Die Chain of Trust - gar keine, weil es bisher keine gibt!
Klar gibt es die innerhalb eines Windows-Systems. Signierte Treiber etc. Bisher ist sie halt im Bootvorgang unterbrochen, was man mit Secure Boot sicher lösen möchte. Nur hat diese Lücke im Bootvorgang bisher eh kaum eine Malware ausgenutzt, weil es gar nicht notwendig ist. Jedenfalls nicht die, die in den Top-Listen stehen. BluePill etc. werden damit ein Stück weit aufgehalten, möglicherweise. Aber das ist mehr eine Demo als in freier Wildbahn anzutreffen. Im Gegenteil: Malware läuft größtenteils als Userspace-Applikation, die der Nutzer freiwillig ausführt. Oder der Browser oder das Emailprogramm führen sie unfreiwillig aus. Wie auch immer, an dieser Admin-UAC-Problematik löst Secure Boot wenig. Ganz im Gegenteil. Wenn ich für ein wenig mehr Sicherheit im Bootvorgang auf Sicherheit im Allgemeinen verzichten muss, dann finde ich das für mich kontraproduktiv. Mein persönlicher Favorit ist daher: die Möglichkeit eines user-generated Key im EFI!
Genau aus diesem Grund ist das Argument von "sicherer" Arbeitsumgebung durch Secure Boot falsch.
Alle (oder so 99%) Viren und Trojaner, die in der freien Wildbahn sind, nutzen Fehler im Betriebssystem aus um an privilegierte Rechte zu gelangen und dann Schaden anzurichten. Und diese Viren/Trojaner kommen erst durch den Benutzer auf den Rechner, durch ein Download von xxx-warez-Seiten oder durch einen E-Mail-Anhang. Daran wird auch Secure Boot nichts ändern.
Das einzige was Secure Boot verhindert, ist eben das Austauschen des Betriebssystems. Es wird ein "Walled Garden" ala Apple eingerichtet. Microsoft erkennt halt, welchen enormen Vorteil es bringt, wenn Benutzer keine Kontrolle mehr über ihre eigenen Geräte haben. Es werden keine illegal Kopien von Windows mehr installiert, man kann einen "Marketplace" einführen, man kann Windows als eine sichere Plattform für DRM Spiele, Musik und Filme verkaufen.
Eben dass, was vor 10 Jahren (oder so) mit "Trusted Computing" eingeführt werden sollte.
Bisher ist sie halt im Bootvorgang unterbrochen, was man mit Secure Boot sicher lösen möchte.
Nur hat diese Lücke im Bootvorgang bisher eh kaum eine Malware ausgenutzt, weil es gar nicht notwendig ist. Jedenfalls nicht die, die in den Top-Listen stehen.
BluePill etc. werden damit ein Stück weit aufgehalten, möglicherweise. Aber das ist mehr eine Demo als in freier Wildbahn anzutreffen. Im Gegenteil: Malware läuft größtenteils als Userspace-Applikation, die der Nutzer freiwillig ausführt. Oder der Browser oder das Emailprogramm führen sie unfreiwillig aus. Wie auch immer, an dieser Admin-UAC-Problematik löst Secure Boot wenig.
Ganz im Gegenteil. Wenn ich für ein wenig mehr Sicherheit im Bootvorgang auf Sicherheit im Allgemeinen verzichten muss, dann finde ich das für mich kontraproduktiv. Mein persönlicher Favorit ist daher: die Möglichkeit eines user-generated Key im EFI!
Genau aus diesem Grund ist das Argument von "sicherer" Arbeitsumgebung durch Secure Boot falsch.
Alle (oder so 99%) Viren und Trojaner, die in der freien Wildbahn sind, nutzen Fehler im Betriebssystem aus um an privilegierte Rechte zu gelangen und dann Schaden anzurichten. Und diese Viren/Trojaner kommen erst durch den Benutzer auf den Rechner, durch ein Download von xxx-warez-Seiten oder durch einen E-Mail-Anhang. Daran wird auch Secure Boot nichts ändern.
Das einzige was Secure Boot verhindert, ist eben das Austauschen des Betriebssystems. Es wird ein "Walled Garden" ala Apple eingerichtet. Microsoft erkennt halt, welchen enormen Vorteil es bringt, wenn Benutzer keine Kontrolle mehr über ihre eigenen Geräte haben. Es werden keine illegal Kopien von Windows mehr installiert, man kann einen "Marketplace" einführen, man kann Windows als eine sichere Plattform für DRM Spiele, Musik und Filme verkaufen.
Eben dass, was vor 10 Jahren (oder so) mit "Trusted Computing" eingeführt werden sollte.
* http://de.wikipedia.org/wiki/Trusted_Computing