Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Submitter: mrtnptrs

De 'secure boot'-mogelijkheid in Windows 8 maakt het booten van andere besturingssystemen niet onmogelijk. Dat stelt een medewerker van Microsoft, nadat Red Hat eerder deze week zijn zorg uitsprak dat dat wel het geval zou zijn.

Deze week ontstond vrees dat de secure boot-functie in Windows 8 andere besturingssystemen zou dwarszitten. Onder anderen Red Hat-medewerker Matthew Garrett maakte zich zorgen hierover. Microsoft zou het hele bootproces willen afsluiten om het starten van malafide code onmogelijk te maken, waardoor ook concurrerende besturingssystemen niet meer zouden kunnen worden geboot. Bovendien zouden Windows 8-certified-pc's ondersteuning voor secure boot moeten hebben ingeschakeld.

Het is echter aan de makers van hardware om te bepalen hoe ze met de ondersteuning van andere besturingssystemen omgaan, schrijft senior program manager Tony Mangefeste van Microsoft op het Windows 8-weblog. "Secure boot is onderdeel van het uefi-protocol en geen Windows 8-feature", schrijft Mangefeste. Windows 8 blijft het oude bootproces ondersteunen, dus ook als een hardwarefabrikant of een gebruiker secure boot uitschakelt, kan Windows 8 nog steeds starten. Het is onduidelijk of hardwarefabrikanten de mogelijkheid geven om de beveiligde bootmodus, indien aanwezig, uit te zetten. Bij de Windows 8-tablet die Microsoft op zijn Build-ontwikkelaarsconferentie uitdeelde, kan dat in ieder geval wel.

De 'unified extensible firmware interface' is in steeds meer pc's aanwezig als vervanger voor het bios en bevat de mogelijkheid om het bootproces te beveiligen met public-key-cryptography. Windows 8 maakt daar gebruik van. Het besturingssysteem moet tijdens het booten een geldig certificaat overleggen om te kunnen starten, zodat malafide software het bootproces niet kan kapen.

Overigens kunnen makers van andere besturingssystemen er zelf ook voor kiezen om ondersteuning voor secure boot in te bouwen, maar bij Linux-distributies is dat waarschijnlijk geen optie, schrijft Garrett van Red Hat. Dat zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.

Samsung Windows 8-tablet secure boot

Foto: Microsoft

Reacties (100)

Reactiefilter:-1100096+150+211+30
Moderatie-faq Wijzig weergave
Firstly, we'd need a non-GPL bootloader. Grub 2 is released under the GPLv3, which explicitly requires that we provide the signing keys. Grub is under GPLv2 which lacks the explicit requirement for keys, but it could be argued that the requirement for the scripts used to control compilation includes that.
Deze nieuwspost is wat ungenuanceerd. GPL verbied versleuterling niet, dat is, GPLv2. Grub (veelgebruikte bootloader) is GPLv3, dus is versleuteling niet toegestaan. En al zou een bootloader onder GPLv2 gebruikt worden, dan nog: iedereen kan zelf zijn bootloader (of kernel) compilen, dus iedereen moet versleuteling kunnen toepassen.
grub2 is inderdaad GPLv3, maar grub1.x en lager is GPLv2 nog
Ik vind het trouwens heel vreemd -- waarom zou GPLv3 requiren dat je private keys, puur gebruikt om te signen, publiek maakt? Dat is echt volslagen mesjokke. Ik geloof best dat het zo is, maar ik snap niet waarom.
Ik ben bang dat de meeste hier in hun angst of woede de onderliggende strategie van Microsoft volkomen over het hoofd zien.

Na jaren van klachten over security (voornamelijk door Open Source aanhangers) is Microsoft nu hard bezig dit te verbeteren. Code signing (waar secure boot onder valt) is een geaccepteerde techniek om de veiligheid van systemen te vergroten, alleen op de desktop markt is het relatief nieuw.Vanuit een veiligheids oogpunt is het vereisen van code signing natuurlijk fantastisch, geen virussen of andere malware. Maar zoals zo vaak komt extra veiligheid met minder vrijheid.Het een feit dat Open Source en code signing niet echt goed te combineren zijn.

Echter, het grootste deel van de desktop's en laptops die verkocht worden draaien een Microsoft OS. Voor die grote meerderheid is code signing/secure boot een goede zaak. Alleen die hele kleine groep die Linux e.d. gebruikt zal hier last van hebben. Dit is echter een heel luidkeels aanwezige groep.

Men spreekt hier over wetten en rechtzaken. Dat is zeker een mogenlijkheid, al zal dit een heel trage mogenlijkheid zijn. Als dit wordt uitgevochten tot en met de hoogste rechtbanken kan het jaren duren. En zelfs dan is de uitkomst niet vaststaand, vooral als niet bewezen kan worden dat Microsoft het doet om de concurrentie dwars te zitten.

Zelf als wordt dit verboden door rechters of maken politici wetten die dit verbieden, dan nog zal Microsoft gewonnen hebben.

1) Het is de beste munitie die de PR/sales afdeling van Microsoft en partners in jaren hebben gekregen. "Linux en (EU-)politici zijn de reden dat uw pc nu minder veilig gemaakt moet worden."

2) Wetten die code signing verbieden zullen extreem nadelig zijn voor een aantal van Microsoft grote concurrenten, met Apple voorop. OSX op generieke hardware is niet iets waar Apple blij van zal worden.

3) Zelfs als Microsoft geen OEM's meer mag verbieden Secure boot optioneel te maken wil dat niet zeggen dat ze het niet zullen doen. Minder opties betekend minder supportkosten. Die paar lastige Linux klanten gaan maar naar de concurrent.

Verder verwacht ik "secure boot" de komende jaren te zien verschijnen in Europese aanbestedingen. Voor ieder bedrijf dat Windows desktops wil uitrollen is het immers een ideaal excuus on niet naar Linux te hoeven kijken.
Echter, het grootste deel van de desktop's en laptops die verkocht worden draaien een Microsoft OS. Voor die grote meerderheid is code signing/secure boot een goede zaak.
Nee. Want dan wordt de vendor-lockin nog veel groter. Het is dus voor de grote meerderheid een ramp (dat dat dan meestal is zonder dat ze het weten, doet daar niet zoveel aan af).
Zolang mensen het uit kunnen zetten en vrije keuze kunnen behouden heb ik er geen probleem (meer) mee.
Op je zelfbouw PC zal je die keuze houden.
Op de generieke kant-en-klaar PC's van zelfstandige computerzaken waarschijnlijk ook.
Ik vrees dat er voor merk-PC (HP, Acer, PackerdBell, Dell etc,) geen keuze meer zal zijn. Of je start Windows 8 op, of je hebt een boekensteun.

Dat zal bij aanschaf niet zo'n probleem zijn. Je weet dat je een Windows bak koopt. Wil je wat anders draaien, moet je een andere PC kopen.
Het beperkt wel de mogelijkheden bij afdanken. Je kunt de PC niet meer meer zonder meer met een linux-distro een tweede leven als mediacenter, server of nas geven.
Op je zelfbouw PC zal je die keuze houden.
Nee. Fabrikanten zullen allemaal overstappen naar de nieuwe shit, als er niet vooraf kei- maar dan ook keiharde maatregelen zullen zijn tegen die voorwaarden die MS allemaal in het hoofd heeft zitten.
En trouwens je hebt 't zelf al over merk-PC's: hoeveel % denk je dat dat samen is? Waarschijnlijk al gauw 99%.
Dat zal bij aanschaf niet zo'n probleem zijn. Je weet dat je een Windows bak koopt. Wil je wat anders draaien, moet je een andere PC kopen. Het beperkt wel de mogelijkheden bij afdanken.
Je spreekt hier jezelf al gigantisch tegen. Niet zo'n probleem? Het is juist een gigantisch probleem als je geen keuze meer hebt!!
Als het gemakkelijk door software (lees malware) is uit te schakelen biedt het geen extra veiligheid. Ik zou dat toch graag met een hardware jumper op het mainboard willen zien.
Gelukkig is dit dan ook iets wat via de BIOS geregeld wordt, dus niet door software uit te schakelen is. Als je het hele stuk leest kan je dit ook zelf uit vinden.
Hmmm, er zijn windows-tooltjes die je bios kunnen flashen, waarom kan een stukje malware dan niets in het bios wegschrijven?
Omdat die door UAC worden tegengehouden.
nieuws: Nieuwe malware poogt bios te besmetten

UAC is heel leuk en aardig, maar dat kan niet alles tegenhouden.
Bovendien zetten sommige mensen het uit.
Ik zou ook liever gewoon jumpers of schakelaartjes op het moederbord zien. Dan maar wat lastiger om bios te flashen dan dat je gevaar loopt :)

Overigens zijn we weer eens geheel afhankelijk van wat fabrikanten voor biossen gaan gebruiken. Op dit moment vind ik UEFI nog niet zo heel nuttig, en met een functie zoals secure-boot veranderd er niks aan mijn mening. Het zal dus alleen gebruikt worden om eens je pc helemaal op slot te gooien.
Ik dacht dat PC's waren voor de mensen die gewoon vrij dingen willen installeren en modificeren.

Ik hoop niet dat microsoft door deze ontwikkeling dit soort dingen gaat stimuleren :(

[Reactie gewijzigd door wootah op 23 september 2011 13:02]

Mag jij is proberen om in een bedrijfsomgeving 1000 pc's van een nieuwe BIOS te voorzien als je eerst een jumpertje moet omgooien :) Dit is eenvoudig op te lossen door BIOS binaries gewoon te signen.

Er is ook geen enkele fabrikant die het in zijn hoofd gaat halen om dit niet als optie in te bouwen. Die "windows certified" PC's die van de bad rollen zij net dezelfde als die voor de klant die 1000 linux bakken besteld heeft hoor.

Los daarvan: Je hoeft niet persé een ander OS te willen gebruiken om hier last mee te krijgen. Wij hebben ook al gespeeld met een (Linux) hypervisor om 2x Windows op een PC te zetten (werk / privé, XP / Win7, ...).
Nou, dan is dat misschien de oplossing: standaard worden alleen signed firmware-versies geaccepteerd, en met de bios-jumper (of een echt schakelaartje) ook andere.
Als je als klant (gebruiker/bedrijf) maar de keus hebt.

En wat die hypervisor betreft, Microsoft wilt natuurlijk dat je dan als host ook Windows gebruikt.
Alleen wordt dat bios-jumpertje op een notebook waarschijnlijk zodanig geplaatst dat je er niet zomaar bij kan.
Die "windows certified" PC's die van de bad rollen zij net dezelfde als die voor de klant die 1000 linux bakken besteld heeft hoor.
Het is maar de vraag of dat dan zo zal blijven... Hoogstwaarschijnlijk niet!!
Sterker nog, het is nu al een beetje zo. Een tijdje geleden kon je twee Dell-PC's bestellen met Linux. Alle andere PC's waren Windows-only (qua bestelling, dan. Maar als je zo weinig keus hebt, slaat Linux echt geen deuk in een pakje boter).
Helaas.. PC's zijn gereedschappen voor mensen die bepaalde taken moeten uitvoeren. Verder heeft UEFI weldegelijk voordelen, zoals bijvoorbeeld betere ondersteuning van het opstarten van niet-BIOS compatible apparaten (grote schijven, non-MBR schijven) en maakt het meer RAM voor het opstarten beschikbaar. Dan heb je nog betere recovery bij flashen, om dat je over het algemeen een image beschikbaar maakt voor UEFI, waarna bij de volgende herstart UEFI zelf kijkt of het werkt, en als het werkt het NAAST de bestaande image kan gebruiken. Mocht er wat mis gaan, kan je direct terug. Daarnaast start UEFI vele malen sneller dan de BIOS, en kan je met UEFI een een serial console alles doen qua configuratie, wat je bij de BIOS vaak alleen met speciale serveredities kan.

[Reactie gewijzigd door johnkeates op 23 september 2011 13:18]

Nou is het mooie van zo'n BIOS en ook van dat uefi dat het software is.
Het is dus zeker mogelijk om vanuit malware ook te doen, echter is het wel mogelijk dat het bij elk type moederbord weer anders moet.
"... en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen ..."
Zegt het artikel.
Betekent dit dat elke keer dat je linux een kernel update krijgt, er een nieuw certificaat moet komen, gelijk met de kernel update, als je voor secure boot onder linux kiest?
Onder Ubuntu komen kernel updates best wel af en toe voor. Een extra puntje van aandacht, zou dit dan kunnen zijn bij een kernel update ...
Betekent dit dat elke keer dat je linux een kernel update krijgt, er een nieuw certificaat moet komen, gelijk met de kernel update, als je voor secure boot onder linux kiest?
Nee, dat betekent het niet. De kernel is ondertekend met het certificaat, dus elke update kan dat ook gewoon zijn. Certificaten zijn gebaseerd op public key cryptografie, wat wil zeggen dat je zowel een publieke sleutel als een privesleutel hebt. Data dat met de ene sleutel is versleuteld kan met de andere sleutel weer worden ontsleuteld (en vice versa), en dit biedt dus de mogelijkheid voor authenticatie. Als jij iets met jouw eigen privésleutel (die alleen jij weet en niemand anders) versleuteld, dan kan iedereen verifieren dat het van jou af kwam omdat het met jouw publieke sleutel te ontsleutelen is.

Welnu, Ubuntu kan gewoon een valide certificaat aanschaffen en alle updates ondertekenen met dat ene certificaat. Ubuntu kan dat doen omdat zij de privésleutel hebben. Echter, jij kan niet je eigen gecompileerde versie van de kernel booten omdat jij je binaries niet kan ondertekenen omdat jij niet beschikt over de privésleutel van Ubuntu.

[Reactie gewijzigd door .oisyn op 23 september 2011 15:16]

Mja dat is dus een beetje achterlijk.

Technisch gezien is het probleem niet zo moeilijk. Je moet simpelweg een eigen vertrouwd certificaat toe kunnen voegen. Dan kun je je eigen code tekenen en toevoegen. Niet zo'n probleem voor iemand die z'n kernels toch al zelf compiled lijkt me.

Ze moeten dan uiteraard wel ff een veilige manier vinden om zo'n certificaat toe te voegen, maar daar is vast wel iets voor te vinden.
het probleem zal voor de gebruikers meer in de kosten van een vertrouwd certificaat zitten

hoe checked uefi eigenlijk of een certificaat geldig is? kan me voorstellen dat er uefi computers zijn die NIET op een internet capable netwerk aangesloten zitten
Ik snap nog niet helemaal waarom de kernel ondertekend moet zijn. Het lijkt mij genoeg om de boot loader (Grub) te ondertekenen, aangezien dát hetgeen is de EFI opstart. Dat Grub de kernel vervolgens lanceert lijkt me verder niet direct van belang.
Nou dan bij iedere opnieuw gecompileerde kernel. Zij die hun eigen kernel compileren doen dit immers ook regelmatig, en zij kunnen niet zo simpel een certificaat aanschaffen voor enkel privégebruik.

[Reactie gewijzigd door BeosBeing op 29 september 2011 13:51]

Niet door software uit te schaken?

Er zijn inmiddels trojans en virussen die jouw bios kunnen flashen etc. dus neit uit te schakelen ....... :F
Het is natuurlijk onmogelijk om te vereisen dat alleen gesignde UEFI-patches kunnen worden geflasht. [/sarcasme]
Voor een gebruiker is het hetzelfde: het doet in beide gevallen maar 1 ding: zorgen dat je windows opstart.
Het gaat hier niet meer om een BIOS maar om een UEFI.
quote: theforce81
Als je het hele stuk leest kan je dit ook zelf uit vinden.
De 'unified extensible firmware interface' is in steeds meer pc's aanwezig als vervanger voor het bios en bevat de mogelijkheid om het bootproces te beveiligen met public-key-cryptography
Dus zodra het in het firmware zou zitten ingebakken zou het zo geregeld kunnen worden dat de gebruiker het zelf niet meer zou kunnen aanpassen. Dat was dus ook de reden voor de zorg die uitgesproken werd.
Een secure-boot proces is iets wat eigenlijk juist heel belangrijk is om te kunnen garanderen dat er op de laag vóór het OS (en eventuele virusscanners en dergelijke) geen malafide code uitgevoerd kan worden.

Dus eigenlijk een belangrijke feature die op bijvoorbeeld embedded systemen wel vaker voorkomt. Maar dat betekent wel dat het inderdaad niet te makkelijk moet kunnen worden uitgeschakeld, want je helpt daarmee die zekerheid praktisch om zeep. Aan de andere kant, als je al Windows gebruikt, heb je daar ook geen last van.

Wat wel lastiger gaat worden is het omschakelen naar een ander OS voor beginners. Opeens moeten ze aan de hardware gaan knoeien of in de BIOS iets omzetten voordat ze überhaupt een Linux-partitie kunnen starten, en dat zou wel een extra drempel kunnen zijn voor het overstappen naar een alternatief OS.
Goed nieuws om te horen.
Maar had ook niet anders verwacht.

Indien MS het onmogelijk maakt om andere Os-en te booten krijg je weer het hele monopolie verhaal met alle gevolgen van dien
Neen, omdat het niet MS is die het onmogelijk zal maken, maar wel de OEMs. Microsoft kan bijv. in de toekomst korting geven aan OEMs die secure boot gebruiken zonder dat deze kan uitgeschakeld worden.
En volgens jou is dat geen misbruik van een economische machtspositie? De opsommingen genoemd in art. 102 VWEU zijn niet limitatief: elke vorm van ongeoorloofd misbruik van een economische machtspositie kan leiden tot een sanctie door de Europese Commissie.

Het geven van kortingen om secure boot te gebruiken zonder dat deze uitgeschakeld kan worden, leidt tot het wegdrukken van concurrentie zoals Linux en andere operating systems. Windows heeft op het gebied van operating systems sowieso een economische machtspositie. En een dergelijke actie zou zeker onder de noemer misbruik van een economische machtspositie vallen.

Ter informatie:
Artikel 102 Verdrag betreffende de werking van de Europese Unie
1. Onverenigbaar met de interne markt en verboden, voorzover de handel tussen lidstaten daardoor ongunstig kan worden beïnvloed, is het, dat een of meer ondernemingen misbruik maken van een machtspositie op de interne markt of op een wezenlijk deel daarvan.
... enz. enz.
Ook onder amerikaanse regels (antitrust laws) zal dat niet mogen.

Dat zou zeer dicht liggen bij "Intel geeft OEMs heel veel korting, maar wel op voorwaarde dat ze beloven geen AMD producten te gebruiken". En daarvoor heeft Intel hoge boetes gekregen.
Ook onder amerikaanse regels (antitrust laws) zal dat niet mogen.
Ja maar dat maakt geen fuck uit. Zodra het Microsoft heet wordt onder de voeten in een bepaalde staat, dreigt ze die staat geen Microsoft-producten meer te leveren en hoppa... Het OM trekt alle klachten weer in! Dit is geen verzinsel, dit is al praktijk!
Tenslotte is Microsoft een USA-bedrijf. Dus een concurrent zoals Linux: dat kan de USA echt niet veel schelen hoe 't daarmee gaat.
Zelfs als Microsoft wel veroordeeld wordt, dan schenkt Microsoft wat Windows-licenties aan scholen (om nog meer zielen voor zich te winnen: jong inpalmen en je hebt ze de rest van hun leven aan je gebonden) en that's it.

[Reactie gewijzigd door kimborntobewild op 31 oktober 2011 04:32]

Ik vind dat juist voor OEM's een goede feature om aan te zetten. Hoeveel mensen die Linux op hun PC zetten kopen een PC van een OEM? Niet veel denk ik, en hoeveel gebruikers die uitsluitend Windows gebruiken waarbij de oren gaan klapperen als je Linux of BSD zegt? Vrijwel de complete doelgroep.

Ideaal voor dat soort mensen om een secure boot procedure te hebben, want dat is de groep die momenteel in botnets word opgenomen.

Het moet natuurlijk wel mogelijk blijven om uit te zetten zodat je een ander OS kunt installeren, maar standaard aan daar heb ik 0 problemen mee.
Ehm als je een computer niet van een OEM koopt waar kop je die dan?

Het probleem is dat de meeste systemen niet meer gemaakt worden door het bedrijf dat ze verkoopt er zijn maar een handje vol bedrijven die de kennis apparatuur en schaal hebben om dit soort dingen te produceren en er geld aan te verdienen. En dat zijn eigenlijk allemaal Chinese bedrijven, dus als Microsoft deze bedrijven nu eens lief zou aankijken en er van zou overtuigen dat het voor hun uiteindelijke klanten beter is als men het secure boot proces niet kan uitzetten en dat om de veiligheid van de gemiddelde computer gebruiker te verbeteren ze een beloning uitloven voor een ieder die mee werkt aan het initiatief om een veiliger boot sequence te leveren dan is het redelijk snel gedaan met de Linux pret.

Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt. Dus zelfs als Microsoft dat zou doen dan nog zou er niet meteen een man overboord zijn, het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.

Nu kan Microsoft de bad press en de mogelijke aantijgingen van concurrentie vervalsing missen als kiespijn en is er eigenlijk geen echte reden om dit te doen. Zo lang ze slim genoeg zijn om tijdens en of na het booten aan de gebruiker aan te geven dat secure boot uitstond en het systeem dus minder veilig is dan het zou kunnen zijn. Dan is het redelijk snel zo dat 99% van de mensen bang is om te werken met een PC waar secure boot uitstaat, of waarbij het OS niet verteld of het veilig is gestart. Met als resultaat dat acceptatie van Linux op de consumenten markt, waar de meeste mensen totaal geen idee hebben hoe het ding nu eigenlijk werkt, simpel weg heel erg veel moeilijker is geworden. En uiteindelijk is dat het doel niet de concurrentie op een opzichtige manier tegen werken. ;)

Ik ga er dus ook van uit dat Microsoft een mooie popup waarschuwing weergeeft elke keer als je zonder secure boot start. Zodat de meeste mensen dat al hele snel niet meer durven. :)
Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt.
Dat weet je niet, want er is nergens geregistreerd dat iemand een linux distro draait. Die installeer je namelijk lekker zelf. Stel nou he, dat 75% van de mensen met een nieuwe pc thuiskomt en meteen Windows eraf knikkert en linux installeert dan is die 75% nog steeds als Windows pc gekend. Nu zal het geen 75% zijn natuurlijk, maar hoeveel het wel is dat weet niemand.

Met browserstatistieken kun je bij benadering schatten wat het percentage linux is, maar dat is niet echt betrouwbaar.
Je vergeet dat je geen OEM pc hoeft te kopen, maar je kunt hem ook zelf in elkaar zetten. Zeker als je met Linux een bepaald doel voor ogen hebt zul je dat snel doen. Vooral omdat er soms enorme driver problemen zijn met hardware en dat duurt dan even voor dat gefixed is. Als jij een PC gaat aanschaffen dan wil jij niet zitten wachten tot die patches er zijn zodat je PC boot. Ik heb massa's aan problemen gehad met mijn vorige laptop gewoon omdat er geen goede drivers waren voor een aantal onderdelen (vooral de intel Wifi was rampzalig). Als ik dus Linux als primair systeem wil gebruiken op een nieuwe PC, dan zal ik zeker eerst zoeken naar hardware die zeker werkt.
Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt. Dus zelfs als Microsoft dat zou doen dan nog zou er niet meteen een man overboord zijn, het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
Ziehier, iemand die zich al totaal over heeft gegeven aan Microsoft!!
Het is vreselijk wat je zegt: omdat jij geen voordeel van Linux inziet, trek jij maar de conclusie dat er geen man overboord zou zijn. Sterker nog... De hele wereld is dan eigenlijk overboord!! Juist omdat ze dan geen keuze meer hebben en aan het verrotte Microsoft vast blijven zitten!!
het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
Neen, want het gaat om de hele wereldbevolking die dan noodgedwongen verstookt van Linux zal blijven - simpelweg omdat het niet meer kán. Dus niks relatief klein aantal gebruikers. En ook als je inderdaad alleen de huidige gebruikers bekijkt: die vind jij niet belangrijk genoeg?? Vreselijk.
En hoe zit dat dan met de eerste keer linux gebruikers? Die dus een Windos PC hebben gekocht maar toch Ubuntu oid willen gaan draaien? Je zal maar net een PC met Secure Boot hebben gekocht die niet uitkan!

Je reactie raakt dus kant noch wal . Ik ken genoeg mensen die "uitsluitend Windows gebruiken" maar toch nieuwsgierig zijn naar Ubuntu (als dualboot)
Mijn reactie raakt kant nog wal? Ik ben vrij zeker ervan dat 90% van de mensen die een OEM machine koopt nooit Linux zal installeren, simpel weg omdat ze er de kennis niet voor hebben.

En als je mijn reactie gelezen had dan lees je dat ik vind dat hij wel moet UIT kunnen worden gezet.

Ik ken ook genoeg mensen die wel eens Ubuntu willen gebruiken, maar ja dat krijg je nu eenmaal als ICT-er. Als ik eens kijk bij de mensen die mijn zus kent dan zijn dat allemaal OSX gebruikers omdat dat door de school erin word gestampt. Dus zij kent zat mensen die OSX gebruiken, en die zullen allemaal nooit Linux gebruiken. Als ik naar mijn ouders kijken en de mensen die zei kennen, die hebben allemaal een Windows of Mac systeem en zullen ook nooit Linux gebruiken.

De komende jaren verwacht ik geen enorme verschuiving richting Linux, tenzij OEM's dat zelf gaan aanbieden.
En als je mijn reactie gelezen had dan lees je dat ik vind dat hij wel moet UIT kunnen worden gezet.
Het gaat om de default. Als die default AAN staat, dan is de ramp echt al geschied, hoor.
Zelfs als je het dan uit kan zetten: dat zal dan vooral alleen in het begin zijn.
De komende jaren verwacht ik geen enorme verschuiving
Dat is juist het gevaar: mensen verwachten het niet, totdat het eigenlijk vrij opeens gewoon de status quo is dat ook die mogelijkheid er ook niet meer is.

[Reactie gewijzigd door kimborntobewild op 31 oktober 2011 04:22]

Hoeveel Linux gebruikers gebruiken een ex-OEM machine? Ik ben er iig één van.
Ik vermoed dat HP de eerste gaat zijn om dit toe te passen ...
Ik vind het alsnog onzin, we hebben hier toch beveiligings-software voor en het is niet alsof dit iets is waar iedereen al tijden op zit te wachten.
Elke stap om de veiligheid van computers te verbeteren lijkt me mooi meegenomen, hoe klein de toevoeging ook is.

Zeker als het makkelijk uit te schakelen is, en niks anders in de weg zit, zoals in dit geval.
Alleen denk ik dat MS hier andere motieven mee heeft. Windows 7 word op zeer eenvoudige wijze gekraakt door in te grijpen bij het opstartprocess. Het zou me niet verbazen dat met Secure Boot deze mogelijkheid niet meer bestaat. En hoewel dit in Windows 8 nog een optie is lijkt het mij persoonlijk niet ondenkbaar dat in de toekomst Secure Boot een verplichting word.
Het is wat afgezaagd, maar de muziek- en filmindustrie zouden maar wat graag b.v. certificaten vereist zien door het UEFI (bios). Als je in het certificaat een encryptie-stgring opneemt, kan er eindelijk van hardware tot en met hardware, ofwel van schijf tot tft en luidspreker geëncrypt worden, danwel dit komt dichterbij, zodat drm (digitale rechten management) op muziek en film weer wat dichterbij komt.

Terwijl ik gewoon denk dat elke hard- en software beveiliging tegen virusen enz. tot nu toe gewoon omzeild is door deze virussen, dus dat zal ook wel weer met deze secure boot gebeuren.
En als het voor de "heren" van allerlei rechten instanties is, laat u maar, ik regel mijn (boot) beveiliging zelf wel: anders, hoe dan ook.
Dus ze voorkomen rootkits, virussen én piracy van hun product, win-win situatie voor MS en de consument toch? Behalve voor mensen die te lui zijn om te betalen dan....
En behalve voor mensen die iets anders dan Windows willen gebruiken natuurlijk.
Dat is de win-win-WIN situatie voor Microsoft.
softwarebeveiliging werkt alleen in het OS en niet op low-level niveau, daar waar rootkits zich juist nestelen.
Dit is zeker wel iets waar men op zit te wachten. Dit is namelijk een goede beveiliging tegen root kits, en virussen welke zich in het MBR nestelen.
En daarnaast, mensen welke Linux (of een ander OS willen) installeren weten ook wel hoe je de optie kunt uitzetten in de Bios. En voor de overige gebruikers is het weer een extra beveiliging tegen malware.

Overigens, deze optie moet alleen aan staan om aan het "Windows 8-certified-pc" programma te kunnen voldoen. Als je te lui bent om iets in de Bios uit te zetten, dan koop je een pc die dat stickertje niet heeft.

[Reactie gewijzigd door TMDevil op 23 september 2011 12:09]

' t gaat hier NIET om een BIOS maar om een UEFI. Das wel even wat anders.
De mogelijkheid die MS hier probeert te pakken is het probleem voorkomen. Doordat voordat er ook maar iets wordt opgestart verkeerde zaken als maleware te blokkeren heb je minder beveiliging nodig op het moment dat het systeem draait. Je sluit op deze manier een mogelijke beveiligingslek.
Maar als je het uitzet en je kunt toch Windows 8 booten dan heeft dit alleen zin als mensen standaard hun uefi settings beveiligen met een password. En je uefi settings zul je wel kunnen reseten door de cmos batterij er uit te halen.

In ieder geval levert dit wel extra beveiliging op voor virussen en andere malware die zich probeert te laden voor dat Windows dit doet.

Alleen als mensen fysiek toegang krijgen tot je systeem en ze je kast kunnen open halen voor een cmos reset dan kunnen ze nog altijd allerlei rottigheid installeren.
Als je het batterijtje eruit haalt blijft je wachtwoord beveiliging uiteraard bewaard.
Niet waar.
Bij de meeste consumenten moederborden word je BIOS en UEFI gereset naar "default" als je een CMOS reset doet (mijn overclock board heeft daar een knopje voor) of de batterij er uit haalt.


Alleen bij laptops heb je een probleem als je je bios password niet meer weet. (en het ook hebt ingesteld om te kunnen booten)

[Reactie gewijzigd door Kain_niaK op 23 september 2011 12:07]

Anno 2011 voor 99% van de moederborden wel. Maar 10 jaar terug was dit vaak de enige manier om het bios paswoord te verwijderen. 3 of 4 dagen zonder stroom zetten en *poef* wachtwoord was weg. ;)
Zo lang? LOL, gewoon stekker er uit (en dan batterij er uit) en aan (proberen) zetten, weg laatste restje stroom, weg BIOS instellingen...

Ik was nogal computer verslaafd 10 jaar terug, en me ouders hebben meerdere malen een wachtwoord op me BIOS gezet, dus ervaring genoeg (en een tijdsklok op de router) ;)
Toch niet bij bv. een Toshiba Satellite (pentum 1, 133MHz) van een bekende van mij. Die heeft weken, zoniet maanden, zonder stroom gelegen maar wachtwoord bleef erop.

uiteindelijk werkte een speciaal geprepareerde diskette wel om het wachtwoord te resetten :P
Ik snap het hele probleem niet. De secure boot zoals deze omschreven word, is niet iets wat MS zelf heeft ontwikkeld, alleen maar iets wat gebruikt wordt. De feature is immers gewoon aanwezig. Maar op het moment dat MS dit zou gebruiken, is het opeens een probleem bij een hele community?
Omdat (als je alles zwart wit ziet) het onmogelijk word om dan nog een ander OS op je PC op te starten waardoor microsoft alle linux distros uit de markt lijkt te drukken.

Natuurlijk ligt de waarheid waarschijnlijk een hele hoop genuanceerder en ergens hier tussen in.

Ik denk dat je gewoon in de UEFI kan komen om "Secure Boot" (tijdelijk?) uit te zetten als je echt wat anders wilt. Dat zou in mijn ogen de meest logische stap zijn als Microsoft geen problemen met de EU wil (zoaisl aangegeven in een reactie ergens hierboven).

Zoals MS zelf al zegt: het is aan de OEM om te bepalen hoe of wat die beveiliging precies inhoud (ze schuiven de schuld al een beetje af lijkt het wel).

We zullen wel zien wat er gebeurt. En anders zal het misschien zo gaan worden dat alle mensen die Linux op hun PC willen hebben de eerste keeer iemand om hulp vraagt uit de community (of iemand die ze kennen met *nix even vragen nattuurlijk). Er is altijd wel een manier omheen als je graag genoeg iets wilt hoor.
Ik heb er geen probleem mee zolang dit optioneel is. Het probleem met dit soort zaken en aanwezigheid van TPM chips is dat je daar Sony praktijken van krijgt.

Bedrijven gaan het gebruiken om rechten te verwerven die men wettelijk niet heeft. Dat men er niet voor schroomt heeft Sony al laten zien

Een PS3 heb je gekocht en is je eigendom, maar door de encryptie die Sony toepast, kan je er alleen maar mee doen wat Sony goedkeurt.

Dan krijg je straks PC fabrikanten die dit ook gaan gebruiken om PC's te beperken tot het meegeleverde windows. En als je er wat anders mee wilt, dan kan het niet of mag je betalen voor het vrijschakelen. De tweaker zal die PC niet kopen, maar velen zullen hier niet eens over nadenken. En als een aldi PC hier bijvoorbeeld mee uitgeleverd zou worden, kan je wachten op de ellende.

Ik vertrouw in ieder geval niet in de goedheid van ondernemingen.
Als Windows dan niet meer secure boot dan kan je er ook niet meer aan met huidige live rescue cd's. Bij moederbord falen ga je vermoedelijk ook geen toegang krijgen met een nieuw moederbord. Ook om mee te nemen in overweging. Voor mij al uitgemaakte zaak: ik hoef geen hardware waar de OEM bepaalt wat ik met die hardware wel of niet kan. Trouwens is het dan ook niet zo, dat ze op afstand die sleutel kunnen ongeldig maken. Sta je daar dan weer met je dure computer die je niet meer kan/mag booten van je fabrikant of microsoft?
Als Windows niet meer secure boot, omdat de bootloader is geïnfecteerd, dan kun je er wel degelijk bij met een rescue-cd; dan wordt namelijk de bootloader op die rescue-cd gestart, en niet die van de Windows-installatie.
Voor mij al uitgemaakte zaak: ik hoef geen hardware waar de OEM bepaalt wat ik met die hardware wel of niet kan.
Dat kan wel zijn dat je dat niet hoeft... Maar dat is het nu juist! Als alles doorgaat, heb je straks helemaal geen keuze meer!!
Een systeem waarbij deze optie niet is uit te schakelen zal mijn huis nooit in komen. Lijkt me dan ook sterk dat OEMs die mogelijkheid gaan weglaten, dat zijn doorgaans gewoon reference implementaties die cosmetisch wat zijn aangepast.... het zou ze dus extra moeite kosten om het weg te laten en je verkleint er je doelgroep mee. Gewoon standaard aanzetten voor het Windows8 logo, en de Linux zealots schakelen het uit. Iedereen tevreden.
De eerste 'cosmetische' aanpassing die ik bij mijn laatste HP-PC opmerkte was een aangepast BIOS, waar een hele hoop vertrouwde instellingsmogelijkheden uitgesloopt waren. (Iets dieper dan alleen cosmetisch dus.)
Zo moeilijk is het dus niet om de mogelijkheid om secure boot uit te schakelen weg te laten.
(Dan zijn er natuurlijk wel weer alternatieve UEFI-versies in omloop die je kunt flashen, maar daar haken een hoop mensen al af.)

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Besturingssystemen

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True