis dato keine quasi Bestätigung für die Zerstreuung der Bedenken gibt.
Nachtrag:
um dem gleich vorwegzugreifen:
"Zu einem ähnlichen Schluss gelangt man auch, wenn man sich die momentanen Implementierungen von UEFI in fertigen Systemen anschaut. Denn die meisten Systeme, die heute mit UEFI ausgeliefert werden, bieten immer noch die Möglichkeit an, den Start des Systems im BIOS-Modus durchzuführen." dient dabei als Beschwichtigung, der wer aufpasst, weiss dass die BIOS GUI nur emuliert ist und den Anschein eines BIOSes macht, unter der Haube steckt und werkelt aber ein EFI.
Ein reichlich wenig qualifizierter Beitrag, etwas weiter unten im Text heisst es:
"Betroffen von möglichen Problemen wären also Laptop- und Fertigsystemkäufer, die ein dediziertes System mit einer Windows-8-Zertifizierung gekauft haben. Es ist davon auszugehen, dass kein Motherboardhersteller, der seine Produkte als Komponenten verkauft, die neue Funktion nutzen wird."
So.. und wie groß ist der Marktanteil von selbst zusammengebauten PCs?! Baust du dir dann dein Notebook selber zusammen? Welches neue Notebook wird wohl OHNE riesen Zertifikate-Aufkleber "für Windows8 designed" im Handel stehen?
Wer erklärt dass dem gewöhnlichen Käufer, der eine Maschine verlangt, die IHM gehört und das macht was ER will?!
Im Allgemeinen beschreibt der Artikel lediglich die Technik zum Schutz von manipulierten Bootloader, wie sie auch bei TPM zum Tragen kommt. Nur dass man TPM IMMER abschalten kann wenn man will.
Das mit Linux ist aber doch eh nur Ablenkung um Aufregung auf einer Seite zu erzeugen, die die wirklichen Interessenten am EFI doch nur so wollen.
Entscheidend ist für mich hier die Netzwerkkomponente. Wie kann sichergestellt werden, dass mich nur die Daten erreichen, die ich auch anfordere? Also wie kann sichergestellt werden, dass mir keine Daten "untergeschoben" werden?
Dass es irgendwann Einschränkungen für den Einsatz fremder Software gibt, halte ich nur für eine Zeitfrage. Auch wenn im Moment sicher noch in der Tat viel Spinnerei dabei ist. Die Grundlagen dafür aber werden bereits jetzt aktuell auf breiter Front gelegt.
Und darum nochmal die Frage, warum wird kein Coreboot verwendet?
Ich finde das Thema ist doch zu wichtig, da grundlegend um es als Panikmache abzustempeln. Die Großen Fragezeichen rühren doch nur daher, dass es bis dato keine quasi Bestätigung für die Zerstreuung der Bedenken gibt.
Nachtrag:
um dem gleich vorwegzugreifen:
"Zu einem ähnlichen Schluss gelangt man auch, wenn man sich die momentanen Implementierungen von UEFI in fertigen Systemen anschaut. Denn die meisten Systeme, die heute mit UEFI ausgeliefert werden, bieten immer noch die Möglichkeit an, den Start des Systems im BIOS-Modus durchzuführen." dient dabei als Beschwichtigung, der wer aufpasst, weiss dass die BIOS GUI nur emuliert ist und den Anschein eines BIOSes macht, unter der Haube steckt und werkelt aber ein EFI.
Zuletzt bearbeitet:
In dem Artikel steht noch etwas anderes: Man muss als Linux-Nutzer schlimmstenfalls beim Hardwarekauf aufpassen, dass man nichts kauft was mit Linux nicht will. Das ist bisher aber genauso. Als Linux-Nutzer muss man bisher auch aufpassen welche Hardware man kauft. Die Situation hat sich in den letzten Jahren zwar deutlich gebessert, aber man kann noch immer nicht voraussetzen, dass Hardware xyz ohne Einschränkungen mit Linux läuft.
Ähnliche Themen
