die signierte Software nicht einem adequaten Testmanagement unterzogen worden ist. Das heißt, dass *bewiesen* werden kann, dass die signierte Software fehlerfrei und alle nötigen Funktionen enthält. Nur dann sind keine baldigen Updates erforderlich, die den ganzen Siginierungsprozess letztlich wieder ad absurdum führen.
Es geht doch nicht darum zu beweisen, dass die Software fehlerfrei ist, sondern dass es sich um die vom Hersteller unveränderte Fassung handelt. Dadurch kann bewiesen werden, dass nachträglich kein Schadcode eingeschleust wurde. Wenn du dem ursprünglichen Hersteller aber sowieso nicht vertraust, solltest du seine Software gar nicht verwenden.
"Es geht doch nicht darum zu beweisen, dass die Software fehlerfrei ist, sondern dass es sich um die vom Hersteller unveränderte Fassung handelt."
Und genau das kann nicht garantiert werden wenn die Software nicht fehlerfrei ist, denn über solche Fehler kann man eventuell Software in den Kernel einschleusen. Sprich es stimmt schon, die Signierung macht erst dann sinn, wenn fest steht, dass die signierte Software fehlerfrei ist. Siehe alle Jailbreaks, die entsprechende Signierungen nutzlos machen.
> Grundidee bei UEFI Secure Boot, dass nur vertrauenswürdiger, also signierter Code auf die Hardware zugreifen darf
Das macht doch dann unter Linux keinen Sinn. Hier geht es doch lediglich um einen signierten Mini-Bootloader. D.h. die Bootkette geht Mini-BL -> Grub 2 -> Kernel. Nur ersteres ist signiert. Ich verstehe den Sinn des ganzen nicht. Nur bei Windows kann die Integrität der gesamten Bootkette duch eine Signatur gewährleistet werden, oder?
Alle drei sind signiert. Der Mini-Bootloader wird von Microsoft für 99 Dollar signiert. Dieser überprüft dann Grub 2, der von Fedora signiert wurde. Grub 2 lädt dann einen von Fedora signierten Kernel.
Natürlich gibt es da diverse Probleme. Grub 2 steht unter der GPLv3, daher müsste Fedora eigentlich auch den Key herausgeben, das geht aber nicht da jeder dann Software mit dem Key signieren könnte. Möglicherweise müsste Grub 2 neu geschrieben werden.
Wird die Kette auch nur an einer Stelle geknackt wäre es möglich damit Windows Systeme anzugreifen und die ganze Distribution wird auf die schwarze Liste gesetzt.
Ist Fedora dann überhaupt noch als freie Software anzusehen, wenn Fedora es akzeptiert, das es eine ganz bestimmte unfreie BIOS-Firmware auf solchen Systemen zum Starten zwingend benötigt? Die Antwort ist ein klares Nein. Und der Mini-Bootloader, welcher Lizenz unterliegt dieser? Ist das etwa ein unveränderliches Stückchen Software, unfrei, für 99 Euro von Microsofts Gnaden?
Ist Fedora dann überhaupt noch als freie Software anzusehen, wenn Fedora es akzeptiert, das es eine ganz bestimmte unfreie BIOS-Firmware auf solchen Systemen zum Starten zwingend benötigt? Die Antwort ist ein klares Nein.
Dem wiederspreche ich, wie oft eine Software existent ist (bzw in wieviele Versionen es davon gibt), dürfte auch bei keiner Freien Software-Lizenz abgehandelt werden. Außerdem sind auch heute praktisch alle BIOS unfrei und laden einfach so GRUB und die anderen Bootloader. Im übrigen kannst du soviele BIOS-Versionen signieren, wie dein Portemonnaie verkraftet.
Und der Mini-Bootloader, welcher Lizenz unterliegt dieser?
Egal, solange sie nicht GPL3 ist oder halt der Key offengelegt wird.
Ist das etwa ein unveränderliches Stückchen Software, unfrei, für 99 Euro von Microsofts Gnaden?
Der Bootloader-Quellcode kann jede Lizenz haben, wie man will, das Signieren des Binary kostet halt jeweils 99$,
"Im übrigen kannst du soviele BIOS-Versionen signieren, wie dein Portemonnaie verkraftet."
Damit sind wir beim springenden Punkt. Ich habe das Mainboard gekauft, es gehört mir, darauf hat zu starten, was ich möchte. Eine notwendige Extragebühr von immer wieder 99 Euro ist illegal und IMO würde das sehr stark Betrugsmaschen von Kartellen ähneln. Also will ich entsprechende Schlüssel für mein gekauftes Mainboard schon mit dem Mainboardkauf, nicht für Deines, nur für meines.
Ein Mainboard, auf dem ohne Extragebühr nicht das startet, was gemäß meinem Willen, also dem Willen des Mainboardeigentümers, darauf zu starten hat, enthält defacto einen schweren Gebrauchsmangel und darf gegen Rückerstattung des Kaufpreises zurückgegeben werden. Diese Regelung würde auch für Komplettsysteme gelten.
Das sollten auch Anhänger unfreier Betriebssysteme nachvollziehen können: Angenommen, Windows 8 gefällt einem nicht, dann spielt man am besten das schon gekaufte Windows 7 auf, oder?. Nein, halt, das geht eben nicht, es ist ja nicht signiert.
Ich habe oben schon gesagt, wie ich das ganz persönlich sehe: als Sklaverei, der Endnutzer und Endkunde wird da IMO gesehen als rechtloser, manipulierbarer Vollidiot.
Die 99 Dollar müssen nur einmal gezahlt werden und würden wohl von der Distribution gezahlt werden.
Ich würde mal schwer vermuten das Microsoft für Privatleute keine Bootloader signieren wird, die dann selbst signierten Code ausführen können. Das wäre im Prinzip ja ein Generalschlüssel für alle Computer.
Um einen Kernel selbst zu kompilieren, müsste man entweder Schlüssel selber hinzufügen können oder Secure Boot abschalten.
"Ich würde mal schwer vermuten das Microsoft für Privatleute keine Bootloader signieren wird, die dann selbst signierten Code ausführen können. Das wäre im Prinzip ja ein Generalschlüssel für alle Computer."
Wenn das so sein sollte, dann taugt diese ganze Softwaretechnologie nichts. Ein solcher Bootkontrollmechanismus, der allein durch sog. Generalschlüssel ausgehebelt werden kann, ist eine krasse Fehlkonstruktion.
Dann ist es nur eine Frage der Zeit, bis für Geheimdienste und Behörden gewährte "Schlupflöcher" auch ungebetenen Gästen auf irgendeinem und damit unter Umständen auch auf allen Secure-Boot-Systemen Einlass gewähren. Vielleicht sollte man solchen BIOSen auch noch eine Netzwerkfunktion spendieren (ursprünglich gedacht als weitere, internetseitige Bootkontrolle z.B. durch Microsoft), dann wäre das System schon lange vor dem eigentlichen Hochbooten kompromittierbar.
Die Alternative ist, dieses Boot-System in freier Software zu schreiben, nur dadurch kann es sicher werden. Außerdem vermag dann der Nutzer auf seinem Mainboard dann die Sicherheitsmaßnahmen beim Booten zu treffen, nach denen ihm dürstet: Böse Buben aussperren, Microsoft aussperren, Behörden und Geheimdienste aussperren. Nur dann ist das eigene System wirklich sicher.
auch wenn mir die Methode mit Signaturen, die bei Microsoft gekauft werden sollen, überhaupt nicht gefällt, sollte man ein wenig die Kirche im Dorf lassen. Wer so etwas als Sklaverei oder ähnliches bezeichnet, begreift wohl nicht so recht, was richtige Sklaverei, die mit Ausbeutung der betroffenen Menschen einhergeht, überhaupt ist.
Von Ausbeutung kann man beim Coltan-Abbau im Kongo sprechen, und ja, ich habe auch ein Notebook und ein Smartphone, wo dieses Zeug sicherlich mit verarbeitet wurde.
Die Leute, die hier große Worte wie Freiheit, Sklaverei und ähnliches in den Mund nehmen, tun ja gerade so, als fiele mit solchen Entscheidungen um den signierten Schlüssel das Heil einer ganzen Gesellschaft in den Orkus. Genauer betrachtet ist es wohl eher die Sorge, seinen eigenen Technikfetischismus nicht mehr frei ausleben zu können, ein Fetischismus, der zwar im Hinblick auf die Freiheit des Softwarecodes sehr besorgt macht bei Einschränkungen, es aber billigend in Kauf nimmt, dass bei diesem Hobby andere Sauereien passieren.
Um klar zu stellen: Ich finde die Signierung wie sie zur Zeit geplant ist, Käse und finde auch eine deutliche Kritik daran angebracht. Was mich aber sehr stört, ist die Unverhältnismäßigkeit. Hier geht es um ein blödes Werkzeug, nicht mehr und nicht weniger und wer das in Verbindung mit Sklaverei bringt, macht sich meines Erachtens lächerlich.
Ich verstehe zwar, was Du meinst, Du hast aber die immer stärker werdende Durchdringung aller gesellschaftlichen Lebensbereiche durch Computer, Betriebssysteme, Telekommunikation und Internet anscheinend etwas ausgeblendet. Denke bitte noch einmal z.B. an Kafkas Prozeß und stelle Dir die dort dargestellten unangreifbaren Behörden als moderne Behörden und Großkonzerne vor, die sämtliche politische Macht in Händen halten, weil niemand mehr an den dann institutionalisierten, rein computer- und internetgestützten Kommunikationsprozessen noch vorbeikommt, wobei die zugrundeliegende Infrastruktur von wenigen Großkonzernen kontrolliert und (pseudo-)demokratischen Regierungen zur Verfügung gestellt wird.
Mit Deiner eher "antiken" Beschreibung von Sklaverei liegst Du demzufolge schon heute falsch.
Sklaverei meinte ich eher als eine Form dauerhafter Nötigung, die von übernationalen, nicht gewählten "Regierungen" (z.B. EU-Kommission), Großkonzernen und Korporationen angezettelt und übernational dann im lokalen Rahmen durchgesetzt wird, obwohl die nationalen Gesetze anders lauten. Die meisten Menschen wehren sich dagegen nicht, sie halten es für aussichtslos, z.B. als Deutsche in den USA gegen dort basierte, aber in ihrem eigenen nationalen Rahmen widerrechtlich agierende Konzerne vorzugehen, dieses Verhalten ist selbst dann zu beobachten, wenn die betreffende "deutsche" Firma ihren angeblichen "Dienstsitz" in Luxemburg hat. Das direkte Resultat ist massiver Freiheitsverlust und der Verlust demokratischer Rechte durch die Hintertür.
Genauso sehe ich ganz persönlich diese Geschichte mit Secure Boot und den dazu von Fremden zu kaufenden "Zugangsschlüsseln": als moderne Form der Sklaverei, als einen Versuch dauerhafter Nötigung, als Versuch, mich meiner gesetzlich verbrieften Eigentumsrechte und der Freiheit meiner Willensbetätigung zu berauben. Du wirst sehen, dass u.a. Microsoft versuchen wird, sich im Rahmen der Windows8-Einführung über seine "EULA" entsprechend abzusichern.
Ein anderes Beispiel: Es soll z.B. übernational agierende Firmenkonstrukte geben, die die Auszahlung eines legalen Kontoguthabens oder auch nur den eigenen Zugriff auf das eigene Konto davon abhängig machen, dass man ihnen eine Kopie der eigenen Strom- oder Telefonrechnung auf die andere Seite der Weltkugel schickt. Wie nennt man so etwas? Richtig, Sklaverei im von mir beschriebenen Sinne. Kafkas Prozeß lässt grüßen.
Nimm bitte das, was ich geschrieben habe, nicht persönlich. Ich kenne Dich ja überhaupt nicht. Und außerdem bist Du mit Deiner Meinung wohl in guter Gesellschaft, selbst Red Hat und Fedora haben die Tragweite der Secure-Boot-Nötigung bisher nur als technisches, nicht aber als gesellschaftliches Problem verstanden. Die Frage, wer in Zukunft die Kontrolle über die computergestützte und damit technische Infrastruktur ausüben wird, entscheidet wesentlich mit darüber, ob unsere Demokratie(n) als solche überleben werden.
Ein anderes Beispiel: Es soll z.B. übernational agierende Firmenkonstrukte geben, die die Auszahlung eines legalen Kontoguthabens oder auch nur den eigenen Zugriff auf das eigene Konto davon abhängig machen, dass man ihnen eine Kopie der eigenen Strom- oder Telefonrechnung auf die andere Seite der Weltkugel schickt. Wie nennt man so etwas? Richtig, Sklaverei im von mir beschriebenen Sinne. Kafkas Prozeß lässt grüßen.
Es soll auch national agierende Banken geben, die die Auszahlung eines legalen Kontoguthabens oder auch nur den eigenen Zugriff auf das eigene Konto davon abhängig machen, dass man ihnen das Original eines Dokuments mit dem Namen "Personalausweis" vorzeigt. So gesehen hat die deutsche Ausweispflicht sogar Vorteile. In den USA gibt es das nicht und somit bleibt eine Strom- oder Telefonrechnung praktisch die einzige Möglichkeit, sich irgendwie auszuweisen. Guck dir nur mal an, wie chaotisch dort die Anmeldung zu einer Wahl abläuft. Bei uns gibt es da kein Problem, da sämtliche Wahlberechtigten in den Meldebehören erfasst sind. Wo bleibt die Kritik, dass man in Deutschland seinen Wohnsitz melden muss und der Staat Lichtbilder und Fingerabdrücke zentral speichert?
Du liegst völlig daneben. Vergleichbar wäre das nur, wenn ich mir vor jeder Fahrt mit meinem Auto eine Handy-SMS von Microsoft mit einem Autorisierungscode schicken lassen müsste, damit ich mein Auto aufschließen und benutzen darf. Man muss ja schließlich sicherstellen, dass es nicht von irgendwelchen Gangstern geklaut wird. Ha, ha, ha.
Irgendwie hat man aber nicht wirklich weit genug gedacht oder? Ein Dieb kommt vermutlich nicht auf die Idee, die Festplatte einfach heraus zu nehmen und in ein externes Gehäuse zu stecken. Dann werden die Daten einfach von einen anderen Rechner aus ausgelesen. Denke mal nicht das man es dann noch verhindern kann oder?
Darum geht es nicht. Secure Boot soll das Einschleusen von Schadcode in den Bootvorgang verhindern. Die Signierung belegt im Prinzip nur das es sich bei dem ausgeführten Code um die unmodifizierte Orginalsoftware des Herstellers handelt.
Im Fall eines Diebstahl des Computers hilft nur eine Verschlüsselung der Festplatte.
Von hfjhhjgjgjhghj am Di, 12. Juni 2012 um 19:33 #
"Die Signierung belegt im Prinzip nur das es sich bei dem ausgeführten Code um die unmodifizierte Orginalsoftware des Herstellers handelt."
Das ist wohl der größte Schwachpunkt im Secure Boot-Konzept. Flame lässt grüßen: http://www.computerwoche.de/security/2514650/ http://www.heise.de/security/meldung/Windows-Update-kompromittiert-1605393.html
In Zeiten, in denen selbst "gute" Staaten Malware benutzen, um ihre vorgebliche Feinde zu bekämpfen, ist dies ein sehr beunruhigendes Zeichen. Das führt zumindest gedanklich zu einem ganz bestimmten Szenario, im Rahmen dessen entsprechende Unternehmen und staatliche Stellen zusammenarbeiten (müssen), was IMO solche Signierungen unter Umständen wertlos werden lässt. Es muss nur ein Glied in der langen "Vertrauenskette" reißen. "Signierte" Malware heißt das Zauberwort.
Dass Microsoft mit seiner Secure Boot-Funktion nicht die Existenz anderer Betriebssysteme erschweren oder verhindern will, zeigt sich im moderaten Preis für die Signierung,
Aha. Man könnte es einfach als das bezeichnen, was es ist: Schutzgeld. Warum ich das begrüßen soll, ist mir völlig schleierhaft. Schade, dass es einige Linuxer nötig haben, vor Redmond einen Kotau zu machen.
Derzeit muss Secure-Boot eh abschaltbar sein. Es betrifft mich somit nicht. Für die Zukunft wird sich schon etwas finden.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 01. Jun 2012 um 15:06.
Naja, ich würde eher sagen, daß man auf einen Sicherungsmechanismus verzichtet. Wenn ich auf dem Rechner nur Linux Systeme betreibe dann juckt mich ein ausgeschalteter Secure Boot herzlich wenig (dito beim Server).
Ich finde es prinzipiell gut, Software/Hardware sicherer zu machen, nur werde ich das Gefühl nicht los, daß der ganze Bohei um UEFI und Signaturen mit einem engagierten Hack null und nichtig wird (libdvdcss), wenn ein schwedischer oder dänischer oder finnischer oder $land$smann sich die Freiheit "erarbeitet" die Hardware nach seinen Wünschen zu verwenden.
Natürlich steht es jedem frei Sicherheitslücken in seinem System offen zu lassen. Linux Systeme sind im Prinzip von den gleichen Problemen betroffen. Bald werden Systeme ohne Secure Boot als unsicher gelten.
Der Unterschied zu libdvdcss ist, dass der Benutzer normalerweise ein Interesse hat sein System sicher zu halten. Secure Boot wird nicht verhindern können das ein Benutzter das System umgeht und dann eigenen Code ausführt.
Natürlich kann es auch passieren das jemand die Kette knackt. Es reicht schon wenn irgendein Schlüssel bekannt wird und jeder seinen Code mit dem Schlüssel signieren kann.
SecureBoot merkt das nur beim Booten, während de Laufzeit kann dein System genauso gehackt werden...mit dem unterschied das es dann nicht mehr startet.....SUUUPER vieleicht Secureboot ausschalten und mal tripwire anschauen, vielleicht verstehst du dann das SB nicht so ganzganz durchdacht ist. PS: Schau mal ganz genau was eine Sicherheitslücke ist...du meinst ein gewisses sicherheitsrisiko nicht -lücke
Das stimmt so nicht. Man hat eher einen neuen, zusätzlichen Kontrollmechansimus im eigenen Rechner, der nicht unter der eigenen Kontrolle, sondern unter der von Fremden (in diesem Fall Microsoft) steht. Mein Rechner gehört aber mir, ich erlaube darauf keine Herrschaft von Fremden. Wenn zusätzliche Sicherheit nur durch Sklaverei zu erkaufen ist, dann will ich dieses kleine Bisschen mehr an Sicherheit nicht.
Nicht Secure Boot ist das Problem, sondern die Möglichkeit Schlüssel selbst zu verwalten. Wenn man z.B. der Schlüssel einer Linux Distribution selbst hinzufügen kann ist es überhaupt kein Problem.
Ich vermute mal es wird auch Hardware angeboten werden die es erlaubt Schlüssel nachzuladen. Wahrscheinlich wird die aber ein wenig mehr kosten.
Nur ist es der Schlosser der deine Wohnung zuschließt und dir dann sagt das du um rein oder raus zu kommen beim Sicherheitsdienst anrufen musst denn dort ist der Schlüssel zu deiner Sicherheit hinterlegt. Mit etwas Glück ist es nicht nur ein Sicherheitsdienst sondern Zwei aber atm ist nur von einem Weitverbreitetem die Rede. Nicht geredet wird über die Schlüssel die sich bei Leuten befinden Denen Einige vielleicht nicht vertrauen (Konkurenz) denen aber stehts eine Kopie zuliefern ist ganz im Sinne der einen Flagge oder einer anderen oder vielleicht der welche die meisten Schließzylinder Hersteller betrachten.
Stimmt schon, das Problem bei Secure Boot ist ja nicht das System an sich sondern das man die Schlüssel nicht selbst verwalten kann. Hier müssten die Mainboard-Hersteller eine Möglichkeit anbieten neue Schlüssel hinzuzufügen.
Von rrrrrrrrrrrrrrrrr am Fr, 1. Juni 2012 um 16:03 #
Ich bin für völligen Kaufboykott von Mainboards, die die Abschaltung dieses Unfreiheitsfeatures nicht erlauben. Alles andere ist Murks, auch das, was Garrett da anbietet, das ist einfach eine bedingungslose Kapitulation gegenüber Microsoft. Heute FAT-Lizenzzahlungen, morgen solche für den Bootloader. Gehts noch?
Ich habe mich völlig umsonst aufgeregt, Secure Boot wird abschaltbar sein: http://msdn.microsoft.com/en-us/library/windows/hardware/jj128256 Dieses Secure Boot-Herumgezappel eines Fedoraentwicklers hat demzufolge IMO andere Gründe, nämlich RHEL die UEFI Boot-Nutzung zu ermöglichen, um vielleicht sogar einen Wettbewerbsvorteil daraus zu ziehen.
Secure Boot ist nur in Desktops abschaltbar. ARM Tablets mit Windows dürfen Secure Boot nicht abschalten.
Viele Firmen werden bald aus Sicherheitsgründen Secure Boot einsetzen müssen. Red Hat will es dann natürlich auch anbieten können. Die einzige vernünftige Lösungen wäre, dass der Benutzer neue Schlüssel hinzufügen kann.
Es wäre auch sinnvoll wenn der Nutzer mitgelieferte Schüssel entfernen kann und die Menge der mitgelieferten Schlüssel minimiert würde (wird ein System oder Mainboard ohne Windows verkauft so sollte sich auf diesem kein Microsoft Schlüssel befinden)
ARM Tablets mit Windows dürfen Secure Boot nicht abschalten.
Soweit ich das verstanden habe ist das nicht auf Tablets beschränkt, sondern aus sämtliche System mit ARM basierten CPUs. Also auch ARM Desktops, Laptops oder Server sobald diese verfügbar werden
Ich werde beim Kauf des nächsten Rechners darauf achten, dass dieser von coreboot unterstützt wird. UEFI scheint jedenfalls alles andere als der Weisheit letzter Schluss zu sein.
Kauf zwei Motherboard und schenke eines den Coreboot entwicklern, warte zwei Wochen und du hast dein Bios, und hast ein grossen Beitrag für freie Software gemacht. HP G6 Server bekommst aber erst in vier jahren auf dem Flohmarkt.
Toll. Wo ist der Hinweis darauf, dass "Secure Boot" abgeschaltet werden kann, nein, dass es abgeschaltet werden können muss? Hier mal ein (wahrscheinlich leichtfertig übersehenes Zitat) aus Microsofts "Windows Hardware Certification Requirements":
Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv.
Solche Bedingungen lassen sich ja leicht verändern. Und: Was erlaubt man sich, ARM-Systeme hiervon auszunehmen? Ich bin dafür, auch "nur" wegen der ARM-Systeme einen "PR-Krieg" anzufangen. Diese "Nichtabschaltendürfen" darf erst gar nicht einreißen.
Eine tiefergehende Analyse ist da aber ohnehin vonnöten. Der rechtliche Rahmen ist ja recht kompliziert, das geht vom Kartellrecht über Verbraucherschutzgesetze bis hin zur Nichtberücksichtigung national geltender Gesetze in sog. EULAs.
Da schalte ich SecureBoot lieber aus. Mir erschließt sich der Sinn dieser Technik nicht. Wenn der User einen Bootloader programmiert oder einen driten einsetzen will, warum muss DIESER dann signiert sein?
weil das Bios auf dem Mainboard den Schlüssel abfragt und wenn keine da ist, bootet die Karre nicht. Deshalb muss der signiert sein.
es gibt keinen sicherheitsrelevanten Sinn, außer den, dass Microsoft $99 fuer den Signierungsservice will. Das sind extra "nur" $99, damit es nicht nach Wucher aussieht. Und Microsoft will damit der Welt demonstrieren, dass sie in Sachen Sicherheit ganz vorne mitmischen.
Bei Red Hat scheinen die Tage des "Truth Happens" auch vorbei zu sein... man katzbuckelt stattdessen... schleimt und kriecht... anstatt als größter Linuxdistributor mal seine Macht in die Waagschale zu werfen.
Wie immer in letzter Zeit: heisse Luft und nix weiter. Dann wird irgendein zusatz-Bootloader gefrickelt, damit man weiterkommt, anstatt diesem Treiben da die Stirn zu bieten... aber man engagiert sich ja so herausragend...
Ergo: Neuer Rechner? ach nö, der alte macht es noch ein paar Jahre. Der hat kein "secureboot", ist also voller Sicherheitslücken.... und wird trotzdem weiter sicher laufen.
Ich sehe schon Meldungen aufpoppen wie... " Sie dürfen genannte Hardware nur mit folgenden Betriebsystem benutzen. Bitte starten sie von Hersteller X das System um weiterarbeiten zu können!"
Signieren hin oder her ..... MS hat es damit eigentlich wieder geschafft, ihr Quasi-Monopol absolut auszunutzen. Sie haben die Kontrolle,das ist meiner Meinung nach das schlimmste daran!
OT: Auch im Media-Bereich bahnt sich da wieder was an. WebM h264. Derzeit kann nur der IE h264, oder aber man nimmt Flash, aber der steht für Linux ja schon auf der Abschussliste.
Ich musste schon so oft Windows neu installieren, weil irgendein Defekt den Start ohne Meldung oder sonstiges verhindert hat. Wenn ich an so einem Punkt dann nichtmal ein X-beliebiges Linux starten darf, werde ich wohl nie wieder ein Windows einsetzen und sei es nur zum Zocken.
Dann achte bitte bei Deinem nächsten Rechnerkauf darauf, gehe in ein Geschäft und lasse notfalls den Verkäufer mit Hinweis auf Secure Boot und Windows 8 komplett auflaufen.
Secure Boot ist letztendlich keine Frage von freier oder unfreier Software, es geht alleine um die Frage, ob einem der eigene Rechner noch selbst gehört oder nicht. Also betrifft dieses Problem alle Nutzer.
Anstatt vor MS Kotau zu machen und irgend welcher Frickelei, sollte Red Hat viel mehr seine Macht benutzen und bei der EU wegen Marktbehinderung - und genau als solche stellt sich mir das ganz dar - Beschwerde einreichen.
Man könnte fast den Eindruck gewinnen, das da hinter Verschlossenen Türen ein nicht ablehnbares Angebot von MS an Red Hat existiert. Vielleicht hat es MS ja geschaft, Red Hat ähnlich zu ködern, wie seinerzeit Novel.
die signierte Software nicht einem adequaten Testmanagement unterzogen worden ist. Das heißt, dass *bewiesen* werden kann, dass die signierte Software fehlerfrei und alle nötigen Funktionen enthält. Nur dann sind keine baldigen Updates erforderlich, die den ganzen Siginierungsprozess letztlich wieder ad absurdum führen.
Es geht doch nicht darum zu beweisen, dass die Software fehlerfrei ist, sondern dass es sich um die vom Hersteller unveränderte Fassung handelt. Dadurch kann bewiesen werden, dass nachträglich kein Schadcode eingeschleust wurde. Wenn du dem ursprünglichen Hersteller aber sowieso nicht vertraust, solltest du seine Software gar nicht verwenden.
In dem Fall ist es aber falsch, von Sicherheit zu sprechen.
Natürlich ist das Sicherheit wenn Änderungen am Bootloader nicht mehr möglich sind, dank Signatur.
Nicht wegen Signatur alleine. Wegen Signatur und fehlerfreien Bootloader.
"Es geht doch nicht darum zu beweisen, dass die Software fehlerfrei ist, sondern dass es sich um die vom Hersteller unveränderte Fassung handelt."
Und genau das kann nicht garantiert werden wenn die Software nicht fehlerfrei ist, denn über solche Fehler kann man eventuell Software in den Kernel einschleusen. Sprich es stimmt schon, die Signierung macht erst dann sinn, wenn fest steht, dass die signierte Software fehlerfrei ist. Siehe alle Jailbreaks, die entsprechende Signierungen nutzlos machen.
> Grundidee bei UEFI Secure Boot, dass nur vertrauenswürdiger, also signierter Code auf die Hardware zugreifen darf
Das macht doch dann unter Linux keinen Sinn. Hier geht es doch lediglich um einen signierten Mini-Bootloader. D.h. die Bootkette geht Mini-BL -> Grub 2 -> Kernel. Nur ersteres ist signiert. Ich verstehe den Sinn des ganzen nicht. Nur bei Windows kann die Integrität der gesamten Bootkette duch eine Signatur gewährleistet werden, oder?
Vermutung: Man will erstmal, dass Linux überhaupt bootet.
Desweiteren: Einmalig den Mini-Bootloader für 99$ signieren und den anderen/großen Bootloader dann kostengünstig selbst signieren.
Alle drei sind signiert. Der Mini-Bootloader wird von Microsoft für 99 Dollar signiert. Dieser überprüft dann Grub 2, der von Fedora signiert wurde. Grub 2 lädt dann einen von Fedora signierten Kernel.
Natürlich gibt es da diverse Probleme. Grub 2 steht unter der GPLv3, daher müsste Fedora eigentlich auch den Key herausgeben, das geht aber nicht da jeder dann Software mit dem Key signieren könnte. Möglicherweise müsste Grub 2 neu geschrieben werden.
Wird die Kette auch nur an einer Stelle geknackt wäre es möglich damit Windows Systeme anzugreifen und die ganze Distribution wird auf die schwarze Liste gesetzt.
Warum neu schreiben? Alternativen sind syslinux (GPL2) und lilo (BSD-Lizenz) wird auch wieder weiter entwickelt.
Ist Fedora dann überhaupt noch als freie Software anzusehen, wenn Fedora es akzeptiert, das es eine ganz bestimmte unfreie BIOS-Firmware auf solchen Systemen zum Starten zwingend benötigt?
Die Antwort ist ein klares Nein.
Und der Mini-Bootloader, welcher Lizenz unterliegt dieser?
Ist das etwa ein unveränderliches Stückchen Software, unfrei, für 99 Euro von Microsofts Gnaden?
Außerdem sind auch heute praktisch alle BIOS unfrei und laden einfach so GRUB und die anderen Bootloader.
Im übrigen kannst du soviele BIOS-Versionen signieren, wie dein Portemonnaie verkraftet.Egal, solange sie nicht GPL3 ist oder halt der Key offengelegt wird. Der Bootloader-Quellcode kann jede Lizenz haben, wie man will, das Signieren des Binary kostet halt jeweils 99$,
"Im übrigen kannst du soviele BIOS-Versionen signieren, wie dein Portemonnaie verkraftet."
Damit sind wir beim springenden Punkt. Ich habe das Mainboard gekauft, es gehört mir, darauf hat zu starten, was ich möchte. Eine notwendige Extragebühr von immer wieder 99 Euro ist illegal und IMO würde das sehr stark Betrugsmaschen von Kartellen ähneln. Also will ich entsprechende Schlüssel für mein gekauftes Mainboard schon mit dem Mainboardkauf, nicht für Deines, nur für meines.
Ein Mainboard, auf dem ohne Extragebühr nicht das startet, was gemäß meinem Willen, also dem Willen des Mainboardeigentümers, darauf zu starten hat, enthält defacto einen schweren Gebrauchsmangel und darf gegen Rückerstattung des Kaufpreises zurückgegeben werden. Diese Regelung würde auch für Komplettsysteme gelten.
Das sollten auch Anhänger unfreier Betriebssysteme nachvollziehen können: Angenommen, Windows 8 gefällt einem nicht, dann spielt man am besten das schon gekaufte Windows 7 auf, oder?. Nein, halt, das geht eben nicht, es ist ja nicht signiert.
Ich habe oben schon gesagt, wie ich das ganz persönlich sehe: als Sklaverei, der Endnutzer und Endkunde wird da IMO gesehen als rechtloser, manipulierbarer Vollidiot.
Die 99 Dollar müssen nur einmal gezahlt werden und würden wohl von der Distribution gezahlt werden.
Ich würde mal schwer vermuten das Microsoft für Privatleute keine Bootloader signieren wird, die dann selbst signierten Code ausführen können. Das wäre im Prinzip ja ein Generalschlüssel für alle Computer.
Um einen Kernel selbst zu kompilieren, müsste man entweder Schlüssel selber hinzufügen können oder Secure Boot abschalten.
"Ich würde mal schwer vermuten das Microsoft für Privatleute keine Bootloader signieren wird, die dann selbst signierten Code ausführen können. Das wäre im Prinzip ja ein Generalschlüssel für alle Computer."
Wenn das so sein sollte, dann taugt diese ganze Softwaretechnologie nichts. Ein solcher Bootkontrollmechanismus, der allein durch sog. Generalschlüssel ausgehebelt werden kann, ist eine krasse Fehlkonstruktion.
Dann ist es nur eine Frage der Zeit, bis für Geheimdienste und Behörden gewährte "Schlupflöcher" auch ungebetenen Gästen auf irgendeinem und damit unter Umständen auch auf allen Secure-Boot-Systemen Einlass gewähren. Vielleicht sollte man solchen BIOSen auch noch eine Netzwerkfunktion spendieren (ursprünglich gedacht als weitere, internetseitige Bootkontrolle z.B. durch Microsoft), dann wäre das System schon lange vor dem eigentlichen Hochbooten kompromittierbar.
Die Alternative ist, dieses Boot-System in freier Software zu schreiben, nur dadurch kann es sicher werden. Außerdem vermag dann der Nutzer auf seinem Mainboard dann die Sicherheitsmaßnahmen beim Booten zu treffen, nach denen ihm dürstet: Böse Buben aussperren, Microsoft aussperren, Behörden und Geheimdienste aussperren. Nur dann ist das eigene System wirklich sicher.
Böse Buben auszusperren dürfte den Interessen von FBI, CIA, NSA und anderen Verbrecherkartellen aber nicht gefallen.
Schön wie alle diese "Kartelle" US Behörden sind.
Hallo,
auch wenn mir die Methode mit Signaturen, die bei Microsoft gekauft werden sollen, überhaupt nicht gefällt, sollte man ein wenig die Kirche im Dorf lassen. Wer so etwas als Sklaverei oder ähnliches bezeichnet, begreift wohl nicht so recht, was richtige Sklaverei, die mit Ausbeutung der betroffenen Menschen einhergeht, überhaupt ist.
Von Ausbeutung kann man beim Coltan-Abbau im Kongo sprechen, und ja, ich habe auch ein Notebook und ein Smartphone, wo dieses Zeug sicherlich mit verarbeitet wurde.
Die Leute, die hier große Worte wie Freiheit, Sklaverei und ähnliches in den Mund nehmen, tun ja gerade so, als fiele mit solchen Entscheidungen um den signierten Schlüssel das Heil einer ganzen Gesellschaft in den Orkus. Genauer betrachtet ist es wohl eher die Sorge, seinen eigenen Technikfetischismus nicht mehr frei ausleben zu können, ein Fetischismus, der zwar im Hinblick auf die Freiheit des Softwarecodes sehr besorgt macht bei Einschränkungen, es aber billigend in Kauf nimmt, dass bei diesem Hobby andere Sauereien passieren.
Um klar zu stellen: Ich finde die Signierung wie sie zur Zeit geplant ist, Käse und finde auch eine deutliche Kritik daran angebracht. Was mich aber sehr stört, ist die Unverhältnismäßigkeit. Hier geht es um ein blödes Werkzeug, nicht mehr und nicht weniger und wer das in Verbindung mit Sklaverei bringt, macht sich meines Erachtens lächerlich.
Ich verstehe zwar, was Du meinst, Du hast aber die immer stärker werdende Durchdringung aller gesellschaftlichen Lebensbereiche durch Computer, Betriebssysteme, Telekommunikation und Internet anscheinend etwas ausgeblendet. Denke bitte noch einmal z.B. an Kafkas Prozeß und stelle Dir die dort dargestellten unangreifbaren Behörden als moderne Behörden und Großkonzerne vor, die sämtliche politische Macht in Händen halten, weil niemand mehr an den dann institutionalisierten, rein computer- und internetgestützten Kommunikationsprozessen noch vorbeikommt, wobei die zugrundeliegende Infrastruktur von wenigen Großkonzernen kontrolliert und (pseudo-)demokratischen Regierungen zur Verfügung gestellt wird.
Mit Deiner eher "antiken" Beschreibung von Sklaverei liegst Du demzufolge schon heute falsch.
Sklaverei meinte ich eher als eine Form dauerhafter Nötigung, die von übernationalen, nicht gewählten "Regierungen" (z.B. EU-Kommission), Großkonzernen und Korporationen angezettelt und übernational dann im lokalen Rahmen durchgesetzt wird, obwohl die nationalen Gesetze anders lauten. Die meisten Menschen wehren sich dagegen nicht, sie halten es für aussichtslos, z.B. als Deutsche in den USA gegen dort basierte, aber in ihrem eigenen nationalen Rahmen widerrechtlich agierende Konzerne vorzugehen, dieses Verhalten ist selbst dann zu beobachten, wenn die betreffende "deutsche" Firma ihren angeblichen "Dienstsitz" in Luxemburg hat. Das direkte Resultat ist massiver Freiheitsverlust und der Verlust demokratischer Rechte durch die Hintertür.
Genauso sehe ich ganz persönlich diese Geschichte mit Secure Boot und den dazu von Fremden zu kaufenden "Zugangsschlüsseln": als moderne Form der Sklaverei, als einen Versuch dauerhafter Nötigung, als Versuch, mich meiner gesetzlich verbrieften Eigentumsrechte und der Freiheit meiner Willensbetätigung zu berauben. Du wirst sehen, dass u.a. Microsoft versuchen wird, sich im Rahmen der Windows8-Einführung über seine "EULA" entsprechend abzusichern.
Ein anderes Beispiel: Es soll z.B. übernational agierende Firmenkonstrukte geben, die die Auszahlung eines legalen Kontoguthabens oder auch nur den eigenen Zugriff auf das eigene Konto davon abhängig machen, dass man ihnen eine Kopie der eigenen Strom- oder Telefonrechnung auf die andere Seite der Weltkugel schickt. Wie nennt man so etwas? Richtig, Sklaverei im von mir beschriebenen Sinne. Kafkas Prozeß lässt grüßen.
Nimm bitte das, was ich geschrieben habe, nicht persönlich. Ich kenne Dich ja überhaupt nicht. Und außerdem bist Du mit Deiner Meinung wohl in guter Gesellschaft, selbst Red Hat und Fedora haben die Tragweite der Secure-Boot-Nötigung bisher nur als technisches, nicht aber als gesellschaftliches Problem verstanden. Die Frage, wer in Zukunft die Kontrolle über die computergestützte und damit technische Infrastruktur ausüben wird, entscheidet wesentlich mit darüber, ob unsere Demokratie(n) als solche überleben werden.
Es soll auch national agierende Banken geben, die die Auszahlung eines legalen Kontoguthabens oder auch nur den eigenen Zugriff auf das eigene Konto davon abhängig machen, dass man ihnen das Original eines Dokuments mit dem Namen "Personalausweis" vorzeigt. So gesehen hat die deutsche Ausweispflicht sogar Vorteile.
In den USA gibt es das nicht und somit bleibt eine Strom- oder Telefonrechnung praktisch die einzige Möglichkeit, sich irgendwie auszuweisen. Guck dir nur mal an, wie chaotisch dort die Anmeldung zu einer Wahl abläuft.
Bei uns gibt es da kein Problem, da sämtliche Wahlberechtigten in den Meldebehören erfasst sind. Wo bleibt die Kritik, dass man in Deutschland seinen Wohnsitz melden muss und der Staat Lichtbilder und Fingerabdrücke zentral speichert?
Zitalt: "Damit sind wir beim springenden Punkt. Ich habe das Mainboard gekauft, es gehört mir, darauf hat zu starten, was ich möchte." - Zitat Ende
Falsch! Du kennst die Einschränkungen doch vorher.
Oder ist's auch illegal, wenn dein gekauftes Auto, welches dir gehört, wider deinem Willen nicht 400km/h auf die Straße bringt?
Du liegst völlig daneben.
Vergleichbar wäre das nur, wenn ich mir vor jeder Fahrt mit meinem Auto eine Handy-SMS von Microsoft mit einem Autorisierungscode schicken lassen müsste, damit ich mein Auto aufschließen und benutzen darf. Man muss ja schließlich sicherstellen, dass es nicht von irgendwelchen Gangstern geklaut wird.
Ha, ha, ha.
Irgendwie hat man aber nicht wirklich weit genug gedacht oder? Ein Dieb kommt vermutlich nicht auf die Idee, die Festplatte einfach heraus zu nehmen und in ein externes Gehäuse zu stecken. Dann werden die Daten einfach von einen anderen Rechner aus ausgelesen. Denke mal nicht das man es dann noch verhindern kann oder?
Darum geht es nicht. Secure Boot soll das Einschleusen von Schadcode in den Bootvorgang verhindern. Die Signierung belegt im Prinzip nur das es sich bei dem ausgeführten Code um die unmodifizierte Orginalsoftware des Herstellers handelt.
Im Fall eines Diebstahl des Computers hilft nur eine Verschlüsselung der Festplatte.
"Die Signierung belegt im Prinzip nur das es sich bei dem ausgeführten Code um die unmodifizierte Orginalsoftware des Herstellers handelt."
Das ist wohl der größte Schwachpunkt im Secure Boot-Konzept.
Flame lässt grüßen:
http://www.computerwoche.de/security/2514650/
http://www.heise.de/security/meldung/Windows-Update-kompromittiert-1605393.html
In Zeiten, in denen selbst "gute" Staaten Malware benutzen, um ihre vorgebliche Feinde zu bekämpfen, ist dies ein sehr beunruhigendes Zeichen. Das führt zumindest gedanklich zu einem ganz bestimmten Szenario, im Rahmen dessen entsprechende Unternehmen und staatliche Stellen zusammenarbeiten (müssen), was IMO solche Signierungen unter Umständen wertlos werden lässt. Es muss nur ein Glied in der langen "Vertrauenskette" reißen. "Signierte" Malware heißt das Zauberwort.
Wie funktioniert die Signatur beim Bootloader. Bzw. wie wird geschaut, ob ein Code unverändert ist?
Stichwort: Hashing
Auf den Code schaut keiner, nur auf das Binary und da dann halt Hashing, Prüsummen und was weiss ich.
Ein Binary besteht auch aus Code. Aus Binärcode. Code heißt nicht automatisch Sourcecode.
https://de.wikipedia.org/wiki/Digitale_Signatur
Stichwort Code-Signierung
Aha. Man könnte es einfach als das bezeichnen, was es ist: Schutzgeld. Warum ich das begrüßen soll, ist mir völlig schleierhaft. Schade, dass es einige Linuxer nötig haben, vor Redmond einen Kotau zu machen.
Derzeit muss Secure-Boot eh abschaltbar sein. Es betrifft mich somit nicht. Für die Zukunft wird sich schon etwas finden.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 01. Jun 2012 um 15:06.Secure Boot abschalten bedeutet im Prinzip, dass man eine Sicherheitslücke ins System einbaut.
Naja, ich würde eher sagen, daß man auf einen Sicherungsmechanismus verzichtet. Wenn ich auf dem Rechner nur Linux Systeme betreibe dann juckt mich ein ausgeschalteter Secure Boot herzlich wenig (dito beim Server).
Ich finde es prinzipiell gut, Software/Hardware sicherer zu machen, nur werde ich das Gefühl nicht los, daß der ganze Bohei um UEFI und Signaturen mit einem engagierten Hack null und nichtig wird (libdvdcss), wenn ein schwedischer oder dänischer oder finnischer oder $land$smann sich die Freiheit "erarbeitet" die Hardware nach seinen Wünschen zu verwenden.
Natürlich steht es jedem frei Sicherheitslücken in seinem System offen zu lassen. Linux Systeme sind im Prinzip von den gleichen Problemen betroffen. Bald werden Systeme ohne Secure Boot als unsicher gelten.
Der Unterschied zu libdvdcss ist, dass der Benutzer normalerweise ein Interesse hat sein System sicher zu halten. Secure Boot wird nicht verhindern können das ein Benutzter das System umgeht und dann eigenen Code ausführt.
Natürlich kann es auch passieren das jemand die Kette knackt. Es reicht schon wenn irgendein Schlüssel bekannt wird und jeder seinen Code mit dem Schlüssel signieren kann.
SecureBoot merkt das nur beim Booten, während de Laufzeit kann dein System genauso gehackt werden...mit dem unterschied das es dann nicht mehr startet.....SUUUPER
vieleicht Secureboot ausschalten und mal tripwire anschauen, vielleicht verstehst du dann das SB nicht so ganzganz durchdacht ist.
PS: Schau mal ganz genau was eine Sicherheitslücke ist...du meinst ein gewisses sicherheitsrisiko nicht -lücke
Das stimmt so nicht. Man hat eher einen neuen, zusätzlichen Kontrollmechansimus im eigenen Rechner, der nicht unter der eigenen Kontrolle, sondern unter der von Fremden (in diesem Fall Microsoft) steht.
Mein Rechner gehört aber mir, ich erlaube darauf keine Herrschaft von Fremden.
Wenn zusätzliche Sicherheit nur durch Sklaverei zu erkaufen ist, dann will ich dieses kleine Bisschen mehr an Sicherheit nicht.
Nicht Secure Boot ist das Problem, sondern die Möglichkeit Schlüssel selbst zu verwalten. Wenn man z.B. der Schlüssel einer Linux Distribution selbst hinzufügen kann ist es überhaupt kein Problem.
Ich vermute mal es wird auch Hardware angeboten werden die es erlaubt Schlüssel nachzuladen. Wahrscheinlich wird die aber ein wenig mehr kosten.
Ach dir gefällt so etwas?
Das ist in etwa so, als würde man jedem Menschen Handschellen anlegen.
Sehe die Vorteile, dank Handschellen könnte dich dann keiner mehr vergewaltigen.
Daraus folgt:
Handschallen entfernen bedeutet im Prinzip, dass man eine Möglichkeit für Vergewaltigungen schafft.
Ist eher wie das Abschliessen der eigenen Wohnung. Man muss es nicht machen, aber wenn dann einer die Wohnung ausräumt kann man sich nicht beschweren.
Nur ist es der Schlosser der deine Wohnung zuschließt und dir dann sagt das du um rein oder raus zu kommen beim Sicherheitsdienst anrufen musst denn dort ist der Schlüssel zu deiner Sicherheit hinterlegt. Mit etwas Glück ist es nicht nur ein Sicherheitsdienst sondern Zwei aber atm ist nur von einem Weitverbreitetem die Rede. Nicht geredet wird über die Schlüssel die sich bei Leuten befinden Denen Einige vielleicht nicht vertrauen (Konkurenz) denen aber stehts eine Kopie zuliefern ist ganz im Sinne der einen Flagge oder einer anderen oder vielleicht der welche die meisten Schließzylinder Hersteller betrachten.
Stimmt schon, das Problem bei Secure Boot ist ja nicht das System an sich sondern das man die Schlüssel nicht selbst verwalten kann. Hier müssten die Mainboard-Hersteller eine Möglichkeit anbieten neue Schlüssel hinzuzufügen.
Die Schlüssel-load-software läufft aber nur auf windows >vista aka biosupdate
Ich bin für völligen Kaufboykott von Mainboards, die die Abschaltung dieses Unfreiheitsfeatures nicht erlauben.
Alles andere ist Murks, auch das, was Garrett da anbietet, das ist einfach eine bedingungslose Kapitulation gegenüber Microsoft. Heute FAT-Lizenzzahlungen, morgen solche für den Bootloader.
Gehts noch?
Ich habe mich völlig umsonst aufgeregt, Secure Boot wird abschaltbar sein:
http://msdn.microsoft.com/en-us/library/windows/hardware/jj128256
Dieses Secure Boot-Herumgezappel eines Fedoraentwicklers hat demzufolge IMO andere Gründe, nämlich RHEL die UEFI Boot-Nutzung zu ermöglichen, um vielleicht sogar einen Wettbewerbsvorteil daraus zu ziehen.
Secure Boot ist nur in Desktops abschaltbar. ARM Tablets mit Windows dürfen Secure Boot nicht abschalten.
Viele Firmen werden bald aus Sicherheitsgründen Secure Boot einsetzen müssen. Red Hat will es dann natürlich auch anbieten können. Die einzige vernünftige Lösungen wäre, dass der Benutzer neue Schlüssel hinzufügen kann.
Es wäre auch sinnvoll wenn der Nutzer mitgelieferte Schüssel entfernen kann und die Menge der mitgelieferten Schlüssel minimiert würde (wird ein System oder Mainboard ohne Windows verkauft so sollte sich auf diesem kein Microsoft Schlüssel befinden)
Soweit ich das verstanden habe ist das nicht auf Tablets beschränkt, sondern aus sämtliche System mit ARM basierten CPUs. Also auch ARM Desktops, Laptops oder Server sobald diese verfügbar werden
Ich werde beim Kauf des nächsten Rechners darauf achten, dass dieser von coreboot unterstützt wird. UEFI scheint jedenfalls alles andere als der Weisheit letzter Schluss zu sein.
Na dann viel Spass auf dem Flohmarkt!
Kauf zwei Motherboard und schenke eines den Coreboot entwicklern, warte zwei Wochen und du hast dein Bios, und hast ein grossen Beitrag für freie Software gemacht. HP G6 Server bekommst aber erst in vier jahren auf dem Flohmarkt.
Heute hat die Free Software Foundation Europe (FSFE) eine Analyse und Forderungen zu "Secure Boot" veröffentlicht (Englisch).
Toll. Wo ist der Hinweis darauf, dass "Secure Boot" abgeschaltet werden kann, nein, dass es abgeschaltet werden können muss? Hier mal ein (wahrscheinlich leichtfertig übersehenes Zitat) aus Microsofts "Windows Hardware Certification Requirements":
Typischer Fall von FUD.
Solche Bedingungen lassen sich ja leicht verändern.
Und: Was erlaubt man sich, ARM-Systeme hiervon auszunehmen?
Ich bin dafür, auch "nur" wegen der ARM-Systeme einen "PR-Krieg" anzufangen. Diese "Nichtabschaltendürfen" darf erst gar nicht einreißen.
Eine tiefergehende Analyse ist da aber ohnehin vonnöten. Der rechtliche Rahmen ist ja recht kompliziert, das geht vom Kartellrecht über Verbraucherschutzgesetze bis hin zur Nichtberücksichtigung national geltender Gesetze in sog. EULAs.
Grub ohne Kommandozeile?
Das ist so sinnvoll wie ein Fisch mit Fahrrad, eine Plastikbratpfanne mit Henkel innen.
Da schalte ich SecureBoot lieber aus. Mir erschließt sich der Sinn dieser Technik nicht. Wenn der User einen Bootloader programmiert oder einen driten einsetzen will, warum muss DIESER dann signiert sein?
weil das Bios auf dem Mainboard den Schlüssel abfragt und wenn keine da ist, bootet die Karre nicht. Deshalb muss der signiert sein.
es gibt keinen sicherheitsrelevanten Sinn, außer den, dass Microsoft $99 fuer den Signierungsservice will. Das sind extra "nur" $99, damit es nicht nach Wucher aussieht.
Und Microsoft will damit der Welt demonstrieren, dass sie in Sachen Sicherheit ganz vorne mitmischen.
Bei Red Hat scheinen die Tage des "Truth Happens" auch vorbei zu sein... man katzbuckelt stattdessen... schleimt und kriecht... anstatt als größter Linuxdistributor mal seine Macht in die Waagschale zu werfen.
Wie immer in letzter Zeit: heisse Luft und nix weiter. Dann wird irgendein zusatz-Bootloader gefrickelt, damit man weiterkommt, anstatt diesem Treiben da die Stirn zu bieten... aber man engagiert sich ja so herausragend...
Ergo: Neuer Rechner? ach nö, der alte macht es noch ein paar Jahre. Der hat kein "secureboot", ist also voller Sicherheitslücken.... und wird trotzdem weiter sicher laufen.
Ich sehe schon Meldungen aufpoppen wie...
" Sie dürfen genannte Hardware nur mit folgenden Betriebsystem benutzen. Bitte starten sie von Hersteller X das System um weiterarbeiten zu können!"
Gruss Udo
Signieren hin oder her ..... MS hat es damit eigentlich wieder geschafft, ihr Quasi-Monopol absolut auszunutzen.
Sie haben die Kontrolle,das ist meiner Meinung nach das schlimmste daran!
OT:
Auch im Media-Bereich bahnt sich da wieder was an. WebM h264.
Derzeit kann nur der IE h264, oder aber man nimmt Flash, aber der steht für Linux ja schon auf der Abschussliste.
Ich musste schon so oft Windows neu installieren, weil irgendein Defekt den Start ohne Meldung oder sonstiges verhindert hat. Wenn ich an so einem Punkt dann nichtmal ein X-beliebiges Linux starten darf, werde ich wohl nie wieder ein Windows einsetzen und sei es nur zum Zocken.
Dann achte bitte bei Deinem nächsten Rechnerkauf darauf, gehe in ein Geschäft und lasse notfalls den Verkäufer mit Hinweis auf Secure Boot und Windows 8 komplett auflaufen.
Secure Boot ist letztendlich keine Frage von freier oder unfreier Software, es geht alleine um die Frage, ob einem der eigene Rechner noch selbst gehört oder nicht.
Also betrifft dieses Problem alle Nutzer.
Anstatt vor MS Kotau zu machen und irgend welcher Frickelei, sollte Red Hat viel mehr seine Macht benutzen und bei der EU wegen Marktbehinderung - und genau als solche stellt sich mir das ganz dar - Beschwerde einreichen.
Man könnte fast den Eindruck gewinnen, das da hinter Verschlossenen Türen ein nicht ablehnbares Angebot von MS an Red Hat existiert. Vielleicht hat es MS ja geschaft, Red Hat ähnlich zu ködern, wie seinerzeit Novel.
Dies traute Einigkeit macht mich gehörig stutzig.