War es nicht so, dass sich Bill Gates in einer internen eMail irgendwann darüber aufregte, dass ACPI von alternativen Betriebssystemen wie Linux irgendwann besser unterstützt wurde als von Windows selbst, was er durch eine Neugestaltung von ACPI zu verhindern gedenkte?
Ich weiß, dass ich hier ja Äpfel mit Birnen vergleiche und ich mich nicht sonderlich mit Secure Boot beschäftigt habe, da ich solche Hardware nicht kaufen werde ... aber ich würde mir so dermaßen ins Fäustchen lachen, wenn der Tag kommt an dem Linux mit UEFI+Secure Boot besser arbeitet als Windows und Microsofts unter der Hand gehaltene Taktik der Marktverdrängung so richtig nach hinten losgeht.
Du wirst solche Hardware nicht kaufen? Was machst Du, wenn eines Tages jedes Mainboard ein EFI-Bios hat? Dies wird nicht mehr lange dauern. Schon jetzt haben meine favorisierten Mobos alle ein EFI-Bios. Ich bin sehr gespannt, wie Debian mit der Sache umgehen wird. Für die muss das ja der glatte Alptraum sein, von Microsoft einen Schlüssel zu lizensieren....
EFI ist nicht das Problem, auch nicht UEFI, sondern das Feature genannt "SecureBoot". Aber solange es möglich dieses Feature in den EFI-Einstellungen abzuschalten, kann man immer ein alternatives Betriebssystem installieren.
Von Alles umsonst am Do, 11. Oktober 2012 um 10:50 #
Wenn es mit dem Mini-Bootloader oder diesem neuen Ansatz so leicht auszuhebeln ist - Was soll das Ganze? Wie rechtfertigt man überhaupt noch die Einführung wenn es anscheinend Null bringt?
Dieser Loader versucht einfach, eine Datei loader.efi zu laden. Ist diese gültig signiert, kann sie direkt ausgeführt werden. Andernfalls verlangt der Lader vom Benutzer eine Bestätigung und startet dann loader.efi ohne Sicherheitsverifikation.
Nichts. Was mich jedoch stört, ist das Verständnis in der Linux-Welt für Redmonds Vorhaben. Vor 10 Jahren hätte ein solcher Plan einen schönen Kacksturm ausgelöst. Heute mischen die großen Linuxdistros kräftig mit und dreschen auf die anderen ein.
Was würde denn ein Kacksturm (hehe) der Distributoren bringen, wenn die beiden Großen (Wintel) das so in die Wege leiten? EFI hält Einzug in die Hardware und ein Protest seitens der Linux-Welt würde nichts bringen. Da wird mal wieder klar, wer hier das Monopol hat. Es wird also nichts anderes übrig bleiben, sich dieser neuen Situation anzupassen. Und das läuft ja ganz gut an. Dennoch bin ich nicht davon begeistert. Auf Linux-only Systemen werde ich SB auf jeden Fall deaktivieren, dann habe ich kein Stress damit. Soweit ich weiss, benötigt selbst Windows 8 noch kein SB. Momentan also auch bei Dual-Boot noch kein Problem. Wer weiss, wie sich alles entwickeln wird.
Die Linux Entwickler Community ist heute ja auch eine andere als früher. Das sieht man am besten an Gnome 2 (frühere Entwickler) und Gnome 3 (heutige Entwickler).
Von Berliner Optimist am Do, 11. Oktober 2012 um 13:02 #
> Was genau ist an diesem System jetzt "secure"?
Nichts.
Da wird andernorts ein Riesenheiopei um schnelleres Booten gemacht und mit UEFI kommt eine Stufe hinzu, die ja offenbar nur eine leicht zu umschiffende Klippe für Malware darstellt Vermutlich scharren die Schwarzkittel der MPAA bereits mit den Hufen, um MS zu verklagen, weil DRM bisher recht leicht umgangen werden kann (siehe Kommentar von Nexus).
Von Nexus NGSCB Paladium TPM DRM am Do, 11. Oktober 2012 um 11:49 #
Warum soll es nichts bringen? Software, die ein durchgängig zertifiziertes System voraussetzt wird sich nicht auf einem mit ausgehebelter Kette (Stichwort: Chain of trust) starten lassen. Somit kann sichergestellt werden, dass z.B. ein Video-Player nicht in einer manipulierten Umgebung startet und das Video gedumpt werden kann - DRM umgangen werden kann. Die Sicherheit des Systems besteht in ihrem definiertem Zustand. Microsoft verfolgt dieses Konzept schon lange. Secureboot ist alter Wein in neuen Schläuchen.
Also schlicht darum, den Nutzern die Freiheit zu nehmen mit ihrem System zu machen, was sie wollen. Diese Freiheit erlangen sie erst dann wieder, wenn sie bspw. auf ein GNU/Linux wechseln. Richtig
Der Artikel liest sich, als würden die vorhaben, Secure Boot einfach auszuhebeln (Vertrauenskette unterbrechen). Anschließend legen sie die Quellen offen und jeder beliebige Malware-Autor kann dieses Vorgehen nachbilden. Führt das nicht das ganze Secure-Boot-Konzept ad absurdum?
Man könnte auch einfach sagen, sie wollen secure boot "nicht benutzen"
Die secureboot unterstützung ist ein Softwarefeature vom OS (klar muss die HW es können) Wenn man ein OS ohne secureboot installiert (Linux) ist man selber schuld das man kein secureboot hat
(Wobei das natürlich föllig ok ist, da niemand securenoot nutzen will)
Ich glaub, Du bist ein bisschen schlecht informiert. Es ist ja der Sinn von Secure Boot, dass auf diesem Rechner kein Betriebssystem starten kann, das keine dem EFI bekannte Signatur hat.
Die Idee dahinter ist, dass Malware, die versucht, sich in den Bootprozess eines signierten Betriebssystems einzuklinken, unweigerlich diese Signatur verändert. Secure Boot prüft vor dem Starten, ob es die Signatur des Systems kennt, und wenn nicht, bricht es den Start ab. Wenn Du jetzt ein Betriebssystem ohne Secure Boot installierst, ist es natürlich nicht signiert und bleibt jedes Mal an dieser Prüfung hängen. Folge: Es kann nicht starten.
Um da rauszukommen, gibt's nur drei Möglichkeiten: -> Secure Boot abschalten: Das ist erstens nicht auf jedem Gerät möglich und zweitens dem gewöhnlichen Benutzer kaum zuzumuten, weil der erst einmal davon gehört haben muss, um es abschalten zu können; andernfalls wundert er sich, warum er seine frisch aus der Computerzeitschrift gepulte Linux-CD nicht starten bzw. den neuen Computer nicht mit Linux aufsetzen kann. Das verkompliziert die Linux-Installation und untergräbt die Fortschritte, die Linux in den letzten Jahren in Sachen Benutzerfreundlichkeit gemacht hat.
Fazit: Können wir knicken.
-> Eigene Signatur hinterlegen: Ist noch wesentlich komplizierter, weil man nicht einfach nur klicken kann, sondern die Signatur in das EFI laden muss. Sonst wie oben
Fazit: Können wir auch knicken.
-> Secure Boot benutzen: Ist zwar ein Riesenaufwand für Distributionen (Signatur besorgen, Workflow ändern, dass sich aus Sicht von Secure Boot nichts ändert), aber auf Benutzerseite ergibt sich kein Unterschied; es ist egal, ob sich SB abschalten lässt oder nicht. Die Leute können weiterhin ihre aus Computerzeitschriften gepulten CDs ausprobieren und manchen gefällt es vielleicht so gut, dass sie auf Linux umsteigen wollen.
Fazit: Nicht schön, aber erträglich. Hat außerdem den Vorteil, dass man den Sicherheitsvorteil von Secure Boot hat.
War es nicht so, dass sich Bill Gates in einer internen eMail irgendwann darüber aufregte, dass ACPI von alternativen Betriebssystemen wie Linux irgendwann besser unterstützt wurde als von Windows selbst, was er durch eine Neugestaltung von ACPI zu verhindern gedenkte?
Ich weiß, dass ich hier ja Äpfel mit Birnen vergleiche und ich mich nicht sonderlich mit Secure Boot beschäftigt habe, da ich solche Hardware nicht kaufen werde ... aber ich würde mir so dermaßen ins Fäustchen lachen, wenn der Tag kommt an dem Linux mit UEFI+Secure Boot besser arbeitet als Windows und Microsofts unter der Hand gehaltene Taktik der Marktverdrängung so richtig nach hinten losgeht.
Dem Otto-Normal-Verbraucher ist es schei...egal wie er sein Win8 booten wird. Bios-Bahnhof oder was?
Ich weiss, ist am Thema vorbei aber fiel mir gerade so ein.
Du wirst solche Hardware nicht kaufen?
Was machst Du, wenn eines Tages jedes Mainboard ein EFI-Bios hat? Dies wird nicht mehr lange dauern. Schon jetzt haben meine favorisierten Mobos alle ein EFI-Bios.
Ich bin sehr gespannt, wie Debian mit der Sache umgehen wird. Für die muss das ja der glatte Alptraum sein, von Microsoft einen Schlüssel zu lizensieren....
EFI ist nicht das Problem, auch nicht UEFI, sondern das Feature genannt "SecureBoot". Aber solange es möglich dieses Feature in den EFI-Einstellungen abzuschalten, kann man immer ein alternatives Betriebssystem installieren.
Wenn es mit dem Mini-Bootloader oder diesem neuen Ansatz so leicht auszuhebeln ist - Was soll das Ganze? Wie rechtfertigt man überhaupt noch die Einführung wenn es anscheinend Null bringt?
Ist mir auch aufgefallen:
Was genau ist an diesem System jetzt "secure"?
> Was genau ist an diesem System jetzt "secure"?
Nichts. Was mich jedoch stört, ist das Verständnis in der Linux-Welt für Redmonds Vorhaben. Vor 10 Jahren hätte ein solcher Plan einen schönen Kacksturm ausgelöst. Heute mischen die großen Linuxdistros kräftig mit und dreschen auf die anderen ein.
Was würde denn ein Kacksturm (hehe) der Distributoren bringen, wenn die beiden Großen (Wintel) das so in die Wege leiten? EFI hält Einzug in die Hardware und ein Protest seitens der Linux-Welt würde nichts bringen. Da wird mal wieder klar, wer hier das Monopol hat. Es wird also nichts anderes übrig bleiben, sich dieser neuen Situation anzupassen. Und das läuft ja ganz gut an. Dennoch bin ich nicht davon begeistert. Auf Linux-only Systemen werde ich SB auf jeden Fall deaktivieren, dann habe ich kein Stress damit. Soweit ich weiss, benötigt selbst Windows 8 noch kein SB. Momentan also auch bei Dual-Boot noch kein Problem. Wer weiss, wie sich alles entwickeln wird.
> Was würde denn ein Kacksturm (hehe) der Distributoren bringen
TCPA, TCG, TPM, usw. Hatten wir schon alles. Heutige Situation: "Wir müssen uns damit abfinden!". Das ist doch armselig.
Die Linux Entwickler Community ist heute ja auch eine andere als früher.
Das sieht man am besten an Gnome 2 (frühere Entwickler) und Gnome 3 (heutige Entwickler).
Da wird andernorts ein Riesenheiopei um schnelleres Booten gemacht und mit UEFI kommt eine Stufe hinzu, die ja offenbar nur eine leicht zu umschiffende Klippe für Malware darstellt
Vermutlich scharren die Schwarzkittel der MPAA bereits mit den Hufen, um MS zu verklagen, weil DRM bisher recht leicht umgangen werden kann (siehe Kommentar von Nexus).
Warum soll es nichts bringen? Software, die ein durchgängig zertifiziertes System voraussetzt wird sich nicht auf einem mit ausgehebelter Kette (Stichwort: Chain of trust) starten lassen. Somit kann sichergestellt werden, dass z.B. ein Video-Player nicht in einer manipulierten Umgebung startet und das Video gedumpt werden kann - DRM umgangen werden kann. Die Sicherheit des Systems besteht in ihrem definiertem Zustand. Microsoft verfolgt dieses Konzept schon lange. Secureboot ist alter Wein in neuen Schläuchen.
http://de.wikipedia.org/wiki/Next-Generation_Secure_Computing_Base
http://en.wikipedia.org/wiki/Protected_Media_Path
http://www.neogrid.de/was-ist/DRM
Klingt nach totaler Kontrolle
Also geht es gar nicht darum zu verhindern, dass andere Betriebssysteme gestartet werden können?
Sondern darum, dass nur von MS zertifizierte Software auf einem MS-OS gestartet werden kann?
Also schlicht darum, den Nutzern die Freiheit zu nehmen mit ihrem System zu machen, was sie wollen. Diese Freiheit erlangen sie erst dann wieder, wenn sie bspw. auf ein GNU/Linux wechseln. Richtig
Hört sich doch gut an... man muss die Leute eben manchmal zu ihrem Glück (oder auch zu ihrer Freiheit) zwingen
Wenn ich Freiheit will, nehme ich ein BSD System.
Der Artikel liest sich, als würden die vorhaben, Secure Boot einfach auszuhebeln (Vertrauenskette unterbrechen). Anschließend legen sie die Quellen offen und jeder beliebige Malware-Autor kann dieses Vorgehen nachbilden. Führt das nicht das ganze Secure-Boot-Konzept ad absurdum?
Grueße
Ignatz
Man könnte auch einfach sagen, sie wollen secure boot "nicht benutzen"
Die secureboot unterstützung ist ein Softwarefeature vom OS (klar muss die HW es können)
Wenn man ein OS ohne secureboot installiert (Linux) ist man selber schuld das man kein secureboot hat
(Wobei das natürlich föllig ok ist, da niemand securenoot nutzen will)
Ich glaub, Du bist ein bisschen schlecht informiert. Es ist ja der Sinn von Secure Boot, dass auf diesem Rechner kein Betriebssystem starten kann, das keine dem EFI bekannte Signatur hat.
Die Idee dahinter ist, dass Malware, die versucht, sich in den Bootprozess eines signierten Betriebssystems einzuklinken, unweigerlich diese Signatur verändert. Secure Boot prüft vor dem Starten, ob es die Signatur des Systems kennt, und wenn nicht, bricht es den Start ab. Wenn Du jetzt ein Betriebssystem ohne Secure Boot installierst, ist es natürlich nicht signiert und bleibt jedes Mal an dieser Prüfung hängen. Folge: Es kann nicht starten.
Um da rauszukommen, gibt's nur drei Möglichkeiten:
-> Secure Boot abschalten: Das ist erstens nicht auf jedem Gerät möglich und zweitens dem gewöhnlichen Benutzer kaum zuzumuten, weil der erst einmal davon gehört haben muss, um es abschalten zu können; andernfalls wundert er sich, warum er seine frisch aus der Computerzeitschrift gepulte Linux-CD nicht starten bzw. den neuen Computer nicht mit Linux aufsetzen kann. Das verkompliziert die Linux-Installation und untergräbt die Fortschritte, die Linux in den letzten Jahren in Sachen Benutzerfreundlichkeit gemacht hat.
Fazit: Können wir knicken.
-> Eigene Signatur hinterlegen: Ist noch wesentlich komplizierter, weil man nicht einfach nur klicken kann, sondern die Signatur in das EFI laden muss. Sonst wie oben
Fazit: Können wir auch knicken.
-> Secure Boot benutzen: Ist zwar ein Riesenaufwand für Distributionen (Signatur besorgen, Workflow ändern, dass sich aus Sicht von Secure Boot nichts ändert), aber auf Benutzerseite ergibt sich kein Unterschied; es ist egal, ob sich SB abschalten lässt oder nicht. Die Leute können weiterhin ihre aus Computerzeitschriften gepulten CDs ausprobieren und manchen gefällt es vielleicht so gut, dass sie auf Linux umsteigen wollen.
Fazit: Nicht schön, aber erträglich. Hat außerdem den Vorteil, dass man den Sicherheitsvorteil von Secure Boot hat.
Welcher Weg ist wohl der pragmatischste?
Grueße
Erik