Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 188, views: 19.541 •

De Free Software Foundation is een petitie gestart tegen de mogelijke gevolgen van de 'secure boot'-mogelijkheid waar Windows 8 van gebruik gaat maken. De vrees is dat computerfabrikanten onder druk van Microsoft andere OS'en niet laten opstarten.

Secure boot-zorgenHoewel Microsoft ontkent dat het gebruik van de secure boot-optie in uefi door Windows 8 de gebruiker zal beperken in zijn keuzevrijheid, stelt de Free Software Foundation dat zij ernstig bezorgd zijn over de nieuwe feature. De stichting verklaart dat gebruikers bij secure boot niet zelf kunnen aangeven welke software zij vertrouwen omdat het systeem gebruikmaakt van cryptografische sleutels die uitsluitend door softwarefabrikanten aangemaakt kunnen worden.

Ook bestaat volgens de organisatie de kans dat computerfabrikanten niet de mogelijkheid gaan geven om de secure boot-functie in bios-opvolger uefi uit te schakelen, waardoor een besturingssysteem als Linux niet gestart kan worden en de gebruiker dus alleen Windows kan booten. Linux krijgt waarschijnlijk geen ondersteuning voor de feature, beweerde Red Hat eerder, omdat dit in strijd met de gpl-voorwaarden zou zijn.

De FSF, die dit scenario restricted boot noemt, roept dan ook het publiek op om een petitie te tekenen. Daarin worden computerfabrikanten opgeroepen om in elke uefi-implementatie de mogelijkheid te bieden om het secure boot-mechanisme uit te schakelen of om een alternatieve methode te bieden waarmee niet-Windows-besturingssystemen gestart kunnen worden. Mochten hardwarefabrikanten dit nalaten, dan stelt de FSF dat zij hun volgers zullen adviseren om dergelijke pc's en laptops niet te kopen.

Reacties (188)

Reactiefilter:-11880185+1135+220+31
Goede zaak om hier tegen te protesteren. Altijd vervelend om maar aan één OS gebonden te zijn, en ondanks dat de meeste tweakers zelf bouwen, zou dit wel een doodsteek voor Linux kunnen zijn.
Goede zaak om hier tegen te protesteren. Altijd vervelend om maar aan één OS gebonden te zijn, en ondanks dat de meeste tweakers zelf bouwen, zou dit wel een doodsteek voor Linux kunnen zijn.
Doodsteek voor Linux op OEM desktops en laptops misschien, maar voor servers (waar Linux het grootst is) nooit lijkt mij.
tja je kan ook zelf onderzoek doen naar wat je koopt. je had makkelijk van XP naar windows 7 kunnen overstappen. En bovendien was er niet echt iets mis met Vista, behalve de drivers, en daar moeten Linux gebruikers kunnen meeleven.

Maar ik vraag me af waarvoor de secure boot dient bij windows 8. Helpt het tegen rootkits of andere nare spullen? Of is het een gevalletje concurentie pesten?
Het voorkomt dat malafide code nog kan gestart worden.

Microsoft zei toch zelf al dat hardwaremakers zelf kunnen bepalen of ze het in- of uitschakelen? Al lijkt het me wel netjes mocht je dat als gebruiker gewoon zelf kunnen bepalen.
Daarom vraag ik me af of dit wel en legitieme actie is. natuurlijk zou het mogelijk kunnen zijn in de toekomst om.......

Maar voor zover ik weet van UEFI is secure-boot een optie. die mogelijk standaard aan zal staan op OEM systemen. laat het niet zo zijn dat een optie altijd uitgezet kan worden..

Daarnaast snap ik niet waarom GPL niet kan en mag werken met de secure-Boot feature? Je kan toch jouw broncode voor het verkrijgen van een lock vrijgeven? Op windows draaid ook software gebaseerd op GPL licentie. (Open Office Foundation) en zo zijn er nog duizendende apps. Die gebruik maken van Microsoft DDL's om te kunnen draaien. Ik zie Dit ook met de secure Boot optie in UEFI.

Volgens mij moeten juristen toch eens opnieuw gaan kijken naar GPL. Om toch gebruik te kunnen maken van secure-Boot waardoor software wel gedraaid zou kunnen worden..
Het officiële doel van Secure Boot is om de gebruiker te beschermen tegen allerlei soorten malware. In principe is het zo dat als component X eerder actief wordt dan component Y, dat het voor X dan mogelijk is om Y zo'n beetje alles te laten geloven wat het wil (inclusief het verbergen van zijn eigen bestaan). Als je een virus in je bootsector hebt zitten (die dus eerder opstart dan het OS / virusscanner) dan kan dat virus alles doen wat het wil; als je virusscanner de bootsector wil bekijken dan kan het virus dat immers afvangen en een "schone" kopie van de bootsector teruggeven (en zo zijn bestaan verhullen). Lang leve de root kits... :(

Als Windows zeker wil weten dat het op een goed beveiligd systeem draait, dan moet het dus een seintje krijgen van de allereerste code die actief wordt (het BIOS / UEFI), dat Windows belooft dat alle code die tussentijds heeft gedraaid (zoals bijvoorbeeld een bootloader) herkent en veilig bevonden is. Daar is niks aan te doen: Windows heeft geen controle over wat er gebeurt voor het actief wordt en kan achteraf niet meer betrouwbaar controleren wat er gebeurd is. (Overigens, Windows gaat er daarbij wel impliciet vanuit dat het BIOS / UEFI te vertrouwen is; als je die flashed met iets waar malware in zit dan is het sowieso einde verhaal.)

En daarmee komen we dus bij het probleem: als je secure boot uitzet en er wordt malware actief voordat Windows initialiseert, dan kan de malware botweg tegen Windows zeggen dat er een secure boot heeft plaatsgevonden. Dus ook al zegt Microsoft dat ze moederbordfabrikanten niet zullen verplichten om Secure Boot een feature te maken in plaats van een optie (lees: het kan niet uit), eigenlijk zouden ze dat wel moeten doen, anders heeft het nog geen zin! Met andere woorden: als er voor jouw moederbord een versie van het BIOS / UEFI bestaat waarin Secure Boot niet verplicht is (of het er helemaal niet inzit, of dat je het zelf uit kunt zetten maakt weinig uit), dan heeft Secure Boot op dat model moederbord eigenlijk al geen zin meer.

Het probleem met GPL is niet zozeer de code die met Secure Boot werkt (het stukje van de kernel dat met het BIOS / UEFI praat), maar de handtekening zelf. Stel dat het voor iedereen mogelijk wordt gemaakt om zijn eigen Linux-kernel te ondertekenen (zodat Secure Boot het herkent en laat starten), dan kunnen malware makers hun code ook ondertekenen; niets houdt ze tegen om een stuk code te schrijven dat tegenover BIOS / UEFI doet alsof het een OS is en dat, wanneer het geboot wordt, eerst een backdoor / keylogger / whatever opstart (en een rootkit natuurlijk) en daarna (net als een bootloader) door te chainen naar Windows. Daarom is het onmogelijk om de signing keys "voor het grote publiek" beschikbaar te maken. In principe zouden de grote distro's nog wel ondertekend kunnen worden, maar zelf je eigen kernel compilen is er met Secure Boot niet meer bij.

Mogelijke oplossing:
- Secure Boot wordt verplicht (laten we eerlijk wezen, het idee erachter is lang niet slecht; het zijn de "bijwerkingen" waar we een probleem mee hebben).
- Moederborden hebben twee sleutels: de "algemene" waarmee Windows (en de grote Linux distro's...??) ondertekend worden, en een specifieke, die voor elk bord verschillend is. Als je een manier weet te bedenken om die specifieke keys alleen ter beschikking te stellen aan de mensen die ze willen hebben (en die er dan dus verder zelf voor verantwoordelijk zijn hoe ze daar veilig mee omgaan), dan zouden we het beste van twee werelden hebben: Secure Boot voor "de grote massa" en zelf-gecompilede kernels (én de voordelen van Secure Boot, zolang je voorzichtig bent met je persoonlijke key!) voor de liefhebbers. Misschien kan op elke BIOS / UEFI-chip een uniek ID worden geprint dat je op de website van je moederbordfabrikant kunt laten omrekenen (niet "opzoeken"; dan zou de database een veel te interessant doelwit voor hackers worden) naar een unieke key voor jouw bord...?
Let op, als je het verhaal goed leest is het niets tegen Microsoft. Ze zijn tegen OEM's die hun pc's gaan afschermen waardoor er alleen nog Windows op kan draaien.

Microsoft bepaalt dat niet. Die bepaald alleen dat voor Windows op een OEM secure boot aan moet staan en dat de Windows certificaten er standaard in meegeleverd moeten worden. Microsoft zegt nergens dat OEM's vervolgens Secure Boot zo moeten beveiligen dat je het niet meer uit kan zetten of geen andere certificaten mag inlezen of dat de optie onzichtbaar moet zijn in het 'bios'. Dat is allemaal zaak van de OEM.

FSF moet dus wel zorgen dat ze protesteren tegen de juiste mensen. En daarnaast is het een protest dat je voert tegen iets waarvan je niet weet of de OEM's dit ook gaan doen.
MS heeft in het verleden heel veel gezegd en beweerd, maar deden (illegaal en meerdere malen al veroordeeld daarvoor) compleet anders.....

Dat ze publiekelijk iets ontkennen heeft in het verleden al aangetoond dat ze averechts handelen.....

MS heeft in het verleden ALTIJD onder druk dingen bij OEM verkopers voor elkaar gekregen, dus waarom zou dat nu anders zijn?
Maar er blijft altijd de kans bestaan bestaan dat als Windows detecteert dat Secure Boot uitstaat, het weigert te starten. Technisch gezien houd het dan Linux niet tegen, maar ook groot deel van de Linux gebruikers hebben vaak ook nog een Windows partitie.

Voor Microsoft zit er trouwens ook nog een zeer geniepig voordeeltje aan. Zij kunnen als zij SecureBoot niet mogelijk implementeren claimen dat zij Windows wel veiliger wouden maken, maar de FSF tegen was.

De FSF zou er heel erg goed aan doen om de juiste toon aan te houden. Zo zouden ze beter de petitie kunnen aanpassen zodat het OEM fabrikanten verplicht om de SecureBoot optie uit te zetten.. Dat bewerkstelligt hetzelfde, maar het legt de focus minder op Microsoft en meer op de fabrikanten.

Aangezien Windows nog steeds een 85+% marktaandeel heeft wil jij als stichting later niet te boek staan welke een goede verbetering tegenhield. Dat kan namelijk als een boemerang heel erg hard terug komen..
[...]
Doodsteek voor Linux op OEM desktops en laptops misschien, maar voor servers (waar Linux het grootst is) nooit lijkt mij.
Dus even FSF.org checken ... om de petitie te tekenen ...
"We're currently experiencing technical problems."
Servertje boot niet? ;)
toegevoegd: om de petitie te tekenen ...

[Reactie gewijzigd door Xubby op 18 oktober 2011 15:03]

LOL, ik denk dat het enthousiasme om deze petitie te tekenen behoorlijk groot is :)
Misschien dat dit beleid nog wel eens zou kunnen backfiren. Als iemand nu een pc heeft en er kan alleen windows op dan wordt deze gedownload en nooit geupdate.
Zelf plemp ik altijd Linux naast windows of Linux standalone, en als dat niet kan, dan maar "illegaal" en zonder updates.


@Tijger: Voor mij geen probleem, ik heb alleen een firewall nodig :) , maar voor sommigen is een pc met alle updates nog niet veilig genoeg!

[Reactie gewijzigd door Dreeke fixed op 18 oktober 2011 15:39]

Nou, lijkt mij toch dat jij daar meer last van gaat hebben als Microsoft.
Wat ik me afvraag: in hoeverre heeft dit gevolgen voor mensen die een illegale Windows draaien? Zeg dat je nu een PC koopt met Windows 7, kun je er dan later geen illegale Windows 8 meer op zetten? Ik ben voor deze petitie (ben zelf Linux user), maar ik denk dat 'het grote publiek' meer geïnteresseerd is in bovenstaande vraag.
Stel je koopt een PC met windows 7, kun je er dan later nog een legale Windows 8 op zetten?
Dat zal er aan liggen of het omzeilen van de activatie een aanpassing in de bootbestanden (die ondertekend zijn en de ondertekening klopt dan niet meer) nodig heeft.

Als die wel gewijzigd moeten worden zul je iig ook niet op kunnen starten met secure boot.

Zit persoonlijk niet op secure boot te wachten, tenzij ik mijn eigen certificaten toe kan voegen. Het is dan ook MIJN computer, niet die van de leverancier.
Het is dan ook MIJN computer, niet die van de leverancier.
Dat dachten we bij cd-spelers en dvd-apparaten ook, totdat drm en rootkits en andere restricties uitgevonden werden. :+
Nee, als iemand zijn Windows-installatie verziekt heeft en er is een herinstall nodig, koopt daarom een nieuwe en hij verkoopt de oude dan kan de koper er straks niets mee.
Ja, je kunt altijd een versie van Windows in de winkel kopen. Secure Boot is alleen verplicht voor OEM versies van Windows.
Dus als je je spullen gewoon legaal koopt in de winkel is er niets aan de hand :)
@Rick2910

Met SecureBoot actief zijn er weinig mogelijkheden om illegaal Windows 8 te kunnen draaien. Men vindt een productkey die werkt en kan gebruiken of men stapt over op een KMS-achtige oplossing. Uiteraard heb je dan waarschijnlijk geen Windows 8 Ultimate illegaal tot je beschikking.
Heeft er niets mee te maken. Die handtekening is uniek over alle PC's en kopijen van een bepaalde Windows versie heen en staat los van de product key, die uniek is per exemplaar. Die handtekening wordt bepaald op basis van de codebase. Dat is ook één van de problemen die Linux ondervindt: die codebase is niet constant, mensen kunnen hun eigen versies builden waar ze een handtekening voor moeten kunnen genereren. Natuurlijk, als je aan de interne code hebt liggen prullen met cracks om je WGA te disablen, kan je secure boot moeilijk doen natuurlijk.

De enige reden van die handtekening is zoals hierboven gezegd is: een soort 'kwaliteitscertificaat' waarmee kan nagekeken worden of hetgeen opgestart wordt, effectief hetgeen is wat het zegt dat het is om te vermijden dat er vuiligheid ingeladen wordt samen met Windows.

Los daarvan: dat de FSF eens stopt met blèten.
- Ten eerste, er is nog niks gebeurd, er is niks toegezet of wat dan ook.
-Ten tweede, nonkel Pol die een OEM PC koopt in de Fnac gaat meestal geen Ubuntu installeren. Ja vrijheid van keuze bla bla bla, dat zeggen die mannen al 20 jaar, werkelijkheid is dat 99% van de gebruikers geen Linux wil op zijn desktop en die overige 1% wel omwegen vindt om het er toch op te installeren. En dat brengt ons bij:
- Ten derde, als nonkel Pol dan toch per sé Ubuntu wil en zijn nerdneefje belt, kan dat nerdneefje als een grote meneer gewoon de stock BIOS - excuseer: stock UEFI - flashen van de moederbordfabrikant en de OEM BIOS flashen die wss alle features - en dus ook het uitschakelen van secure boot - enablet.
In welke zin is dit backfire voor windows?
Zij hebben liever een illegale windows gebruiker dan een linux gebruiker (allebei nul inkomsten maar bij illegale windows gebruikers stijgt wel hun marktaandeel en mogelijke verkoop van windows software zoals office) dus voor hen is het zowiezo een stap vooruit

[Reactie gewijzigd door varkenspester op 18 oktober 2011 17:05]

altijd weer lache die enorm slimme opmerkingen van je....

Als je nou 's ff iets opzoekt ipv je onderbuik laat spreken....

[Reactie gewijzigd door IoorLTD op 18 oktober 2011 19:41]

Als jij nou even kritisch bent over je bronnen.

Dat zijn gebruikersgegevens van de W3Schools-site. Waar IT'ers naar toe gaan. Het feit dat zelfs 80% van alle nerds en IT'ers blijkbaar nog steeds onder Windows werken en slechts 5% van de IT'ers Linux gebruikt, zegt genoeg over het belang van Linux op de desktop.

Ohja. Al eens gezien hoe dichtgetimmerd W7 is? Je moet al serieus wat zoeken om W7 'wit te wassen' hoor. Deze extra beveiliging gaat daar niet veel aan veranderen.
En de meeste mensen kopen trouwens een laptop met een legale W7 preinstalled en daar doen ze het mee tot die laptop de geest geeft. En doen in hun broek als er één popupje verschijnt met 'We weten dat je Windows illegaal is'.

[Reactie gewijzigd door Bauknecht op 19 oktober 2011 10:12]

Als jij nou even kritisch bent over je bronnen.
...als jij nu 's aantoont wat er mis zou zijn met die bron......
Dat zijn gebruikersgegevens van de W3Schools-site. Waar IT'ers naar toe gaan. Het feit dat zelfs 80% van alle nerds en IT'ers blijkbaar nog steeds onder Windows werken en slechts 5% van de IT'ers Linux gebruikt, zegt genoeg over het belang van Linux op de desktop.
Leuk zelfverzonnen verhaaltje, maar wat heeft dat met de echte cijfers te maken?
Ohja. Al eens gezien hoe dichtgetimmerd W7 is? Je moet al serieus wat zoeken om W7 'wit te wassen' hoor. Deze extra beveiliging gaat daar niet veel aan veranderen.
En de meeste mensen kopen trouwens een laptop met een legale W7 preinstalled en daar doen ze het mee tot die laptop de geest geeft. En doen in hun broek als er één popupje verschijnt met 'We weten dat je Windows illegaal is'.
uh..ik weet niet waarop of op wie je reageerd, maar lees het nog is, en hopelijk kom je ook tot de conclusie dat je tekst kant nog wal raakt als reactie op mijn reactie.... 8)7

[Reactie gewijzigd door IoorLTD op 21 oktober 2011 13:00]

Altijd weer lachen dit soort opmerkingen, die horen we nu al een decennium bij de komst van iedere nieuwe Windows versie zonder dat het aandeel van Linux op de desktop ook maar iets toeneemt.
het punt is duidelijk en zit wat in. gebruikers van een illegale windows geven inderdaad een kans dat er een product voor windows later gekocht word (dat hoeft niet eens van microsoft perse te zijn, ook niet microsoft spullen die gekocht worden heeft een effect omdat het voor windows gemaakt is en dus de meest gangbare os voor gebruikers is). dit betekend niet dat de computer industrie niet zou toenemen en dus ook voor linux.
als er geen nieuwe gebruikers meer bij komen zou dat inderdaad een merkbare effect hebben voor linux.

daarnaast denk ik dat het een backfire kan zijn omdat er ook bewuste gebruikers zijn die van te voren al weten om zo een computer niet te kopen met deze limitatie (denk aan doorverkopen of de mogelijkheid om later iets anders to installeren). tot hoeverre dat echt een impact heeft weet ik niet, omdat microsoft een monopolie heeft en je dus niet veel keus heb. de normale/leek zal toch wel zo een computer kopen (ik weet niet of dat veel is vergeleken met de mensen die wat verstand ervan hebben)

ik las eerder over dat de restrictie uitgeschakeld kan worden en later lees ik dat die functie er misschien uitgehaald word in nieuwe bios-sezes (biossen?). daar kan je ook weer aan twijfelen of dat geen verlies aan klanten veroorzaakt (en of het een impact heeft door de monopolie).

en nog een niets bevestigende persoonlijke situatie (omdat ik op google niets meer van terug kan vinden) :
ik heb ooit snel een Acer laptop moeten herinstalleren. ik pakte windows 7 ultimate (voorheen stond er windows 7 home edition op). de installatie ging goed maar toen voor de eerste keer werd opgestart werkte het gewoon niet (ik weet niet meer welke melding het was maar de melding werd al gegeven voordat het windows startup scherm weergegeven werd). toen ik in de bios keek stond er duidelijk iets over windows "windows home en premium geloof ik). toen ik erna windows premium installeerde was er niets aan de hand.... wat ik hiermee wil zeggen is, bestaat die limiet niet al langer? het is best een tijd geleden al. en nee het was geen sata probleem of iets.

dit is mijn mening. natuurlijk kan het niet correct zijn, ik doe een poging en leer nog steeds.
Er is slechts één oplossing, een PC eisen met Linux of FreeDOS er op (FreeBSD of andere vrij OSsen zijn helemaal niet beschikbaar) en als je toch Windows er op wilt, al dan niet dual-boot, die los kopen en dan meteen de Business of Ultimate versie.

Ik doe trouwens niet aan dual-boot, bij mij is het altijd triple of quadruple.
Vroeger had ik W98 met daarnaast Debian, BeOS en RedHat 9, daarna XP met Ubuntu en BeOS, en de laatste desktop draaide W2K, Edubuntu, BeOS en WattOS.

Het volgende systeem zal een Ubuntu-derivaat met LXDE, Debian met LXDE of XFCE, Arch of Gentoo draaien of van deze een lightweight derivaat, en daarnaast mogelijk FreeBSD, Debian/kFreeBSD of een OpenSolaris-Fork.
De meeste mensen die OEM desktops kopen zetten daar geen Linux op. Mensen die met Linux bezig zijn bouwen hun computer vaak zelf. Ik zie er niet zoveel problemen mee.
Met desktops is het probleem idd minder groot, maar met laptops is het wel vervelend. Bij de grote jongens kun je nog niet een laptop kopen zonder OS.
Laat staan ff in elkaar zetten.
Zolang ze dit niet ook willen inzetten bij Windows server althans... En sowieso is Linux(Android) ook al aardig populair/relevant bij bijvoorbeeld tablets.
Tja, je kunt het ook anders zien, secureboot is juist een goede zaak om te zorgen dat je systeem nog veiliger is. Ik ga er sowieso van uit dat er geen fabrikant zal zijn die het niet mogelijk zal laten zijn om dit uit te zetten, hooguit de Apple/Sony bedrijven, en zoals altijd, je hebt dan alsnog de keuze om een ander merk te kopen waarbij dit wel kan.
Ik ben blij dat ze dit doen. Stel de worst case scenario wordt waarheid: je mag alleen Windows op je pc draaien. Dat zou voor mij een reden zijn om Windows 8 lekker links te laten liggen.

De server van die petitie is voor mij totaal onbereikbaar. Populaire link? :P

Edit: www.fsf.org/campaigns/tal-patents/petition

[Reactie gewijzigd door Siempie op 18 oktober 2011 14:41]

Veel te populair, ik kom er hier ook niet op. Dan maar even in de to-do lijst zetten....
Zelf vermoed ik dat dit een opstapje is naar een beveiligde "keten" van luispreker en beeldscherm tot het af te spelen bestand:
- secure boot via certificaat
- secure OS via certificaat
- hdcp kabels met encryptie voor beeld en geluid
- secure / van certificaat / rechten voorzien af te spelen bestand
- mis ik nog wat?

Als dat zo is, kan er wellicht hiermee voor gezorgd worden dat beschermd materiaal alleen daar kan worden weergegeven, waar de maker van het afgespeelde bestand toestemming voor heeft gegeven.
Dan wordt het verkopen van dat soort bestanden eindelijk zinvol, als dit lukt.
Alles moet uiteindelijk door een analog hole, de plek waar het superbeveiligde digitale prutje omgezet wordt in een voor ons begrijpbaar formaat. Bij een beeldscherm is dat alles achter de HDCP-chip (de kabel naar het panel bijv.). Alles is op die manier alsnog op te nemen, te kopiëren en te descramblen.....

[Reactie gewijzigd door donny007 op 18 oktober 2011 16:26]

Ja, je kunt dan nog wel een analoge opname maken van je beeldscherm. Maar... in een film kunnen weer onuitwisbare watermerken worden verwerkt die een mechanisme in de camera of video-player triggeren. Gebeurt nu al in kopieermachines met bankbiljetten, heb ik me wel eens laten vertellen.

Niet dat ik erop zit te wachten, overigens, laat dat ff duidelijk zijn.
En ik wil ook niemand tips geven, maar bovenstaande ideeen zijn niet nieuw ofzo.
Gebeurt nu al in kopieermachines met bankbiljetten, heb ik me wel eens laten vertellen.
Alstu:

http://en.wikipedia.org/wiki/EURion_constellation
Ik ken het wel maar is soms verselijk irritant.
Want toen ik voor een actie een 25 euro biljet wou fotoshoppen.
En dus een 20 euro biljet wou aanpassen. Kon dit niet
Ha, dan neem je een foto of pak je een andere driver voor je scanner.
Voordat zulke systemen werken moeten wel ALLE fabrikanten van opnamehardware detectiefuncties implementeren, er hoeft maar één camera/kopieermachinefabrikant te zijn die dat niet doet, en het hele systeem is lek.

Wie ziet er nou op een camera te wachten die bepaald wat er wel of niet gefilmd mag worden?

[Reactie gewijzigd door donny007 op 18 oktober 2011 20:34]

Wat een onzin die petitie. De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit. De lui achter Red-Hat hebben dit zelf geconcludeerd: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet Verder is het ook niet MS die secure boot zodadelijk gaat implementeren. MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.

Tot nu toe is secure boot niet meer dan een optie (zie link boven) die de binaries die gebruikt worden bij opstarten controleert om zo low-level attacks tegen te houden. Dit kan ondersteund worden door veel meer OS makers dan MS. Het enige probleem bij Linux is dat er niet 1 duidelijk orgaan is die een certificaat aan kan vragen om wat binaries te signen, hoewel voor grote distributies als Ubuntu dit geen probleem zal zijn. Ook zal het lastig zijn voor mensen die zelf hun kernel compilen (hoeveel zijn dat er). Maar voor dit soort 'probleem' gevallen zal er mogelijk slechts maar een melding verschijnen met 'could not boot securely' (zie tekst attempt secure boot') en verder kan de optie gewoon uit.

Wat de FSF nu doet is precies waar ze MS al jaren van betichten: paniek zaaien en de ander zwart maken. Juist terwijl MS steeds opener is gaan staan ten opzichte van Open-Source software. Misschien voelen ze zich obsolete en bedreigt omdat ze niet meer 1 grote vijand hebben.

Ja ik maak hier een paar assumpties maar die zijn een stuk minder wild dan die van de FSF die denkt dat MS zomaar even alle OS bouwers behalve zichzelf de wereld uit gaat helpen, I mean wtf!
Opzich ben ik met je eens dat Microsoft hier niet noodzakelijk de grote boe-man hoeft te zijn. Maar waar ik me druk om maak is dat OEM's als DELL zo iets gaan hebben van geen andere bootmogelijkheden = goedkoper in ondersteuning + mogelijkheid tot verkoop van duurdere gespecialiseerde systemen waar het wel op kan.

Die argumenten mogen misschien onzinnig zijn maar dat heeft bedrijven nog nooit eerder weerhouden van het nemen van besluiten. Vooral als er toch nagenoeg geen pijn tegenover staat. Liever nu herrie maken en ze dwingen toe te zeggen dat 'open' (niet niet secure booten, want dan winnen ze de beeldvorming en doen ze het later als nog) altijd kan als je wil.
geen andere bootmogelijkheden = goedkoper in ondersteuning
Volgens mij is er geen enkele OEM die je kunt bellen als je Linux (probeert) te installeren. Ze zeggen dan allemaal dat ze alleen support voor Windows ondersteunen dus dat argument klopt niet.
Daarom is het dus goedkoper, ze hoeven geen mensen in dienst te nemen die meer beheersen dan hun gamma in combinatie met Windows.
Vriend van me werkt voor een call center van een grote OEM. Het gebeurt regelmatig dat ze worden gebeld door mensen die (perongeluk) Linux hebben geinstalleerd. Hoewel het niet officieel wordt ondersteund moet je daar toch tijd aan spenderen.

*met perongeluk bedoel ik zaken als zoon die livedisk in cd laat zitten en ouders die dan in Linux desktop terecht komen. Elke keer als een PC blad een livedisk mee levert regent het dat soort klachten. Ik ben overigens van mening dat dit moet kunnen en OEM's ten alle tijden de mogelijkheid moeten bieden dit via de BIO eenvoudig mogelijk te maken maar ik begrijp de verleiding
Er is helemaal niets mis mee wanneer OEM's dat zouden doen. Immers, het gros koopt hun systeem bij een dergelijke OEM, omdat ze ondersteuning krijgen. Dergelijke klanten zijn er veel meer bij gebaat dat secure-boot allerlei low-level attacks tegen houdt, dan dat zij geen multi-boot kunnen doen... want dat deden ze toch niet!
Maar wat als ik op mijn laptopje GNU/Linux wil draaien. Dan gaat dat dus niet op. Want je kunt niet ff een laptopje in elkaar zetten.
Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot
Zo heeft Microsoft destijds ook ontkend dat SP3 voor Windows NT4.0 netwerken via Novell nagenoeg onmogelijk maakte. Pas na veel gedonder kwam er een week later een patch uit.
Zo heeft Microsoft ook ontkend dat ze Netscape geprobeerd hebben te weren van de desktop. Tot ze jaren later veroordeeld werden tot het betalen van een boete...

Sorry, maar dat soort verklaringen van Microsoft hecht ik geen enkele waarde aan. Microsoft is een commercieel bedrijf, en net als ieder goed werkende commerciële organisatie zullen ze hun concurrentie het leven zuur maken waar ze maar kunnen.
Is het niet tekenend dat al je voorbeelden van meer dan 10 jaar terug zijn?
Is het niet tekenend dat al je voorbeelden van meer dan 10 jaar terug zijn?
en is het niet aan te bevelen dat we dat zo willen houden.?
Daar hebben we dan ook wetgeving voor. Die hadden we toen blijkbaar ook al en ook toen werkte die wetgeving. Your point?
Dat het eerst (gruwelijk) fout moet gaan en een bepaald gewicht in de schaal gelegd moet worden en men dan pas ''bereid" is om het een en ander aan te passen.....

Waarom deze nog al verwerpelijke manier van doen ???


Een vos verliest wel zijn haren maar niet zijn streken..........
Daar hebben we dan ook wetgeving voor. Die hadden we toen blijkbaar ook al en ook toen werkte die wetgeving. Your point?
Lees jij geen nieuws ofzo? MS heeft ondanks jouw mooie wetgeving er gewoon schijt aan gehad, en heeft het nog steeds als je de geschiedenis van jouw mooie MS erbij haalt.....

M.a.w...your point?

[Reactie gewijzigd door IoorLTD op 18 oktober 2011 19:47]

Wat zijn die bedrijven ermee opgeschoten, dat ze jaren later "hun gelijk" hebben gehaald ?
Ach ja, niets! Niets meer dan ellende, failliete bedrijven etc.
Wat een onzin die petitie. De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit.
Microsoft stuurde ook geen locatie gegevens.

nieuws: 'Windows Phone verstuurt toch ongewild locatiedata'

Of Microsoft integer is of niet, het is het beste om direct actie te ondernemen om te voorkomen dat secureboot wel misbruikt gaat worden. Achteraf zijn gedane zaken heel moeilijk terug te draaien.

Ik sta helemaal achter deze actie.
Welke al gefixt is in de Mango update.

Kortom, zaak gesloten.
Maar het vertrouwen is daarmee niet terug.
Oef, vol met fanboys van links en rechts, draadjes als deze.
Een petitie van de FSF met als dreiging dat ze hun aanhang zullen adviseren geen Microsoft Windows te installeren noem jij directe actie? *proest*

Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.
Een petitie van de FSF met als dreiging dat ze hun aanhang zullen adviseren geen Microsoft Windows te installeren noem jij directe actie? *proest*
Als je post had gelezen dan had je geweten dat ze niet oproepen tot het niet installeren van Windows.
De FSF, die dit scenario restricted boot noemt, roept dan ook het publiek op om een petitie te tekenen. Daarin worden computerfabrikanten opgeroepen om in elke uefi-implementatie de mogelijkheid te bieden om het secure boot-mechanisme uit te schakelen of om een alternatieve methode te bieden waarmee niet-Windows-besturingssystemen gestart kunnen worden. Mochten hardwarefabrikanten dit nalaten, dan stelt de FSF dat zij hun volgers zullen adviseren om dergelijke pc's en laptops niet te kopen.
Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.
Het zullen niet alleen Linux gebruikers zijn die deze petitie ondertekenen.
Er zullen ook Windows gebruikers zijn die vinden dat zij de baas van hun eigen hardware zijn deze petitie ondertekenen. Secureboot kan mogelijk je keuzevrijheid beperken.

[Reactie gewijzigd door worldcitizen op 18 oktober 2011 19:16]

Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.
Hier is ie dan. Hallo! ;) (alleen om te gamen dan)

[Reactie gewijzigd door tuXzero op 18 oktober 2011 20:39]

Nee, dat hebben ze ook niet gezegd, alleen is het wel toevallig een mooie fucking bijzaak voor Microsoft!
Recht uit het artikel: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet ze zeggen zelfs expliciet dat het niet zo is.
Nee, het maakt het niet onmogelijk, alleen moet er in het EFI wat verandert worden. De gemiddelde gebruiker zou dat niet lukken.
OMG wat een fan-boy argument.

Waar staat dat de petitie tegen MS is? Het is tegen secureboot in de huidige vorm...
Ja, waar waarschijnlijk lang niet zo'n ophef over zou zijn als MS hier met Win 8 geen gebruik van zou willen maken.
Ja inderdaad want dan staat het waarschijnlijk niet standaard aan. Dat is dan ook de grootste veroorzaker van de angst want OEMs kijken meestal niet verder dan wat ze zelf leveren en die zullen dus ook weinig zien in een optie in de BIOS (UEFI) om secureboot uit te schakelen.

Zoals hier boven al vermeld is dat geen fout van MS (wellicht wel aangewakkerd door MS), maar het ligt bij de OEM, niet bij MS.
wtf?

Zoals je weet gebruikt MS een certificeringsprogramma voor "capable/compatible pc's". In dit certificeringsprogramma wil men secure boot verplicht stellen.

Dat wil uiteraard niet zeggen dat ze andere OSen buiten sluiten, maar hiermee zou het wel kunnen omdat praktisch alle pc's Windows-certified zijn.....
Het is juist geen onzin. Petities zijn nooit onzin zolang er mensen zijn die ze tekenen. En dat heb ik zojuist gedaan.
MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.
Denk je dat echt?
Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot...
Moet mij dat gerust stellen? Ongewenst gedrag wordt meestal niet toegegeven. Net als de intentie van veel bedrijven. Of geloof jij dat hun hoogste doel de klant bedienen is, als ze dat beweren?

Kom op, kapitalisme werkt omdat mensen alleen voor zichzelf werken. Het systeem gebruikt dat om de maatschappij in zijn geheel daarvan te laten profiteren. Maar maak je a.u.b. niet wijs dat bedrijven het voor jou doen. Uitzonderingen daargelaten.

Microsoft heeft een reputatie, kun je het mensen kwalijk nemen dat ze een veelpleger niet vertrouwen?
De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit.
Als ze dat willen zullen ze dat zeker niet zeggen en ze zullen het aan de OEM's en de bios UEFI-makers overlaten om het kunnen uitzetten van die optie al dan niet te blokkeren. En als Microsoft dat doet met heel stille hints aan de makers, dan doet Microsoft het niet zelf, en kunnen ze die ook niet aanklagen. Bewijzen ervoor dat Microsoft dat oplegt zijn er dan immers niet. Met de illegale kortingen is dat al moeilijk maar met dit is het helemaal niet aan te tonen.
De lui achter Red-Hat hebben dit zelf geconcludeerd: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet
Nee, bij Red Hat hebben ze het zich ook afgevraagd en een Microsoft medewerker heeft vervolgens ontkent dat dit het geval zou zijn. Dat is echter een standpunt dat
- niet officiëel is (al is het natuurlijk voor Microsoft ook niet interessant als Windows niet meer geïnstalleerd kan worden op systemen zonder secire boot, in ieder geval in een overgangsperiode. Vanaf Win8sp1 of Win9, als inmiddels voldoende fabrikanten overgegaan zijn op UEFI met secure-boot-optie kunnen ze dat altijd veranderen)
- Microsoft kan altijd, publiekelijk of onaangekondigd dat standpunt veranderen.
Verder is het ook niet MS die secure boot zodadelijk gaat implementeren. MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.
Nee, maar ze kunnen wel blokkeren dat Windows opstart als deze optie niet aanwezig is in het BiosUEFI of als deze aanwezig is maar uit is gezet.
Dat doen ze nu nog niet omdat de meeste consumenten-merken nog een bios hebben, geen UEFI en dus secureboot niet ondersteunen.
Tot nu toe is secure boot niet meer dan een optie (zie link boven) die de binaries die gebruikt worden bij opstarten controleert om zo low-level attacks tegen te houden. Dit kan ondersteund worden door veel meer OS makers dan MS.
Klopt, Apple kan dat ook, en Oracle Solaris (is immers geen FLOSS).

Bij linux distributies, ook de grote zoals Ubuntu, Red Hat en Suse zal het in strijd zijn met de GPL-licenties.
Het enige probleem bij Linux is dat er niet 1 duidelijk orgaan is die een certificaat aan kan vragen om wat binaries te signen, hoewel voor grote distributies als Ubuntu dit geen probleem zal zijn. Ook zal het lastig zijn voor mensen die zelf hun kernel compilen (hoeveel zijn dat er). Maar voor dit soort 'probleem' gevallen zal er mogelijk slechts maar een melding verschijnen met 'could not boot securely' (zie tekst attempt secure boot') en verder kan de optie gewoon uit.
Financiëel is het voor grote distributies misschien geen probleem, echter licentietechnisch dus wel. Je moet bij GPL-gelicentieerde software dan ook de signature meeleveren zodat de gebruiker zijn eigen binaries kan signeren. Daarmee is het stukje veiligheid gelijk weg want dan kunnen malware-makers dat ook met die signature.
Wat de FSF nu doet is precies waar ze MS al jaren van betichten: paniek zaaien en de ander zwart maken. Juist terwijl MS steeds opener is gaan staan ten opzichte van Open-Source software. Misschien voelen ze zich obsolete en bedreigt omdat ze niet meer 1 grote vijand hebben.
Één grote vijand hebben ze al heel lang niet, Apple wordt ook steeds geslotener en Oracle is zeker geen vriend.

Waat de FSF voor waarschuwd is iets dat zou kunnen gebeuren, als je de tekst leest blijkt dat ook. Ze beschuldigen nog niemand, ze waarschuwen er alleen voor.
Ja ik maak hier een paar assumpties maar die zijn een stuk minder wild dan die van de FSF die denkt dat MS zomaar even alle OS bouwers behalve zichzelf de wereld uit gaat helpen, I mean wtf!
Kijk daarmee geef je jezelf prijs: I mean wtf je maalt er niet om, zou het alleen maar fijn vinden als het inderdaad gebeurd. Dan ben je in één klap af van iedereen een FLOSS-OS gebruikt en dus komen die hier niet meer zeuren, er valt dan immers toch niets meer aan te veranderen.

[Reactie gewijzigd door BeosBeing op 19 oktober 2011 14:20]

Het zou geen reden moeten zijn om Windows links te laten liggen. Het zou de reden moeten zijn om die betreffende OEM die Secure Boot zo beveiligd dat je het niet uit kan zetten, links te laten liggen.

Microsoft verplicht nergens dat je het niet uit kan zetten in het bios. Alleen dat het aan staat voor het booten van Win8 op OEM's.
Ik denk dat het echte probleem daarin ligt dat Micorosoft het wellicht niet direct zal verbieden maar OEM verkopers dit gaan aanzetten in de EUFI waardoor mensen die een OEM Windows systeem kopen alsnog geen alternatief OS kunnen installeren.

Natuurlijk zal dit dan via de fabrikant dan wel zijn uit te schakelen maar deze extra horde zorgt wel weer voor minder makkelijk overstappen naar een alternatief OS.
Het daadwerkelijk verbieden van een alternatief OS via secure boot lijkt mij overigens in strijd met de wet.
Waarschijnlijk maakt het helemaal niet zoveel uit als de EUFI andere boot-managers dan die van Windows tegenhoud. De boot-manager van Windows ondersteunt ook het starten van andere besturingssystemen van uit een bestandje met wat bootsectors b.v. in boot.ini:
c:\Chain0="Apple Mac OS X x86"
Verwacht je niet dat de Windows bootloader niet ook gaat controleren of de software wel gesignd is? Anders heeft het hele idee verder geen nut, als de malware vervolgens een laag later zichzelf opstart.

En wat nou als ik helemaal geen Windows gekocht & geinstalleerd heb? Dan heb ik die bootmanager ook niet en zou met een niet uit te schakelen secureboot het dus onmogelijk zijn om een OS te booten. Ze gaan dan dus eigenlijk vereisen dat je Windows bij je moederbord/PC koopt.
Het is enkel een instelling die OEM's standaard moeten inschakelen. Als je geen windows hebt, heb je ook geen OEM pc waar die instelling is ingeschakeld.

Storm in een glas water allemaal...
Als je geen windows hebt, heb je ook geen OEM pc waar die instelling is ingeschakeld.
Want er zijn geen mensen die een OEM PC kopen en daar Linux opzetten? Er zijn zat mensen die een laptop kopen waar standaard Windows opstaat en daar dan Linux op zetten. Al die Ubuntu gebruikers hebben lang niet allemaal zelf hun PC gebouwd hoor.

En er zullen ook geen moederbordfabrikanten zijn die het aan gaan zetten omdat dan al hun moederborden dezelfde instelling hebben en dat makkelijker te produceren is, of omdat ze dan een 'Win8 certified' stickertje op de doos kunnen plakken?
Ik heb een OEM PC gekocht anders, met Windows erop. Nu staat er Ubuntu op. Ik ben echt niet de enige die het zo doet hoor.
Dat kan toch straks ook gewoon? Lees gewoon ff wat Microsoft zegt.
Die verplicht niets aan de OEM, behalve dat het standaard aan moet staan voor Windows 8. Nergens roepen ze dat je het niet uit mag zetten en er dan een ander OS op mag zetten.

Blokkeerd een OEM het uitzetten van de functie. Dan moet je die OEM gewoon links laten liggen en er geen pc/laptop kopen. En de OEM zal dit heus duidelijk aangeven omdat ze anders een claim aan hun broek krijgen.
En als practisch elke OEM dit doet?
Daar zit dus het gevaar!
Boot.ini is al een tijdje buiten gebruik. Er word nu een store(BCD) voor gebruikt. Die is ook wat lastiger aan te passen als boot.ini.

Geen idee of daar dan ook op gecontroleerd gaat worden maar het zou kunnen.
Je het gelijk, maar met BCD is het zelfs nog simpeler.
Voeg "NeoGrub.mbr" toe en je kunt van uit de Windows Boot Manager elk willekeurig besturing systeem starten.
Boot.ini is al een tijdje buiten gebruik. Er word nu een store(BCD) voor gebruikt. Die is ook wat lastiger aan te passen als boot.ini.
Met easyBCD gaat het appeltje-eitje, en nog meer mogelijkheden ook.
"Mochten hardwarefabrikanten dit nalaten, dan stelt de FSF dat zij hun volgers zullen adviseren om dergelijke pc's en laptops niet te kopen."
Voor de paar mensen die Linux gebruikt misschien leuk, maar voor de consument zal het helemaal niks uithalen, die kopen toch gewoon wat er in de winkel staat.
Waarschijnlijk door de onverwachte belangstelling is de site down, maar de petitie is te vinden op:

http://www.fsf.org/sb
En die ligt ook plat.

-- update--

schijnbaar hebben ze wat server capaciteit bijgeschakeld want nu doet hij het weer.

[Reactie gewijzigd door CrazyJoe op 18 oktober 2011 14:53]

niet bij mij...

Fijn dat er dus tekenen zijn van zoveel respons om de petitie te tekenen...
I'm in!
De site laadt erg slecht, maar als je vaak genoeg de pagina herlaadt, kom je er uiteindelijk wel.

Mocht je de petitie ondertekenen, hoef je bij een foutmelding niet nog een keer te versturen. Dat heb ik dus een keer of vijf gedaan, waarna ik een halfuurtje later keurig vijf mails binnenkreeg.
De site laadt erg slecht, maar als je vaak genoeg de pagina herlaadt, kom je er uiteindelijk wel.
Hmm... dat lijkt me bij een overbelaste server geen goed advies...
Gewoon even wachten, en een kwartiertje (of uurtje) later nog een keer proberen. Van al die refresh-acties die die server moet verwerken wordt 'ie niet sneller in ieder geval..
Ik zie op zich het probleem niet zo. Als Microsoft zegt dat het geen probleem gaat zijn, waarom zou je daar dan aan twijfelen. Begrijp me niet verkeerd, ik gebruik ook liever linux dan windows, maar ik geloof niet dat microsoft hierover zal liegen. Als ze dat toch blijken te doen, voorspel ik een boel schreeuwende linuxgebruikers op de stoep in redmond.
Ik denk dat je de issues niet helemaal begrijpt. Microsoft stelt dat het fabrikanten niet verboden is om een mogelijkheid in te bouwen om restricted boot uit te zetten.

Ze stellen echter ook niet de eis dat die optie er in moet zitten. Fabrikanten zijn dus vrij om te kiezen. Het is goedkoper om de feature niet te maken, dus is de angst dat veel fabrikanten dit links zullen laten liggen.
Ik denk dat je de issues niet helemaal begrijpt
Wat niet zo vreemd is als je de inleiding leest:
De vrees is dat computerfabrikanten onder druk van Microsoft andere OS'en niet laten opstarten.
Dat OEMs eventueel geen optie inbouwen lijkt me een gegronde angst. Wat dan wel weer pure FUD is is dat er weer gezegd moet worden dat het onder druk van MS uit gebeurt. Een dergelijke stelling is op niets gebaseerd en hadden ze beter achterwege kunnen laten. Het is voor deze petitie ook helemaal niet relevant of MS eventueel druk uit zou oefenen of niet. Want ook zonder die druk kun je de optie niet hebben om het uit te zetten.

[Reactie gewijzigd door .oisyn op 18 oktober 2011 16:34]

maar het probleem is als ze het inderdaad doen, is het al te laat..
en erger nog krijgen we "uefi" hackers met waarschijnlijk tchernobyl-achtige virii om te bevestigen dat een secure boot zo ontzettend nodig is.....

ik heb liever een switch op me mobo die de eeprom in read only zet.
als t dan toch beveiligd moet zijn, ipv " new super 'secure-boot' sponsored by MS, small prints "only runs windows... even though we promised""
als Microsoft dit wel doorvoerd, zullen ze ontzettend veel meer verkopen... als iig de EU t door de vingers ziet. Ze hebben er dus wel heeeeeeel veeeeeeel baat bij om een *n*x lockout door te zetten...
new super 'secure-boot' sponsored by MS, small prints "only runs windows... even though we promised""
Een beetje aanstellerig is het wel, kijk eens naar de lijst bedrijven in het uefi forum, ik zie daar ook Apple staan die al jaar en dag EFI aan bied, en die heeft momenteel het meest restrictieve bootproces. Ik zou mij eerder zorgen maken dat je geen linux meer op een Apple kunt draaien. Plus je staat helemaal vrij geen OEM PC te kopen.

Ik zie niet in waarom er geen "Uit" optie zal komen behalve luie OEMs.
Omdat het wel het domste is wat Microsoft kan doen om toe te geven dat ze het onmogelijk willen maken om Linux te booten.

Microsoft bekijkt het puur vanuit de technische hoek en daar klopt hun uitleg. Het is helemaal niet hun probleem dat moederbordfabrikanten waarschijnlijk alleen maar de Microsoft-keys gaan integreren. Zij dwingen alleen maar af dat secure boot aanstaat, en met welke keys maakt Microsoft niet uit. Het resultaat is echter dat de Linux-key er niet bij komt, simpelweg omdat die er niet is.

Het punt van open source is namelijk dat je het zelf aan moet kunnen passen, en met secure boot moet je je code dan signen wil je het uitvoeren. Dat is technisch geen probleem, maar met welke key moet je dat doen? Dan zijn er 2 opties: of je geeft de private key van Linux vrij (maar dan gaat natuurlijk niemand die in het moederbord-firmware zetten omdat je zo de weg vrijmaakt voor malware) of je laat de gebruiker zelf zijn keys invoeren (maar dat is waarschijnlijk te ingewikkeld voor 99% van de gebruikers en wordt dus ook niet geimplementeerd).
Kortom, dezelfde 1% die Linux gebruikt op de desktop zal ook wel in staat zijn om zijn eigen key in te voeren. Geen probleem dus.
Dan moeten de OEMs die mogelijkheid wel maken, en waarom zouden zij die mogelijkheid maken als toch bijna niemand het gebruikt?
Dan moeten de OEMs die mogelijkheid wel maken, en waarom zouden zij die mogelijkheid maken als toch bijna niemand het gebruikt?
Omdat het een hele kleine moeite is om een BIOS optie in te bouwen. Voor zover ik het heb kunnen volgen hebben veel BIOS makers al gezegd dit te zullen doen. Allemaal nog voorbarig dus.
Als OEM wil je alleen de absoluut noodzakelijke opties in de bios hebben. Iedere extra optie kan potentieel problemen veroorzaken als een gebruiker er mee gaat spelen. En meer problemen betekent meer calls voor de helpdesk.

Bovendien zijn de mensen die deze optie willen vaak ook de mensen die de standaard windows licentie willen retouneren, wat alleen maar lastig voor OEM's is. Dus als die mensen geen klant meer willen worden. perfect.
Die optie komt er niet omdat sommige gebruikers, met name Amerikaanse, zonder dat ze weten wat ze aan het doen zijn deze zullen aanpassen en vervolgens de helpdesk gaan bellen omdat hun PC het niet doet en ze ondersteuning eisen.

Dat kost de OEM dus geld.
En dat werkt dus de groei van Linux tegen... Langzaamaan zie ik in mijn omgeving steeds meer mensen die eens een keer Ubuntu proberen en daar best enthousiast over zijn. Lang niet allemaal tweakers. Op het moment dat dergelijke aanpassingen in UEFI nodig zijn zullen veel daarvan ook weer afhaken.
Dus dan benader je Canonical en verzoek je ze om hun key in het UEFI te laten zetten.
En dat zou dus helemaal niet nodig moeten zijn. De gebruiker moet bepalen wat wel of niet draait op zijn PC, niet de hardwareboeren, Microsoft of wat voor ander bedrijf dan ook...

Dan zie ik eerder nog iets in een blacklist systeem dan dit whitelist systeem.
De meeste OEM's zetten booten vanaf optische drives ook uit, dat is net zo beperkend als een Secure boot setting aan of uit zetten.
Met het verschil dat dat alle OS'en tegenwerkt. Ook om Windows te installeren zal je moeten booten van een installatiemedium waarbij je dus tegen dezelfde problemen oploopt.

Bovendien kun je over het algemeen door op F12 oid te drukken tijdens het booten aangeven van iets anders dan de harde schijf te willen starten.

Komt er ook een optie die bij het booten aangeeft: 'hee, dit OS ken ik niet; weet je zeker dat je dit wilt opstarten'? En die het antwoord op die vraag vervolgens ook onthoudt? Want in dat geval is er niet zoveel aan de hand natuurlijk.
Als Microsoft zegt dat het geen probleem gaat zijn, waarom zou je daar dan aan twijfelen.
Goede vraag, ik denk echter dat MS dit met alle beste bedoelingen kan laten doorvoeren, maar het door 'luie' OEMs alsnog mis kan gaan.

ACPI is hier een best aardig voorbeeld van, het was bedoeld als een OS-neutrale interface voor power management en het initializeren van apparaten, maar er zitten zoveel Windows-isms in de implementaties van veel OEMs in dat Linux genoodzaakt wordt zich voor te doen als Windows en zich ook zo te gedragen.

OEMs hebben gewoon geen interesse om dit soort dingen werkend te maken voor het kleine percentage dat niet Windows draait. Server en 'enhousiast' hardware zal het vast wel toe staan (om die secure mode uit te zetten), maar ik denk dat het best wel eens zo kan gaan lopen dat kant en klare PCs waar Windows 8 standaard op zit het je erg moeilijk gaan maken om er eventjes Ubuntu op te zetten ofzo.
ik ben niet zozeer tegen secure boot. het kan voor veel mensen hele lastige problemen voorkomen.
maar de optie om het uit te zetten zou verplicht moeten zijn.
MS heeft wel aangegeven dat het geen problemen heeft met systeem waarbij de feature uit te zetten is, maar dat wil natuurlijk nog niet zeggen dat alle systeembouwers dat ook toe gaan staan... en gezien de zeer beperkte mogelijkheden van de standaard OEM bios denk ik dat enige bezorgdheid op zijn plaats is.
Dit artikel is niet geheel eerlijk over de werkelijke daad van microsoft.
Zei willen dit als eis toevoegen bij OEM systemen.
Dit raakt dus eigenlijk geen enkele tweaker, aangezien iedereen zijn eigen OS het liefst instaleerd.

Paniek om niks dus..... :)
Er zijn zat mensen die op een OEM systeem hun OS opnieuw willen installeren. Bijvoorbeeld om van al die troep af te komen die <fabrikant> standaard meelevert.

Of mensen die niet zelf hun PC bouwen maar wel Linux willen gebruiken, bijvoorbeeld op een laptop.

[Reactie gewijzigd door hostname op 18 oktober 2011 15:18]

Dan moet je als je secure boot niet kunt uitschakelen wel niet gaan klagen bij Microsoft, maar bij de OEM die te lui is om een fatsoenlijke implementatie hiervan te voorzien :) .
Is het een OEM eis of alleen een eis voor het stikkertje 'designed for Windows 8'?
En zelfs al zou ik een OEM systeem aanschaffen, dan heb ik nog steeds het recht om een ander OS te installeren. Het is zelfs mogelijk om geld terug te krijgen van Microsoft wanneer je de Windows installatie niet wilt.

Daarnaast is een laptop altijd een OEM systeem, dus dat zou betekenen dat zelfs tweakers geen laptops meer kunnen gebruiken vanwege een stom iets als een 'secure boot restriction'...
Beetje een kant van het verhaal. Microsoft biedt de mogelijkheid aan OEMs die zelf weer mogen kiezen of ze het gebruiken en of het uit te schakelen is.

Niet een OEM zal zo dom zijn om zijn secure boot te forceren.
Niet een OEM zal zo dom zijn om zijn secure boot te forceren.
Een OEM die Windows PC's verkoopt heeft meer belang om de gebruikers van hun product te beschermen dan om hun PC te laten ombouwen naar een linux PC.
Als de beveiligde boot bijvoorbeeld het aantal support verzoeken zal doen afnemen is het voor een OEM niet dom maar eerder slim om de secure boot te forceren.

[Reactie gewijzigd door hAl op 18 oktober 2011 14:55]

Dan nog zou het niet onlogisch zijn om ergens verstopt (bijvoorbeeld d.m.v. een jumper ergens, een undocumented shortcut of een BIOS update tool ofzo) toch de mogelijkheid in te voegen om dit te overriden. Want je wilt toch zoveel mogelijk potentiele klanten aanspreken. Daar vallen ook mensen onder die iets anders dan Windows willen draaien. Je kunt dan een uitdrukkelijke optie toevoegen dat de (software)support vervalt bij gebruik van die optie, bijvoorbeeld.
Pardon, ze hebben er alle belang bij dat je een ander OS erop zet.
De OEM geeft alleen support op het meegeleverde OS. Zet jij er een ander OS op dan zijn ze gelijk van hun support af.

Daarnaast wil een OEM zoveel mogelijk verkopen. Op het moment dat je secure boot niet uit kunt zetten in hun bios, zal de hele linux community die OEM links laten liggen en dat zien ze dan wel weer in hun verkopen. Daarnaast gaat er vervolgens mond-op-mond van tweakers naar niet tweakers, dat je dat merk beter niet kan kopen, waardoor ze nog minder verkopen....
Microsoft vereist voor PCs om aan het 'Windows 8 certified' programma o.i.d. mee te mogen doen dat ze secure boot aan hebben staan. Aangezien dat certificaat goed verkoopt zullen veel OEMs het dus wel aanzetten.
klopt, maar dat certificaat eist niet dat het niet uit te zetten is.
van de andere kant dwingt het OEMs ook niet om uit zetten mogelijk te maken.
van de andere kant dwingt het OEMs ook niet om uit zetten mogelijk te maken
Dat zou ook een onredelijke eis zijn die de keuze vrijheid van OEMs zou aantasten.
De naam 'secure boot' is eigenlijk ongelukkig gekozen. 'Trusted boot' zou beter zijn, iets dat al kan met de Trusted Platform Module met normale BIOS en met UEFI implementaties.

De TPM werd na introductie in een slecht daglicht gezet door de techniek die Microsoft erop wilde implementeren genaamd Palladium. Veel tegenstanders hadden toen niet door dat een TPM altijd af fabriek uitgeschakeld is op een PC (tenzij anders in bulk besteld, zoals grote organisaties kunnen doen voor hun eigen computers) en altijd door de gebruiker is uit te schakelen vanuit het BIOS. Je bent niet verplicht om het te gebruiken. Overigens is de standaard volledig open en kan je het bijvoorbeeld ook gebruiken om Linux vertrouwd op te starten of om je eigen cryptografische sleutels te koppelen aan je computer.

Wat het nieuwsartikel presenteert lijkt een voorzetsel te zijn van Microsoft Next-Generation Secure Computing Base (voormalig Palladium). De belangrijkste vragen zijn nu of 'secure boot' verplicht zal worden voor toekomstige versies van Windows (in ieder geval wordt dat het niet voor Windows 8 ) en hoe de hardwarefabrikanten hiermee om zullen gaan.

Volgens mij zal het allemaal wel loslopen. Waar de FSF bang voor is, is dat secure boot op kant-en-klare systemen niet uit te schakelen is, waardoor een overschakeling naar bijvoorbeeld Linux niet meer mogelijk zou zijn. Ik denk niet dat computerfabrikanten deze optie gaan weglaten. Tijdens een herinstallatie van Windows kan bijvoorbeeld niet van secure boot gebruik gemaakt worden. Wel is het goed dat de FSF dit onder de aandacht brengt. Dat houdt iedereen scherp en alert. ;)

Ik had eigenlijk liever gezien dat Microsoft met een de-facto standaard Cryptographic Service Provider zou komen om gebruik te maken van de functionaliteit van de TPM. Nu is dit afhankelijk van implementaties van derden, omdat een standaard CSP ontbreekt. Voorbeelden hiervan zijn Wave, maar ook computerfabrikanten zoals Lenovo met haar eigen Client Security Solution.

Het enige dat Microsoft nu aanbiedt is BitLocker ondersteuning (vertrouwd opstarten en volledige encryptie van de HDD). Voor ander gebruik is een CSP nodig, met als het kan daarbij een PKCS #11 library om op een open manier software van derden er gebruik van te laten maken.

Ik denk overigens dat vertrouwd opstarten belangrijk zal worden in de nabije toekomst. UEFI brengt een gestandaardiseerde manier om het BIOS te bewerken, waarvan malware ook misbruik van kan (en zal) maken. Detectie en preventie hiertegen is welkom om herhaling van de verspreiding van BIOS-gebaseerde virussen (vooral bekend uit de jaren 80 en 90) te voorkomen.

[Reactie gewijzigd door The Zep Man op 18 oktober 2011 15:22]

Er zitten nogal wat haken en ogen aan TPM en TPM is nooit een succes geworden. Of iig niet in de consumenten wereld. Verder is me na veel lezen nog steeds niet duidelijk of TPM wel dezelfde beveiling bied als secure boot.

Wat haken en ogen zijn oa dat TPM in meerdere landen verboden is en dat TPM niet percee op elk moederbord zit en standaard altijd uit staat. Ook geeft TPM elke computer een uniek nummer wat mogelijk slecht kan zijn voor de privacy. En had TPM als nare bijsmaak voor consumenten dat het gebruikt zou gaan worden voor DRM (wat uiteindelijk wel mee viel).

Zover ik nu van secure boot begrijp is dit echt 1 techniek die maar op 1 ding gericht is, namelijk zorgen dat je niet boot als een virus low-level in je computer komt, dit is eigenlijk voor iedereen nuttig.
Wat haken en ogen zijn oa dat TPM in meerdere landen verboden is en dat TPM niet percee op elk moederbord zit en standaard altijd uit staat.
Er valt over te discussiëren of dit onder 'haken en ogen' valt. Als het in verschillende landen verboden is, is dat een sterke indicatie dat de regeringen van die landen deze vorm van beveiliging vrezen omdat zij er geen controle over hebben. Dat het optioneel is en uit staat kan ook als voordeel gezien worden, omdat de eindgebruiker zo altijd de keuze blijft houden.
Ook geeft TPM elke computer een uniek nummer wat mogelijk slecht kan zijn voor de privacy.
Het is niet exact 'een nummer', maar er is inderdaad een vorm van unieke identificatie. Zoals eerder gezegd is dat optioneel. Bovendien wordt dit deels tenietgedaan door de implementatie van Direct Anonymous Attestation in de standaard.
En had TPM als nare bijsmaak voor consumenten dat het gebruikt zou gaan worden voor DRM (wat uiteindelijk wel mee viel).
De macht blijft bij de consument: die kan ook besluiten om geen media te kopen die voorzien is van DRM. En de TPM is geen ultieme beveiliging: net als met CCS (DVD), AACS (Blu-Ray en andere HD dragers) wordt elke vorm van DRM gekraakt, omdat de markt ervoor te groot is om het niet te kraken en omdat het principe achter DRM fout is vanuit een beveiligingsperspectief.
Zover ik nu van secure boot begrijp is dit echt 1 techniek die maar op 1 ding gericht is, namelijk zorgen dat je niet boot als een virus low-level in je computer komt, dit is eigenlijk voor iedereen nuttig.
En dit kan al jarenlang met de TPM door vertrouwd op te starten. Als een virus een deel van de 'boot ketting' wijzigt, zal dit gedetecteerd worden en de computer niet meer opstarten (omdat de correcte sleutel. Dit komt omdat de benodigde sleutel niet meer geconstrueerd kan worden omdat een daarvoor benodigde hash gewijzigd is. Enig verschil is dat de TPM hiernaast veel meer kan.

[Reactie gewijzigd door The Zep Man op 18 oktober 2011 17:02]

Bedankt voor deze echte informatie. Ik wist niet van DAA (het wiki artikel is helaas een beetje vaag en heeft het alleen over andere naieve implementaties). Verder ben ik het niet eens met je argument dat de macht bij de consument blijft. Als de consument de optie krijgt om secure boot uit te zetten heeft deze ook macht. Ook ben ik het niet eens met je verhaal dat DRM ondersteuning van TPM niet erg is omdat het toch gekraakt wordt.

Zelf zou ik toch liever iets hebben dat alleen de bootchain checked (net als TPM en mogelijk als secure boot) zonder de extra 'functies'. Maar ik ga er wel zeker even meer onderzoeken.
De "Endorsement Key" is uniek per TPM maar verlaat de TPM nooit. Zoals Zepman aangeeft is DAA een TPM functie die bewijst dat je een bepaald certificaat (en bijbehorende geheime sleutel) bezit zonder dat je je identiteit prijs geeft. Vergelijk de methode met de SSHA1 hash zoals die (o.a.) gebruikt wordt om wachtwoorden te versleutelen. Niks aan het handje dus.

Natuurlijk zijn veel leveranciers bezig om het boot proces veiliger te maken. Kijk maar eens naar Bitlocker of McAfee/Intel AMT. Alles gebaseerd op symmetrische en assymetrische encryptie. Ergens moet "iets" op read-only gezet worden om misbruik te voorkomen. En zie "DRM" komt om de hoek kijken. Hoe dan ook, DRM komt er aan, al is het sluipend...
De naam is niet ongelukkig gekozen. Het is even slim bedacht als DRM. De naam is helemaal niet bedoeld om de werkelijke functionaliteit weer te geven, maar om de functionaliteit te verkopen.

Wat zou je makkelijker kunnen verkopen aan de gemiddelde klant: "Secure Boot" (klinkt erg veilig) of "Runs only Windows Boot" ?
Mss omdat dat laatste niet klopt? het is niet iets wat Microsoft heeft bedacht. En zal me niet verbazen als Apple ook bezig is het te implementeren (om de Apple hardware volledig dicht te timmeren)

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Websites en communities Smartphones Beheer en beveiliging Google Laptops Apple Sony Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013