Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 206 reacties, 27.346 views •

De Linux Foundation heeft een voorstel gepubliceerd waarin staat beschreven hoe computerfabrikanten het secure boot-mechanisme op een 'eerlijke' en 'open' manier in systemen met een uefi kunnen implementeren.

Net als diverse andere organisaties die opensourcesoftware promoten, maakt de Linux Foundation zich zorgen over de mogelijke restricties die het secure boot-mechanisme aan computergebruikers zouden kunnen opleggen, zoals het installeren van een ander besturingssysteem. Onder andere Windows 8 zal secure boot gaan ondersteunen op systemen die uitgerust zijn met bios-vervanger uefi.

In een poging oem's te beïnvloeden, heeft de Linux Foundation een richtlijn gepubliceerd waarin voorstellen worden gedaan hoe een systeem met secure boot ook andere besturingssystemen kan laten booten. Volgens de opstellers is secure boot weliswaar een nuttige methode om systemen beter te beveiligen, maar het moet voor gebruikers mogelijk zijn om eigen sleutels te installeren zodat andere OS'en niet worden buitengesloten. De organisatie stelt dat Microsoft in zijn huidige plannen voor het secure boot-mechanisme van Windows 8 poogt om als enige partij zogenaamde platform keys in uefi's te krijgen.

Evenals de Free Software Foundation meent de Linux Foundation dat computerfabrikanten een setup-modus in de uefi moeten aanbieden waarin het secure boot-mechanisme uitgeschakeld kan worden door de opgeslagen sleutels te resetten. Een andere, meer complexe, oplossing is het opzetten van een nieuw trust model in de uefi-specificatie die het toestaat dat systemen andere OS'en kunnen booten, al dan niet van externe media. Dit nieuwe beveiligingsmodel zou echter door de gehele industrie omarmd moeten worden, waardoor het de vraag is of het voorstel enige kans maakt.

De Linux Foundation is niet de enige organisatie die met nieuwe voorstellen rondom het secure boot-vraagstuk komt. Zo hebben twee ontwikkelaars van Canonical en Red Hat in een rapport met de titel 'Secure boot impact on Linux' soortgelijke voorstellen opgesteld. De Free Software Foundation is ondertussen een petitie gestart waarin computerfabrikanten wordt gevraagd om in hun uefi-implementaties de gebruiker de mogelijkheid te geven secure boot uit te schakelen.

Reacties (206)

Reactiefilter:-12060198+1132+225+32
Het zou toch wat wezen dat Microsoft bepaald welk besturingssysteem je kan installeren...

weggemod???

[Reactie gewijzigd door tinoz op 30 oktober 2011 12:11]

Maar het is toch helemaal niet de schuld van MS? De UEFI specs zeggen hoe de certificaten werken. Als de moederbord bouwers de optie om secure-boot uit te schakelen niet in de 'bios settings' opnemen, is dat toch niet de schuld van MS?
Nou ja... Het is een leuke bijkomst voor Microsoft, dus het zou niet heel onwaarschijnlijk zijn dat dat ook hun bedoeling is geweest.
Ik weet het niet hoor, maar het komt wel leuk voor ze uit...

Microsoft kan gewoon niet eerlijk concurrentie voeren door een beter OS te maken, Microsofts producten zijn meestal "goed genoeg", maar nooit goed.

"Het is niet Microsofts schuld"? Nee, als ik met een voorstel komt die 2 dingen doet:
1. de computers beter beveiligen
2. de concurrent volledig verpletteren
dan is nummer 2 niet mijn schuld?

[Reactie gewijzigd door Wolfos op 30 oktober 2011 12:24]

Ach..iedereen gaat nu helemaal los, maar het gaat alleen voor OEMS die een mooie MS sticker willen. Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?
Ja, maar het moet toch niet zo zijn dat er gewoon geen alternatief meer is?
Als ik de keuze had gebruikte ik al lang geen Microsoft software meer, maar die keuze heb ik gewoon niet, die word voor me gemaakt.

[Reactie gewijzigd door Wolfos op 30 oktober 2011 12:35]

Die keus heb je wel, je wil hem alleen niet maken en je verlies te nemen op wat je dan niet kan.

Hetzelfde met de koop van een snelle of trage auto.
Het spijt me maar als je vervolgens met die trage auto niet op je werk mag komen dan is er iets mis.

Voorbeeld als chemie student heb ik te maken met veel specificieke software. Het mooie is dat bijna alle apperatuur aangestuurt wordt door linux. Echter bijna alle user interfaces zijn geschreven voor ms of mac (en zelfs mac is niet altijd ondersteunt). En ik moet mijn werk in bepaalde formaten aanleveren. Dus helaas pindakaas mijn laptop draait windows 7.
Het spijt me maar als je vervolgens met die trage auto niet op je werk mag komen dan is er iets mis.
Ja, iets mis met je arbeidscontract. Als je baas wil dat je in een snelle auto rijd, dan moet hij daar voor zorgen.
Echter bijna alle user interfaces zijn geschreven voor ms of mac (en zelfs mac is niet altijd ondersteunt). En ik moet mijn werk in bepaalde formaten aanleveren. Dus helaas pindakaas mijn laptop draait windows 7.
Nog steeds jouw keuze, je hebt zelf voor die betreffende studie gekozen.
Nog steeds jouw keuze, je hebt zelf voor die betreffende studie gekozen.
Je hebt de keuze dus niet, want met veel doodnormale keuzes ben je opeens gedwongen om software van MS te gebruiken.

Dit zeggen is net zoiets als zeggen "in de gevangenis ben je volledig vrij, zolang je maar niet naar buiten wil".

Als je echt de keuze zou hebben dan zou hooguit bij een zeer specilistische opleiding/baan MS een vereiste zijn. Bijvoorbeeld bij een opleiding Windows-systeembeheer zal je er niet omheen kunnen. Maar dat het zelfs voor iets totaal ongerelateerds als chemie een vereiste is, dat is belachelijk. Een knap staaltje vendor lockin.
Je hebt altijd nog de keuze om te dual booten dan heb je wel de keus gebruik je windows voor die school opdrachten en linux voor de rest
je mag kiezen ademhalen en mij 25.000 euro per liter betalen, of .... je verlies nemen en dan maar niet ademhalen?

vind je het zelf niet ook een beetje rare keuze als ik hem zo stel... nu heb je een pc die onfhankelijk van de software dos, bsd, linux of andere... strax kan die zelfde pc alleen nog maar windows booten omdat de leveranciers van de bootsleutel enkel maar windows kent.

gaan we een stapje verder, de server van je bedrijf die ineens geen linux + apache meer kan draaien, omdat dell nu eenmaal rekening met windows sbs wilde houden... Lekker dan.. moet je dan voortaan altijd zelfbouw pc's gaan gebruiken voor je webserver?

laat ze dus op z'n minst een manier bieden om zelf keys te signen of dit door bijv een opensource partij te laten doen...
Het zou toch wat wezen dat Microsoft bepaald welk besturingssysteem je kan installeren...

weggemod???
Ach, klets toch niet RutgerM, veel mensen hebben GEEN keus. Gamen is niet mogelijk op Linux (En kom niet met wine oid, want dat is gewoon GEEN goed werkend alternatief), MS Office, toch nog steeds wel de standaard op zakelijk gebied, werkt niet op Linux. Open/libre office is geen goed alternatief als je op professioneel niveau documenten moet publiceren, En linux is nog steeds te moeilijk in gebruik voor de huis- tuin- en keukengebruiker. Ik heb soms het idee dat de linux-tweakers hier niet begrijpen hoe weinig verstand 90% van de bevolking van computers hebben.
Zelf ben ik een voorstander van linux en gebruik het ook (juist wel) in zakelijk opzicht, als programmeur zijnde, maar prive gebruik ik nog steeds Windows, en dat is enkel en alleen voor het gamen.
[Ach, klets toch niet RutgerM, veel mensen hebben GEEN keus. Gamen is niet mogelijk op Linux (En kom niet met wine oid, want dat is gewoon GEEN goed werkend alternatief),
Dat is het wel, ik gebruik Wine al jaren en meestal werken de dingen perfect die ik wil spelen. Id software o.a. geven altijd een Linux versie vrij van hun games. Gamen op Linux is dus een optie. Sinds ik PlayOnLinux ontdekt heb is het zelfs nog makkelijker geworden. Ik haal dezelfde framerates als op Windows. Toegegeven, er zijn dingen die niet met Wine te draaien zijn, maar ik heb evengoed soms problemen met games op Windows. Dit is eigenlijk zoals gamen op Mac, dat gaat ook niet altijd, maar mensen zijn er toch heel blij van. Of komt dat omdat ze er zoveel geld aan gegeven hebben en niet durven toegeven dat het een miskoop was? :p
MS Office, toch nog steeds wel de standaard op zakelijk gebied, werkt niet op Linux. Open/libre office is geen goed alternatief als je op professioneel niveau documenten moet publiceren,
Waarom is dat geen goed alternatief op professioneel vlak? Wat de mensen op mijn werk doen met Office kan perfect in LibreOffice. Ik kan hier best wel over oordelen aangezien we speciale document controllers in dienst hebben en per dag misschien wel duizenden documenten ontvangen/versturen en aanmaken. LibreOffice heeft andere opties om een document professioneel te publiceren. Dit is hetzelfde als Firefox en Chrome vergelijken. Beide laten zij webpages zien maar intern werken ze anders en hebben ze andere opties om het de gebruiker makkelijk te maken.
En linux is nog steeds te moeilijk in gebruik voor de huis- tuin- en keukengebruiker. Ik heb soms het idee dat de linux-tweakers hier niet begrijpen hoe weinig verstand 90% van de bevolking van computers hebben.
Linux is juist perfect voor huis-tuin- en keuken gebruik. Mailen, "internetten" en foto's opslaan. That's it. Daar hoef je geen extra software voor te installeren bij de gemiddelde distro. Het is pas wanneer ze specifieke eisen hebben dat ik de situatie bekijk en beslis om Windows te installeren. Ik hoor héél vaak "das allemaal hetzelfde". Vensters, een menu en een knop 'm hem af te zetten. Dat is universeel (voorlopig, nav Win8).
Zelf ben ik een voorstander van linux en gebruik het ook (juist wel) in zakelijk opzicht, als programmeur zijnde, maar prive gebruik ik nog steeds Windows, en dat is enkel en alleen voor het gamen.
Ik heb ook een Windows PC waar ik op game en die ik gebruik voor mijn werk, maar ik speel evengoed games op mijn laptop die Linux draait (SC2, Steam + L4D2 etc)
En hoeveel mensen gaan voor het eerst eens met Linux knutselen op een afgedankte OEM PC? Ik ben het er mee eens dat het voor de 1e gebruiker meestal niet uitmaakt. Maar voor mensen die wat willen knutselen en daar geen compleet nieuw systeem voor willen/kunnen kopen maakt het wel uit.

Ik ben benieuwd wat het uiteindelijk gaat worden. Misschien komt er gewoon een uefi versie beschikbaar die geen secure boot heeft of anders ingesteld is. Zou ook een makkelijke manier zijn voor OEM's. Dan hoeven ze alleen een download beschikbaar te maken.
Iedereen die graag Linux (of BSD of Hurd of whatever) draait en een laptop wil?
Wie zegt dat de last beperkd blijft tot OEM systemen? De dag dat MS Secure Boot verplicht steld voor elke installatie betekend dat dat je bij elke boot naar een ander OS deze eerst moet gaan uitschakelen in UEFI en als je daarna terug naar Windows wenst te gaan je deze terug moet inschakelen.
Ja en? Bij een Dell moet dat al jaren dus wat is je probleem precies?
Omdat het bij een Dell al jaren moet, is het dus geen probleem? Omdat het huis van de overburen al in de fik staat is het geen probleem als jouw huis ook in de fik staat?
dus als ik een laptop koop, vaak een OEM Systeem kan ik geen linux meer installeren, dat is toch redelijke vorm van concurrentie vervalsing.
FFS dit is het derde artikel over secure boot en nog steeds posten er mensen die zich er totaal niet in verdiept hebben.

Secure boot bied de mogelijkheid om alleen software te starten die signed is. Dit staat in de UEFI specificatie en heeft niets met MS te maken. MS wil met Windows 8 deze security standaard ook ondersteunen en dus krijgt Window 8 een key en kan er secure geboot worden naar Windows 8.

Grote Linux distributies als Red Hat en Ubuntu kunnen ook prima zo'n key aanvragen, niets aan de hand. Het enige probleem is dat jij je eigen hercompilatie niet zelf kan signen en dat niet elke distributie groot genoeg zal zijn om telkens zo'n key te krijgen dus dan is het een probleem. De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.

De Linux Foundation heeft in het begin zoveel paniek veroorzaakt hierover (en dat vooral gericht tegen aardsvijand MS) dat iedereen denkt dat er wat vreselijks aan de hand is. In het rapport van oa Red Hat werd veel minder gepaniekerd. de Linux Foundation is op dit moment ook tot inkeer gekomen en nu willen ze alleen dat secure boot in de bios van OEM pcs uit kan, that's it!

Dus het hele verhaal is een storm in een glas water en een vinger de verkeerde richting op! Even controleren of OEMS wel zo'n uit setting willen implementeren was alles dat nodig was geweest.
Grote Linux distributies als Red Hat en Ubuntu kunnen ook prima zo'n key aanvragen, niets aan de hand. Het enige probleem is dat jij je eigen hercompilatie niet zelf kan signen en dat niet elke distributie groot genoeg zal zijn om telkens zo'n key te krijgen dus dan is het een probleem.
Hoe? Waar? Bij wie? Er is geen centraal punt om je keys te laten registreren. Je zal iedere moederbord fabrikant moeten gaan vragen om jouw keys op te nemen. Zelfs RedHat en Ubuntu zie ik niet in staat om alle moederbord-fabrikanten te overtuigen. Een paar fabrikanten zal wel lukken maar nooit allemaal. Daarmee wordt de keuzevrijheid voor gebruikers van andere OS'en een stukje kleiner.
De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.
Maar ik wil secure boot helemaal niet uit zetten. Het is een ontzettend nuttige feature. Ik wil alleen zelf kunnen bepalen welke keys worden goedgekeurd en welke niet.

Sterker nog, ik verwacht (nee, hoop) dat bedrijven zoals banken gaan eisen dat het gebruikt wordt. Bij het telebankieren wil ik graag (alleen) gesignde binaries draaien. Als ik daarvoor steeds eerst naar m'n BIOS moet gaat de lol er snel af. In praktijk is dat voor de meeste mensen een te grote drempel.

Overigens oefent MS wel degelijk druk uit om Secure Boot aan te zetten. Als het by default uit staat mag je niet zeggen dat je computer Windows-compatible is.

[Reactie gewijzigd door CAPSLOCK2000 op 30 oktober 2011 14:46]

[...]
Hoe? Waar? Bij wie? Er is geen centraal punt om je keys te laten registreren. Je zal iedere moederbord fabrikant moeten gaan vragen om jouw keys op te nemen. Zelfs RedHat en Ubuntu zie ik niet in staat om alle moederbord-fabrikanten te overtuigen. Een paar fabrikanten zal wel lukken maar nooit allemaal. Daarmee wordt de keuzevrijheid voor gebruikers van andere OS'en een stukje kleiner.
Ehm, MS kan ze wel allemaal vinden, maar Red Hat / Ubuntu niet?
Sterk verhaal...
[...]
Sterker nog, ik verwacht (nee, hoop) dat bedrijven zoals banken gaan eisen dat het gebruikt wordt. Bij het telebankieren wil ik graag (alleen) gesignde binaries draaien.
Dan is er toch geen probleem? Oh nee, wacht je wilt een wassen neus hebben doordat je zelf keys wilt kunnen toevoegen... Waar denk je dat malware makers zich in 1e instantie op gaan richten, juist op dat mensen hun keys gaan toevoegen waardoor het hele idee een wassen neus geworden is.
Overigens oefent MS wel degelijk druk uit om Secure Boot aan te zetten. Als het by default uit staat mag je niet zeggen dat je computer Windows-compatible is.
Dat is toch geen probleem voor een computer die enkel voor linux gebruikt gaat worden...
Ehm, MS kan ze wel allemaal vinden, maar Red Hat / Ubuntu niet?
Sterk verhaal...
MS is zo groot dat ze het niet zelf hoeven te doen. Fabrikanten gaan naar MS toe om te vragen wat de keys zijn. Kijk maar hoe het gaat met drivers. Alle fabrikanten schrijven zelf drivers voor Windows terwijl Linux het allemaal zelf moet regelen.
Dan is er toch geen probleem? Oh nee, wacht je wilt een wassen neus hebben doordat je zelf keys wilt kunnen toevoegen... Waar denk je dat malware makers zich in 1e instantie op gaan richten, juist op dat mensen hun keys gaan toevoegen waardoor het hele idee een wassen neus geworden is.
Dan moet er maar een fysieke beveiliging op de computer zitten hiertegen. Een dipswitch die je moet omzetten voordat je nieuwe keys kan uploaden ofzo. Dat probleem is oplosbaar. Ook als het niet oplosbaar zou zijn dan blijft het mijn computer, ik wil bepalen wat het ding wel en niet doet.
Dat is toch geen probleem voor een computer die enkel voor linux gebruikt gaat worden...
Je snapt het niet. We gaan toe naar een wereld waarin computers by default alleen Windows kunnen draaien. Je moet ingewikkelde kunstgrepen doen (je BIOS veranderen) om daar iets aan te doen. Snel even een Ubuntu-live CD'tje booten kun je wel vergeten. Zo wordt het steeds moeilijker gemaakt om iets anders te draaien dan Windows.
Een markt die afhankelijk is van 1 fabrikant is slecht voor de ontwikkeling en slecht voor de gebruiker.
We moeten streven naar meer mogelijkheden en meer competitie, niet naar minder.

[Reactie gewijzigd door CAPSLOCK2000 op 30 oktober 2011 17:44]

Maar ik wil secure boot helemaal niet uit zetten. Het is een ontzettend nuttige feature. Ik wil alleen zelf kunnen bepalen welke keys worden goedgekeurd en welke niet.
Dan moet er maar een fysieke beveiliging op de computer zitten hiertegen. Een dipswitch die je moet omzetten voordat je nieuwe keys kan uploaden ofzo. Dat probleem is oplosbaar. Ook als het niet oplosbaar zou zijn dan blijft het mijn computer, ik wil bepalen wat het ding wel en niet doet.
Je moet ingewikkelde kunstgrepen doen (je BIOS veranderen) om daar iets aan te doen. Snel even een Ubuntu-live CD'tje booten kun je wel vergeten. Zo wordt het steeds moeielijker gemaakt om iets anders te draaien dan Windows.
Je spreekt jezelf tegen. Je wilt wel secureboot aan hebben, en je wilt er niet voor in je bios gaan om die uit te zetten want dat is te moeilijk voor de gemiddelde gebruiker.
En je wilt dat het wel te omzeilen valt want jouw oplossing is zoiets als een dipswitch in je pc die je moet omzetten zodat je gedownloade keys kunt inserteren.

1. De dipswitch in de pc schrikt de gemiddelde gebruiker inderdaad minder af als een bios setting |:( [/sarcasme]
2. Je wilt een goede beveiliging die gemakkelijk te omzeilen valt 8)7

Als je het te simpel te omzeilen maakt (eigen keys inserteren, simpel uit te zetten, ...) dan kan je het beter helemaal uit zetten. De gemiddelde huis/tuin/keuken gebruiker duwt zonder nadenken overal op 'yes' want het kan allemaal niet snel genoeg geïnstalleerd zijn. En gevorderde gebruikers kunnen wel een bios setting aanpassen.

[Reactie gewijzigd door kluyze op 30 oktober 2011 17:59]

1. De dipswitch in de pc schrikt de gemiddelde gebruiker inderdaad minder af als een bios setting [/sarcasme]

Je sarcasme ten spijt, een dipswitch zou een zeer goede oplossing wezen. Want dat garandeert dat het fysiek onmogelijk is voor een of ander virus om zelf zijn eigen keys te signen/installerern, maar staat de gebruiker van de PC wel toe dat zelf even om te zetten, wanneer ie er een OS bij wil prikken.

P.S. En iemand die met Linux om kan gaan, kan ook echt wel zijn kast openkrijgen om een dipswitchje te flippen.
P.S. En iemand die met Linux om kan gaan, kan ook echt wel zijn kast openkrijgen om een dipswitchje te flippen.
Juist! En daarmee reduceer je 't probleem tot de ca. 2% gebruikers, die Linux nu heeft.
Dus jij zegt dat bijv. als je een Live CD van Ubuntu in de CD speler stopt dat hij bij de gemiddelde BIOS meteen default van de CD boot? Dat denk ik niet. Je moet dan de boot order veranderen in de BIOS. Zelfde geval met Secure-Boot. Dus als ik als huis/tuin/keuken gebruiker niet weet hoe ik dat moet instellen, kan ik dus sowieso niet van CD starten omdat ik dus met die boot order zit.
Beetje jammer, vind je ook niet? Iedereen spreekt zich zelfs meerdere malen tegen. Gebruik eens een computer met UEFI. Dan kun je duidelijk zien dat, als je unsigned-code wil draaien met die secure-boot feature aan, dan krijg je een tekst te zien:

Your current security settings do not allow booting from this media.
Try switching Secure-Boot off in the SETUP menu
Press any key to restart...

Dus, wil je zeggen dat een boot order makkelijker is dan de secure-boot uitzetten die er zo'n beetje vlak onder staat?
Meestal is de bootorder aan te passen zonder daadwerkelijk in de bios te moeten gaan. Bij mijn laptops is dat F9 voor bootorder, F10 voor bios. Lijkt me simpel om er F8 voor Enable/Disable secure boot bij te zetten. Die sneltoetsen zijn dan nog uit te schakelen in de bios ook voor als je ze nooit gebruikt en mensen hebben geen kennis van bios nodig :)
De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.

(...)

De Linux Foundation is op dit moment ook tot inkeer gekomen en nu willen ze alleen dat secure boot in de bios van OEM pcs uit kan, that's it!


Je hele argumentatie berust op een tegenstrijdigheid: aan de ene kant zeg je dat 'de oplossing heel simpel is', want Windows 8 zal ook wel booten zonder secure boot, en aan de andere kant geef je toe dat de mogelijkheid tot het uitzetten van secure boot nog helemaal geen uitgemaakte zaak is. Met andere woorden: de Linux Foundation doet er dus wel degelijk goed aan, rechtsom of linksom, om er voor te pleiten dat hetzij secure boot uitgezet kan worden, hetzij er een transparante en eerlijk toegankelijke manier komt voor alle spelers in de OS markt om een key bij de fabrikant van moederborden te krijgen.
MS zegt dat windows8 zal booten als secure boot uitstaat.
Maar a: voor hoe lang blijft dat zo
b: is dat de volledige windows 8 of een soort safe-mode
Al mijn OEM pc's en laptops draaien geen Windows meer. Op mijn werk hebben we, omdat er niet anders geleverd kon worden, OEM desktops voorzien van Linux wanneer dit de voorkeur was. Op het werk zijn de machines zeer beslist nieuw.
Dus als voorbeeld: Omdat Volkswagens nu eenmaal meer verkocht wordt dan Lamborghini's, moet dat exclusieve automerk maar verdwijnen, en moet iedereen VERPLICHT Volkswagen rijden, zonder zelf een keuze te mogen maken?

Even als voorbeeld, maar dat zou wel op hetzelfde neerkomen, gezien jouw opmerking. Dat slaat natuurlijk nergens op! We zijn niet in een Stalinistisch regime! Kom nou zeg! Het maakt niet uit dat 2% van alle PC-gebruikers iets anders gebruiken dan Windows. Het kan en mag niet zo zijn dat die keuze ontnomen wordt, en dat elke PC met één OS opgestart kan worden (in dit geval Windows). Dat is te absurd voor woorden, mijns inziens.

Secure Boot is prima op zich, maar het mag geen andere OS'en uitsluiten. Daar is SB in de eerste plaats ook helemaal niet voor bedoeld. Een ander OS dan Windows is per definitie geen ongewenste software, laat staan kwaadwillende software. Laat dat verschil even duidelijk zijn.

Als de ontwikkelaars van SB dat verschil niet kunnen maken, blijf dan maar bij het ouderwetse BIOS. Vooruitgang hoort verbetering te zijn, geen beperkende stilstand....
Net zoals het bij u voorbeeld niet Volkswagen is die beslist dat Lamborghini verboden is, is het hier ook niet Microsoft die SB verplicht. Ze ondersteunen het gewoon (stellen een key beschikbaar aan de fabrikanten).
Iedereen die niet aan zelfbouw doen of een pc pas later op Linux zetten.
Mijn inschattings is dat dit minstens 50% van alle Linux gebruikers is.

Ik geef zelf regelmatig afgeschreven pc's een nieuw leven door ze te voorzien van Linux.
Iedereen die een goedkope server, multimediastreamer of NAS zoekt is daarbij gebaat.
O ja, allemaal legaal itt menig Windows gebruiker met FromtPage, Photoshop en Windows 64bits Pro.

[Reactie gewijzigd door Zwartij op 30 oktober 2011 14:34]

@denniskrol: ik bijvoorbeeld, draai ubuntu op een acer timeline met veel plezier. dus waarom niet.
Kon er makkelijk aankomen en het werkt. Windows zat erbij, ja das jammer die heeft de setup niet eens gehaald :+
Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?
Na 5 jaar klagen was het voor 1 OEM over nadat Linux geïnstalleerd en uitgelegd was. Dus dat kan nog steeds met elke OEM pc met windows waar mensen over klagen. Want met Linux is het zo leuk dat je niet klaagt maar achter de fout kan komen. Of iemand anders het fixen via een ssh shelletje.

Nee bij Windows is het tegenwoordig zo dat je alleen al voor het succesvol voltooien van alle security updates een expert moet zijn. Voor Windows server 2008 (iemand dns problemen btw?) een must. Maar bijna kansloos voor eindgebruikers op Windows 7.
Daarbij is het altijd kansloos traag en zit nog steeds vast aan reboots. (voor Linux is principe nooit een reboot nodig hoog uit de kernel verwisselen!)
voor de huidige eind user OS ervaring.
muziek,filmpje,browsertje is Linux BY FAR de beste. Of een Mac maar daar betaal je dan voor he ^^. Linux is niet lulle maar poetsen!
@ denniskrol
Elke pc hier in huis is een OEM pc en daar staat allemaal linux op.
Wakker worden, dat willen ze allemaal.
Ach..iedereen gaat nu helemaal los, maar het gaat alleen voor OEMS die een mooie MS sticker willen. Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?
Behoorlijk wat: 1 bedrijven die nu Linux gebruiken. 2: gebruikers die een tweedehands OEM pc kopen via hun werk bijvoorbeeld.

Ik moet ook eerlijk zeggen: welk nut heeft deze beveiliging? Welk risico loop ik, als eindgebruiker, niet meer als dit wordt geïmplementeerd? Ik heb liever dat Microsoft zich bezig houdt met een veiliger OS an sich dan een veiliger OS welke gebruik maakt van een hardware restrictie...
Laptops zijn toch ook "OEM"? als ik een laptop aanschaf wil ik daar wel Linux of welk OS dan ook op kunnen draaien dus wanneer de een fabrikant dat niet toestaat middels een 'secure boot' dan ga ik die zeker niet aanschaffen. Ik denk dat er wel meer Linux users zo over denken.

[Reactie gewijzigd door bite op 31 oktober 2011 14:12]

Welke concurrentie wordt er dan compleet verpletterd?

Linux-distro's kunnen gewoon keys kopen als ze dat zouden willen.
Enkel thuis-distro's / hobbyisten distro's kunnen waarschijnlijk geen key kopen, maar dat is omdat ze niet te onderscheiden zijn van malware makers.
Zoals ik hieronder zei, het is nogal eens nodig om je kernel te recompilen, en dan is de key niet meer geldig. Moet je dan ook een key gaan kopen?
Als je voor Linux meer moet betalen dan voor Windows dan vrees ik dat voor veel mensen de keuze snel gemaakt is.

[Reactie gewijzigd door Wolfos op 30 oktober 2011 12:58]

het is nogal eens nodig om je kernel te recompilen
Volgens mij blijven hierom de meeste mensen bij Windows.
Als je een binary distro (Ubuntu, Suse) gebruikt hoef je eigenlijk nooit zelf een kernel te compilen.
Ik gebruik zelf Gentoo en daar moet je je eigen kernel compilen maar dat is een distro waar je (net als bij arch) er zelf voor kiest om dit soort handelingen te doen.
En waarom zou eender welke organisatie het recht hebben om mij het onmogelijk te maken om met mijn PC te gaan hobbyen? Elk greintje recht dat je nu weggeeft aan welke organisatie dan ook heb je nog lang niet terug.
En waarom zou eender welke organisatie het recht hebben om mij het onmogelijk te maken
En welke organisatie doet dat werkelijk. Microsoft heeft al aangegeven dat ze daar geen interesse in hebben.
Ze kunnen een key kopen ja, maar het mag niet.
Nee, dat kan niet. Je kan geen key kopen. Je moet moederbord fabrikanten vragen om jouw key op te nemen. En je zal dus alle mobo fabrikanten in de wereld moeten gaan overtuigen.
en jij denkt dat dat feitelijk veschillend is dan een key komen... lees:

conical: dell wilt u ook ubuntu ondersteunen, -
dell: ja hoor, dat is dan 20.000 euro per toegevoegde key - deze key voegen we dan toebij alle volgende bios uitgaven... tussen tijds patchen kan ook maar dat kost dan 5000euro per key per bios versie extra en kan alsnog alleen voor moederborden die niet EOL zijn... wil u ook eol mobo's key updates geven... dan doen we dat voor 1m per key per bios...

(bedragen zijn fictief)...

maar nee hoor, je zult keys niet hoeven 'komen' je moet alleen met een hele smak geld dell overtuigen... en denk maar niet dat het bij hp, acer, msi, sony, toshiba of lenovo anders zal gaan...
Welke concurrentie wordt er dan compleet verpletterd?

Linux-distro's kunnen gewoon keys kopen als ze dat zouden willen.
Enkel thuis-distro's / hobbyisten distro's kunnen waarschijnlijk geen key kopen, maar dat is omdat ze niet te onderscheiden zijn van malware makers.
Dus met andere woorden: Omdat je zelf software schrijft en er geen geld tegenaan kan gooien om één of ander bedrijf te sponsoren zodat ze je binaries 'goedkeuren' ben je zonder pardon maar een hackertje dat virussen schrijft.

Een beetje een hypocriete instelling van de Secure Boot Foundation en het doet me denken aan de 'tests' van de Windows Hardware Quality Labs, die niks anders inhouden dan een berg geld aan Microsoft betalen zodat je driver in Windows geladen mag worden en je een stickertje op de doos mag plakken.

Het gaat totaal niet om afdwingen van kwaliteit van software, maar puur om één ding: geld. De Secure Boot Foundation verdient er bakken met geld mee als moederbord-fabrikanten 'vergeten' om de optie in het BIOS-scherm te zetten die Secure Boot uitschakelt.
Welke concurrentie wordt er dan compleet verpletterd?

Linux is gratis, Windows beslist niet. Met andere woorden, alleen MS heeft het geld om grote moederbord fabrikanten te paaien om hun keys op te nemen in de BIOS. Daarmee, onder het mom van 'security', vormt MS direct een grote bedreiging voor alle gratis open source OS'en.
SecureBoot voorkomt niet dat non-secure OSsen worden gestart, maar als jouw moederbord een uefi heeft met de SecureBoot optie, maar die staat uit, dan start Windows gewoon niet. Echter zullen er weinig mensen zijn welke Linux installeren als zij weten dat Windows dan niet meer start..

Ik begrijp vandaag de dag toch al niet waarom mensen nog steeds dualboot hebben.
Waarom zou je nog twee besturingssystemen installeren als virtualisatie voor iedereen inmiddels beschikbaar is. Ik verwacht niet dat virtualisatie layers snel de SecureBoot optie zullen bieden en dus kan Windows vanuit Linux opgestart worden of anders om.

Het installeren van extra certificaten is misschien wel een optie voor de bekende Linux distributies, maar niet voor de knutselaars welke zelf een kernel compileren. Immers als jij als thuis gebruik je eigen kernel kunt ondertekenen, waarom zou je dan niet je spyware app kunnen ondertekenen?

Maar waarom bied kernel.org geen optie om je kernel te uploaden naar de website waarna de website hem ondertekend en daarna weer als download aanbied?
De Linux Foundation hoeft dan alleen de fabrikanten te overtuigen ook het kernel.org certificaat op te nemen. Dan is het namelijk helemaal niet nodig om SecureBoot uit te schakelen.

Grote distributies kunnen kiezen of zij gebruiken van het kernel.org certificaat of zij hun eigen certificaat willen gebruiken en dan zelf bij de fabrikanten moeten langs gaan.
Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten om secure boot niet uitschakelbaar te maken. De korting die OEMs krijgen van MS is immens, zij betalen slechts enkele tientallen dollars per licentie, nog niet de helft van wat U en ik moeten betalen voor een OEM licentie. MS kan beslissen om de prijs aanzienlijk te verhogen indien secure boot kan uitgeschakeld worden.

Ook de logo programmas kan MS gebruiken om OEMs te dwingen. Geen niet-uitschakelbare secure boot betekend geen erkenning van de PC als Windows compatible/certified. Voor de thuisgebruiker minder belangrijk, in de bedrijfswereld wel.

En hoe komen deze specs in UEFI? Zeker van dat het idee niet uit de MS hoek komt? Vergeet niet dat MS al in de jaren 90 bezig was om, samen met Intel, de illegale Windows installaties op een hardwarematige manier tegen te gaan. 1 van de mogelijkheden toen was om de PC eerst via internet te laten vragen of Windows wel gestart mag worden.
Ehm, ja en OEMs krijgen ook geld om een virusscanner te installeren die 30 dagen werkt. Toch kan je deze er nog steeds af halen en vervangen door een gratis variant
Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten om secure boot niet uitschakelbaar te maken.
Hoe kunnen ze dat verplichten? Hooguit kunnen ze weigeren om hun "Microsoft approved" stickertje op een mobo te laten zetten, maar verder mogen OEMs doen wat ze willen.
[...]

Hoe kunnen ze dat verplichten? Hooguit kunnen ze weigeren om hun "Microsoft approved" stickertje op een mobo te laten zetten, maar verder mogen OEMs doen wat ze willen.
Nog simpeler: Als jullie als OEM-bouwers Secure Boot niet uitschakelbaar maken, krijg je 50% korting op je OEM-licenties.

In het opstarttraject zullen ze misschien zelfs licenties kado gaan geven aan OEMs die Secure Boot adopteren en gelijk alléén Windows als toegestane binary opnemen. Begint het al als vendor lock-in te ruiken?
In jouw fantasie wereld, ja.

Ten eerste downgraden veel bedrijven hun pc's naar eigen images en geen enkele oem wil die kwijt en ten tweede, het levert Microsoft geen ruk op, de oem licenties worden toch wel verkocht.

[Reactie gewijzigd door Tijger op 31 oktober 2011 01:07]

Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten
Dat zouden ze misschien wel kunnen, maar doen ze het werkelijk?
Ik kan je ook in je gezicht slaan, maar je kunt daar pas over gaan klagen als ik er mee dreig of het daadwerkelijk doe.
Maar MS heeft de OEMs gezegd, dat secure boot aan moet staan willen ze er standaard Windows 8 op mogen zetten, en ook nog een meetellende factor is dat ze vervolgens niets hebben gezegd over een mogelijkheid het weer uit te zetten, waardoor sommige fabrikanten het uitzetten niet in de EFI gaan programmeren (minder werk), en je dus geen Linux kan booten.
Maar dat is niet de schuld van Microsoft maar de luiheid van die fabrikanten.
Het is niet hun schuld, maar ze zijn wel mede-verantwoordelijk. Hun invloed is zo groot dat ze zich daar niet aan kunnen onttrekken.

De olie-industrie krijgt ook niet de schuld van milieuvervuiling, het is niet hun doel om olie in zee te lekken en CO2 de lucht in te pompen, maar ze zijn wel degelijk mede verantwoordelijk.
Leg eens uit waarom het enige product tot op heden getoond met Windows 8 dan een UEFI bios had waar op secure boot gewoon uitgezet kon worden?

Of past dat niet in het FUD plaatje?
Dus MS vraagt om een bepaalde beveiligingmaatregel aan te zetten (goh) en dus is het MS schuld als OEMs daarna vergeten om die ook te kunnen laten zetten?
Maar wees er dan wel op bedacht dat de kans groot is dat microsoft (of een bedrijfje dat er onder valt) bijvoorbeeld grote hoeveelheden aandelen gaat kopen van mobo bakkers als ze toezeggen het te ondersteunen en geen optie bieden om het uit te schakelen.

Zo zou Microsoft toch af kunnen dwingen dat de secure boot niet uitgeschakeld kan worden zonder dat ze er direct voor betalen en aantoonbaar de concurrentie het leven zuur maken.
microsoft bepaald dit NIET. Het is de enige deftige OS-fabrikant die secure boot ondersteund dat door UEFI wordt aangeboden als extra beveiliging (niet verplicht).

dat je iedereen aan je OS laat prutsen en dan geen security-compliancy kan bereiken is geen reden om de anderen de schuld te geven
Ja tuurlijk ben je weggemod want je hebt niet eens de moeite genomen om je wat te verdiepen in de stof.. Dan had je namelijk al geweten dat MS al lang heeft gezegd dat zij de mogelijkheid helemaal niet blokkeren (of verplichten om te blokkeren). Naast het feit natuurlijk dat Microsoft weinig te zeggen heeft over de UEFI specs.
Ik heb de petitie ondertekend. Vind dat Microsoft over dun ijs gaat met dit soort trucs. Ze willen hun product op hardwarematige manier beveiligen wat mogelijk tot gevolg heeft dat andere besturingssystemen worden uitgesloten.

Als er een Secure Boot via UEFI wordt geïntegreerd, wil ik de keus hebben om dit uit te schakelen en/of een ander OS (zoals Linux) te installeren wat ook de Secure-Boot functie kan gebruiken (mits ondersteund).

Daarom vind ik het niet acceptabel dat Microsoft gaat bepalen wat een BIOS / UEFI gaat doen. Als ik zin heb om een illegale versie van Windows te installeren moet ik dat toch zelf weten ? Misschien moet Microsoft maar eens wat gaan doen aan de prijzen van hun software, want alternatieven als Linux (gratis) en MacOS (erg goedkoop) laten zien dat het ook anders kan. Lagere prijzen leidt tot minder illegale downloads.

Ook moet er voor gezorgd worden dat software (Windows / Office en bloatware van de OEM-) optioneel is bij een computer. Een systeem moet standaard leeg geleverd worden tenzij je bij de koop bewust kiest voor een OS. Als ik Ubuntu wil gebruiken wordt ik toch verplicht om de Windows 7 licentie te betalen.
Sympathiek van de Linux Foundation... ze hadden Microsoft ook aan kunnen gaan klagen omdat ze de ristricties op kunnen leggen, maar dit is een veel betere manier van overleg.
Hier kunnen veel grootmachten nog wat aan leren.
Zo gaat dat vaak. Kijk maar naar het Microsoft-Novell verhaal van enkele jaren geleden. Je beschuldigt een Linux-distro van het schenden van Microsoft-patenten (die ze niet openbaar maken) en gaat vervolgens een onderlinge deal aan zodat Novell zich "beschermt" tegen claims.

Deze deal zie ik dan ook als een etterende wond op de onafhankelijke Linux Foundation.
Ik ben heel benieuwd wat er zou gebeuren als er een rechter naar gaat kijken. After all gaat dit om het zelf bepalen welke software je wil draaien op je apparaat, en als een rechter zou bepalen dat secure boot altijd een "uit" optie moet hebben, zou je die lijn ook door kunnen gaan trekken naar consoles/telefoons etc.


Ik vind het idee van secure boot helemaal niet zo slecht, maar geef dan van mijn part gewoon alleen een waarschuwing met het klassieke "press F1 to continue" ofzo ipv de werking van het systeem te blokkeren.

[Reactie gewijzigd door VNA9216 op 30 oktober 2011 14:42]

Hoezo sympatiek? Microsoft heeft al gezegd dat het helemaal niet waar is dat ze verplichten dat secureboot niets anders zou kunnen draaien als windows 8 op de betreffende computer is geinstalleerd. Microsoft heeft ook al aangegeven dat secureboot helemaal niet nodig is om Windows 8 te kunnen draaien. Het is hier weer de Linux Foundation die zo Microsoft weer in een kwaad daglicht probeert te zetten terwijl er helemaal niets aan de hand is.
Volgens mij gaat het belang van deze UEFI kwestie aan heel veel mensen voorbij, maar Secure Boot is een belangrijke feature van deze BIOS vervanger, als er nu niets wordt geregeld zit iedereen straks met Windows only PCs. Dit is eigenlijk Microsoft's Palladium, en fabrikanten lijken zich weinig aan te trekken van het feit dat Microsoft echt niet het enige OS op onze HDD's is.

Meer informatie over de foutjes die tijdens het implementeren van UEFI gemaakt worden is te vinden op het blog van Matthew Garrett

[Reactie gewijzigd door Spider.007 op 30 oktober 2011 12:14]

Extra beveiliging is nooit erg maar iedereen moet dan wel gelijke kansen hebben.
Ik denk dat als Microsoft hier alleen profijt van heeft het toch weer gaat uitdraaien op een langdurende rechtszaak wegens een monopoly positie en het bedoeld/onbedoeld uit de markt drukken van alternatieven.

Dit is niet iets waar een consument over zou moeten nadenken bij het aanschaffen van een pc. (lock in van alleen Microsoft producten op een pc)
Dus malware makers moeten ook gelijke kansen hebben?

De grotere linux-distributies kunnen gewoon een key kopen, enkel de thuis-linuxen en de malware makers kunnen geen key kopen.

Dit voorstel blokkeert helemaal geen linux, het blokkeert de hobbyisten omdat daar geen onderscheid meer is tussen malware makers en eigen OS makers.
En jij compileert nooit een kernel? Als je een beetje exotische hardware hebt moet je wel je eigen kernel compilen.
Als je geen exotische hardware kunt gebruiken is dat een rem op de innovatie.
Moet je geen exotische hardware kopen...
mag ik dat even lekker zelf bepalen?
Dan koop je toch een focking moederboord waarop je secure boot kan uitschakelen? (Lees: elk willekeurig mobo).

Serieus zeg, MS wil dat als je een stickertje van windows op een computer geplakt wordt dat secure boot standaard aan staat. Redelijk logisch gezien dat het gewoon veiliger is. Thats it, niks anders. En allemaal mensen gaan over hun nek met zelfverzonnen doemscenarios die nergens op slaan.
linux is opensource, keys zijn niet opensource. dat komt er dus op neer dat linux standaard geleverd moet worden met niet opensource software en dan mag niet onder de gpl licentie.
Klok, klepel? Een signed binary kan prima open source zijn. Een key is een key en geen programmacode, dat kan nooit "open source" of "closed source" zijn.

[Reactie gewijzigd door Dreamvoid op 30 oktober 2011 14:03]

Er zit een beperking in het GPL die je kan uitleggen als dat je de prive-sleutel moet publiceren wanneer je een gesignede (GPL) binary verspreidt. Als je de prive-sleutel verspreidt heeft de hele beveiliging natuurlijk geen zin meer.
Daarbij; malware bij Linux ? Het zal er wel zijn maar door het schaarse Linux-gebruik is het voor kwaadwillenden niet heel interessant om er malware voor te schrijven. Daarbij heeft malware geen root-toegang en worden er voor Linux in veel hoger tempo patches en updates uitgebracht.

Je zou de keys wel kunnen leveren door deze bijvoorbeeld toe te voegen aan "ubuntu-restricted-extras", alleen heb je daar niet zo veel aan als de keys al vóór de installatie geladen en geverifieerd moeten zijn.

Wat mogelijk zou zijn is dat je met een Linux-disk opstart en je eerst een dialoog moet bevestigen omtrent het gebruik van Secure-Boot keys. Goed, ik ben er verder geen expert in; ik denk simpelweg hardop. Geen idee of de GPL een dergelijke optie toestaat.
Malwaremakers stelen ergens wel een key. Geen enkele beveiliging is 100% waterdicht. Kijk maar naar de PS3; het meeste dataverkeer had een encryptie. Toch is de beveiliging na 5 jaar ingestort.

Hackers willen juist dat je het moeilijk voor ze maakt. Hoe moeilijker; des te groter de uitdaging. In dat wereldje draait het om onderling respect. Ik geloof namelijk niet dat er vandaag de dag nog veel idealisten onder de hackers zijn. Wat mij betreft maakt het allemaal niet uit; zolang het resultaat er maar naar is.

Onthoud ook dat dit "SecureBoot" een schaduwzijde heeft; zodra deze beveiliging gekraakt wordt heeft een kwaadwillende direct toegang tot de UEFI en kan je hele BIOS-configuratie overhoop gooien (met alle gevolgen van dien). Dit "patch" je dan niet even gemakkelijk. De kans dat je dan een ander moederbord (zonder UEFI) moet aanschaffen is dan wel reëel.
dat verwacht ik niet... de beperkingen worden namelijk niet door Microsoft zelf toegevoegd/aangebracht. Dat doen de pc bouwers.
Dat zijn geen "foutjes" hoor, dar zijn doelbewuste keuzes van MS om het probleem van pre-OS malware tegen te gaan.

Vanuit MS zijn standpunt is er ook geen probleem. Als er een sticker op een systeem staat dat het geschikt is voor windows dan is er geen probleem meer met pre-OS malware op dat systeem.

Er is geen enkele regel die een fabrikant verbied om systemen zonder stickers met :geschikt voor windows te leveren.

Oftewel voor Linux is er ook geen enkel probleem als die met wat fabrikanten een aparte lijn ontwerpen.

Er is enkel een probleem als je als linux zijnde mee wilt liften met de goedkope windows-pc's...
Neen, dan begrijp je het verkeerd. Iedere Linux distro die zijn broncode openbaar wil maken (iedere distro dus) kan niet opgenomen worden in UEFI, omdat iedereen van die (open source) sleutel gebruik kan maken.

Vooral als je je realiseert dat er honderden distributies zijn (en tientallen 'grote distros') die allemaal open source zijn zou je moeten begrijpen dat Secure Boot en Linux nooit samen zullen kunnen werken.

Uit mijn eerdere link kun je ook lezen dat de huidige moederbord/UEFI bouwers al shortcuts nemen met als uitgangspunt dat er alleen Windows op een computer zal staan.
Volgens mij begrijp je het principe van de sleutel niet. UEFI zou moeten toestaan dat gebruikers zelf sleutels installeert voor de partijen die hij vertrouwt.

Microsoft wil zijn sleutels voorgeïnstalleerd hebben (omdat dit het handmatig installeren onnodig maakt).

Desondanks denk ik dat ook Microsoft er belang bij heeft als iedereen de Microsoft-sleutel kan uitschakelen en vervangen in UEFI. Immers, mocht de voorgeïnstalleerde sleutel gecomprimeerd zijn dan kan de gebruiker een nieuwe installeren.
Ik weet niet of je op mij reageert, maar users worden juist niet vertrouwt om sleutelbeheer te doen. Immers, als de user het kan; kan malware dit ook.

Lees voor meer info dit even door: http://mjg59.dreamwidth.org/5552.html
Immers, als de user het kan; kan malware dit ook.
Als het installeren van sleutels alleen kan via het BIOS-menu en niet vanuit een draaiend OS, is dit niet het geval.
Gebruikers worden niet vertrouwd omdat ze dan ook software kunnen installeren/draaien die zich niets aantrekt van o.a. DRM-beveiligingen. Gebruikers mogen niet per ongeluk malware kunnen installeren, niet per ongeluk of expres films kijken of muziek luisteren die ze niet gekocht hebben en zakelijke gebruikers mogen de data van hun werkgever niet zomaar kunnen kopiëren, bv naar de HDD van hun notebook, naar hun thuiscomputer of naar het systeem van een (toekomstige) concurrent.

Het Trusted Computing Platform is een veelomvattend begrip. Zet je secure-boot uit dan is je systeem van de ene moment op het andere niet meer vertrouwd en dan zal je Windows misschien nog (beperkt) werken, echter Mediaplayer bijvoorbeeld niet meer.

Sterker nog, in de licentievoorwaarden van Microsoft staat al sinds die tijd dat je Microsoft toestemming geeft om ongewenste software en media-bestanden te verwijderen en het installeren van ongewenste software te verhinderen. Ongewenste software volgens de Microsoft definitie is dus niet alleen malware, maar ook software die acties uit kunnen voeren buiten het security-systeem van Microsoft ook, mogelijk zelfs alle FLOSS waaronder alles wat onder GPL valt. Microsoft bepaalt immers wat onder de definitie ongewenste software valt.
Ik weet niet of je op mij reageert, maar users worden juist niet vertrouwt om sleutelbeheer te doen. Immers, als de user het kan; kan malware dit ook.

Lees voor meer info dit even door: http://mjg59.dreamwidth.org/5552.html
En ik hoop dat je kan begrijpen dat wij al gebruikers een derde partij niet zomaar zonder pardon vertrouwen? Toevallig het nieuws gelezen en gehoord wat er allemaal met Sony is gebeurd? Dat is het resultaat van gebruikers die (onwetend) een derde partij vertrouwen en die derde partij ineens een berg features uit 'jouw' apparaat sloopt.

Microsoft kan er zelfs voor kiezen om met 'secure boot' in eerste instantie wel third-party OS'en toe te laten en dan spontaan alle keys behalve die van Windows 8 vereisen in te trekken, of iedereen faalt ineens zijn WGA validatie en mag voor een nieuwe Windows gaan betalen.

Vervang 'malware-makers' maar door 'software-piraten' en uiteindelijk door lui die voor de hobby of omdat hun hardware dat vereist hun eigen OS schrijven. Want boeven en hobbyisten zijn toch niet van elkaar te onderscheiden, en alleen de partijen met het grote geld zijn de goeien, toch?
Grappig gezien het feit dat sinds het Diginotar schandaal de gebruikers die grote giganten en het complete systeem niet meer vertrouwen. Men brulde op een complete herziening van het systeem en vervolgens gaat men hetzelfde doen met Secure Boot 8)7 Wat Diginotar vooral heeft laten zien is dat het nogal een zwak systeem is, je moet altijd maar een ander op z'n blauwe ogen vertrouwen. Dat dat niet werkt hebben we ook gezien aan al die berichten waarbij men in de fabriek dingen als harde schijven en mp3 spelers van malware voorzien omdat ze besmet waren en dat niet doorhadden.

Secure Boot an sich is dus eigenlijk een heel erg slecht systeem. Voor de gewone gebruiker werkt het niet vanwege het Digitnotar en die malware-in-de-fabriek verhalen. Voor power users die met een ander OS willen werken ook niet omdat zij de keys niet kunnen wijzigen en daardoor een heleboel dingen niet kunnen doen. Virtualisatie is dan weliswaar een uitkomst maar dat is het vaak ook niet helemaal omdat non-Windows systemen nou niet bepaald goed worden ondersteund (VMware is nog altijd de beste daarin).
Hoezo? Linux distro's kan ook gebruik maken van Secure boot als ze dat zouden willen en dus zelf die sleutels willen gaan uitbrengen.

Het lijkt erop dat mensen zich hier helemaal niet eens een beetje verdiepen in wat er nu in werkelijkheid gaande is en wat het werkelijke standpunt van Microsoft is ten aanzien van Secure boot (ofwel dat ze helemaal niets verplichten (oa mbt uitsluiten van het kunnen uit zetten van de optie) aan de hardwaremakers).

Secure boot is NIET verplicht voor Windows 8, Secure boot is beschikbaar voor ALLE OSsen die dit willen ondersteunen.
Wanneer je de UEFI Secure boot specificatie er bij neemt dan staat daar heel duidelijk in dat een fabrikant o.a. de mogelijkheid moet geven om dit uit te schakelen. Daarnaast is Secure boot binnen UEFI een optionele toevoeging van de fabrikant en geen verplicht onderdeel. Dat Microsoft de wens heeft uitgesproken dat ze graag zien dat fabrikanten het "ondersteunen" is iets anders, daarnaast ondersteund Microsoft het straks in Windows 8 en de opvolger van 2008 R2. Echter hoeft het niet aanwezig te zijn en niet aan te staan.

Waar mensen zich wel zorgen over moeten maken is het volgende uit de UEFI 2.3 specificatie:

Processor compatibility
As of version 2.3, processor bindings exist for Itanium, x86, x86_64 and ARM.

The BIOS is limited to a 16-bit processor mode and 1 MB of addressable space due to the design being based on the IBM 5150 which used the 16-bit Intel 8088.[4][13] In comparison, the UEFI processor mode can be either 32-bit (x86-32, ARM) or 64-bit (x86-64 and Itanium).[4][14] 64-bit UEFI understands long mode which allows applications in the pre-boot execution environment to have direct access to all of the memory using 64-bit addressing.[15]

UEFI requires the firmware and operating system to be size-matched; i.e. a 64-bit UEFI implementation can only boot a 64-bit UEFI operating system.


Dat wil zeggen: Wanneer je een 64 bit systeem hebt en je hebt UEFI op het systeem, dan ben je verplicht om van iedere OS versie de 64-bit tegenhanger te draaien. Op Windows is dat niet zo een probleem omdat Windows OS 64-bit alles draait wat maar 64 of 32 bits is. Maar ik ken software die het vertikt om op 32-bit linux te draaien, of beperkt op 32-bit Linux draait.
Voor iedereen die op zoek is naar die petitie: kijk eens op de site van FSF, meer bepaald hier: http://www.fsf.org/campai...restricted-boot/statement
Als de fabrikanten deze voorstellen niet accepteren, dan kunnen ze er zeker van zijn dat er BIOS firmware updates worden ontwikkeld door de Linux community. Neem als voorbeeld het Coreboot project.

In dat geval kan een kwaadwillende alnog dit beveiligingsysteem teniet doen. UEFI is volgens mij een lachertje als het om beveiliging gaat.

[Reactie gewijzigd door Palatinux op 30 oktober 2011 12:20]

Sowieso moet je certificaten kunnen updaten, anders stelt secure-boot nog niets voor wanneer het certificaat in verkeerde handen gevallen is.
Dus het in beperkte mate toe kunnen voegen van certificaten lijkt mij helemaal geen verkeerde optie.
Dus het lijkt mij helemaal geen gek idee voor fabrikanten om updaten en toevoegen van certificaten toe te staan.
Dat lijkt mij ook. Ik heb zo'n idee dat het ook mogelijk is om de hele UEFI beveiliging te omzeilen door het deel van Windows te infecteren dat direct na de bootloader actief is en niet meer wordt gecontroleerd door de BIOS. c:\NTLDR miscchien ?
Dat wordt weer gecontroleerd door de bootloader - die zit ook in de hele keten.
- UEFI controleert de integriteit van de bootloader
- de bootloader controleert de integriteit van het OS
Dat wordt weer gecontroleerd door de bootloader - die zit ook in de hele keten.
- UEFI controleert de integriteit van de bootloader
- de bootloader controleert de integriteit van het OS
En dan mag je me uitleggen wie dan de integriteit van UEFI controleert?

Als die niet hard in een ROM gebakken zit (wat tegenwoordig niet meer gebeurt, het maakt updaten nogal moeilijk) kun je daar nog altijd kwaadwillende code in injecteren en verplaats je dus het probleem alleen maar.
Het UEFI is de eerste schakel in de secure-ketting, dus als je die inderdaad hackt is de hele ketting te breken.
Kan iemand mij uitleggen waarom ik dit als consument zou willen, zo'n secure boot?
Ik begrijp dat er alleen maar een trusted code geboot kan worden, maar volgens mij komen malware of virussen die zich nestelen in een bootloader toch niet tot weinig voor.

Of is dit een reeele attack vector waar we ons allemaal tegen moeten wapenen?
Ze komen wel degelijk voor, niet in de grote aantallen van 'gebruikelijke' virussen.
Maar ze zijn er wel degelijk! En het moeilijke is dat ze bijna niet te detecteren zijn.

Ze worden worden actief voor het daadwerkelijk OS, waardoor de antivirus in het OS compleet om de tuin word geleid of uitgeschakeld.
Ze lijken juist steeds meer voor te komen. Ze richten zelf meestal geen schade aan maar zijn downloaders voor andere malware.
een voorbeeldje: http://www.f-secure.com/weblog/archives/00002101.html

Ik kom ze nu met enige regelmaat tegen. De oplossing is redelijk simpel (bootcd > fixboot + fixmbr) er achter komen dat het eropzit moeilijker.
De oplossing is redelijk simpel (bootcd > fixboot + fixmbr) er achter komen dat het eropzit moeilijker.
Ik kan me herinneren dat ze een sleutel installeerden zodat na deze oplossing je bestanden niet meer leesbaar waren. Dan ben je dus effectief alle gegevens kwijt (hoeveel mensen hebben een backup?) De malware zelf blijft uiteraard wel op het systeem staan. Daarna formatteren is dus ook zinvol, pas dan is je systeem echt schoon.
Mag je wel alles opnieuw gaan installeren en zo.
Ze komen voor, en steeds vaker. Meestal doen ze slechts 2 dingen: Het AV-programma op de desbetreffende computer uitschakelen en daarna andere malware downloaden (en installeren).
Secure Boot zorgt toch alleen voor dat alleen bepaalde bootloaders gestart kunnen worden? Als in die bootloaders gewoon support voor meerdere OSsen zit, is er niet echt een probleem. In feite krijg je dan dezelfde situatie als met Boot Camp op de Mac, waar je meerdere OSsen (Linux, Windows) kan draaien, maar alleen via Apple's bootloader.
Volgens de opstellers is secure boot weliswaar een nuttige methode om systemen beter te beveiligen...
Het hele security model achter Secure Boot is dan ook best logisch: een ketting aan 'trusted' software van UEFI, bootloader, OS zodat je niet meer onzichtbare rootkits kan injecteren in een pre-OS stadium. Ik snap heel goed dat de Linux wereld niet buitengesloten wil worden - mits netjes geimplementeerd kan het een behoorlijk effectieve security boost zijn. Ik verwacht eigenlijk dat vooral bedrijven dit graag omarmen om te voorkomen dat via werknemers allerlei rootkits binnenkomen.

[Reactie gewijzigd door Dreamvoid op 30 oktober 2011 14:08]

Microsoft heeft ook aangegeven er helemaal niet op uit te zijn om linux hiermee te blokkeren en dat het installeren ook gewoon mogelijk blijft. Om te beginnen kan het secure boot ook uitgezet worden. Ik denk dat het deels bedoeld is om totaal paketten (bv tablets), waar hardware en OS zijn gebundeld en strak op elkaar zijn aangepast te koppelen. Je kunt ook geen windows installeren op een iPad, daar hoor je niemand over.
Microsoft heeft ook aangegeven er helemaal niet op uit te zijn om linux hiermee te blokkeren
Het is alleen een mooi neveneffect
Om te beginnen kan het secure boot ook uitgezet worden.
Niets kan MS tegen houden om net dat te gaan verbieden bij de grote OEMs, het is net dat waarvoor veel mensen schrik hebben.

Vandaag kan Windows nog booten zonder secure boot, maar in de toekomst kan en zal daar verandering inkomen. Dan moet je al telkens de isntelling gaan aanpassen telkens je tussen de OSen wilt wisselen, bijkomend heeft MS de mogelijkheden om OEMs te dwingen secure boot niet uitschakelbaar te maken, ze kunnen gewoon in de korting snijden die ze uitdelen aan deze OEMs.
Niets kan MS tegen houden om net dat te gaan verbieden bij de grote OEMs,
Uh, iedereen kan MS daarin tegenhouden. Van de OEMs zelf, tot aan de Linux community tot aan Google en de bakker op de hoek toe.
Inderdaad, de iPad is momenteel de meest gebruikte tablet, maar klaagt de Linux Foundation of het FSF daar over? Nee. Ze richten zich gewoon op Microsoft om MS zo ver mogelijk in het zwart dag licht te stellen. Dit is een zeer goed voorbeeld om de reden die jij noemt en: Microsoft heeft nooit gezegt dat Secure Boot niet uitschakelbaar mag zijn, dat licht in de hand van de fabrikanten en bij wie licht dan het probleem? Ja, de fabrikanten. Maar bij wie legt het FSF en de Linux community het probleem? Ja, bij Microsoft, die enkel en alleen willen doen waar de Linux community al jaren over klagen om Windows: veiligheid.
Als secureboot enkel 'bepaalde' bootloaders toestaat dan heeft de functie an sich weinig nut. Immers, na het draaien van die bootloader is alles daarna kwetsbaar voor enge zooi en het is voor rootkit-ontwikkelaars dan ook een koud kunstje hun meuk op te starten direct nadat de bootloader is opgestart.

Wat een oplossing zou kunnen zijn is door een universele bootloader te ontwikkelen waarin nieuwe bootoptie's automatisch gesandboxed worden. Dus stel je hebt een bootloader die gecertificeerd is voor enkel Windows dan zouden Linux installaties eenvoudigweg geinstalleerd kunnen worden a la Grub. Het enige dat zo'n sandboxed OS dan niet kan is het benaderen van andere sandboxed OS'en en dat hoeft eigenlijk ook niet want zo'n OS heeft niets bij het andere OS te zoeken.

Is er dan toch een rootkit die de bootloader wilt aanpassen dan lijkt dat te gaan, maar het haalt niets uit omdat deze niet bij het OS kan omdat het een extra entry wordt en dus automatisch gesandboxxed.
Als een bootloader meerdere systemen kan starten, inclusief zelf gecompileerde, is er geen sprake van een ketting aan 'trusted' software, dus zo'n bootloader zal nooit een certificaat kunnen krijgen.
Dat kan prima. Stel je krijgt bootloader X, die Linux en Windows kan starten - maar alleen bij Windows checkt op de integriteit van het OS. Dan is op zo'n systeem Windows een secure OS (immers UEFI-bootloader-Windows ketting is nog heel), terwijl Linux "potentieel onveilig" is (UEFI-bootloader is secure, maar de bootloader-Linux handoff is zonder controle).

Wat je wel heel erg goed moet communiceren aan de gebruiker (met rode schermen, waarschuwingen, etc) is dat deze bootloader-Linux handoff niet secure is, op eigen risico, etc.

[Reactie gewijzigd door Dreamvoid op 30 oktober 2011 14:31]

Zolang ze me maar de keuze geven of ik zoiets wel of niet wil activeren in het bios maakt dit weinig uit.
Als fabrikanten als Dell systemen willen verkopen die enkel windows booten dan maakt dat toch niks uit, zolang ze het vermelden en een alternatief hebben.

Zoiets is misschien handig voor bedrijven.
Ik zou zelf het liefste een ouderwetse jumper op het moederbord zien die je moet omzetten om je uefi te updaten of een nieuwe sleutel voor een nieuw OS the accepteren.
Als er namelijk een optie komt om dit uit te zetten via software dan schrijft er iemand wel weer een exploit voor en is de hele secure-boot functie waardeloos.
Een jumper moet je zelf handmatig omzetten en geeft dan de mogelijkheid om iets anders te installeren terwijl de 90% van de bevolking die geen flauw idee hebben wat linux is toch optimaal beveiligd worden door de secure-boot functie (niet vergeten dat deze functie niet alleen nadelen heeft maar ook voordelen vooral voor de normale niet-tweaker Windows gebruiker).

deze optie is wel wat moeilijk te doen in het geval van laptop's of tablet's maar hier is ook wel een goede veilige optie voor te vinden denk ik zo.

[Reactie gewijzigd door rebelangel66 op 30 oktober 2011 12:32]

Probleem is dat je die "er is een jumper nodig" beveiliging tegen flashen ook weer kan hacken in de software.
ja en als je nou via die jumper een circuit onderbreekt waardoor je niet kan schrijven?, dan kan je ook niet hacken omdat je niet kan schrijven
Klopt, maar die circuits zitten tegenwoordig diep ergens in een chip, daar valt niet meer zo makkelijk even een grote fysieke schakelaar aan te hangen.
Nee hoor, de meeste flash chips hebben wel een write enable pin, Is echt zo moeilijk niet. Wat mij betreft is het probleem hierbij wel de drempel verhoging: Waar vroeger Jan met de ICT-pet* Ubuntu eens kon uitproberen, moet hij nu al zijn computer openmaken. Ik heb het gevoel dat het uitproberen hierbij zal stoppen. Ook keys toevoegen (overtypen) in je UEFI lijkt mij niet echt iets dat de meeste mensen als gebruiksvriendelijk ervaren, terwijl de huidige Ubuntu installatie dit wel is. Ik ken anders wel wat mensen die Ubuntu gebruiken maar verder echt geen hackers/tweakers zijn.

Wat mij betreft is het eigenlijk een bijzonder lepe manier van Microsoft om mogelijke concurrentie zoveel mogelijk aan de kant te zetten: Je kan immers niet zeggen: "Evil Microsoft: ze belemmeren alle concurrentie. Neelie doe hier iets aan!!!" Nee hoor: MS houdt alle deuren open, alleen weet niemand zonder grondige kennis die deuren zijn.

*jan met de ICT-pet = Jan met de pet, maar dan met een bovengemiddelde computerkennis.
Misschien is het concept UEFI niet helemaal duidelijk, maar een jumper is totaal niet nodig. UEFI bestaat er in twee soorten implementatie welke afhankelijk van hoe veel geld je wilt uitgeven is geïmplementeerd.

Mogelijkheid 1: Op eigen CPU/memory/Flash. Deze mogelijkheid start het systeem, start UEFI en laad daarna het boot image vanaf het boot path in het geheugen van het systeem waarna 1 core gestart wordt met het boot image. De UEFI blijft op de achtergrond gewoon draaien en is veelal te benaderen via een eigen netwerk kaart of seriële poort. Aangezien UEFI op eigen flash staat inclusief code en boot parameters en er geen toegang is vanuit het systeem zelf kan het OS hier niet bij. Firmware updates en dergelijke zijn ook niet vanuit het "gast" OS uit te voeren. Daarnaast is toegang afgeschermd door user authenticatie. Voorbeelden van deze implementatie zijn o.a. HP Itanium systemen.

Mogelijkeid 2: Deze methode werkt eigenlijk exact het zelfde. Het systeem boot UEFI vanuit een beschermde omgeving vanaf een flash device, echter gewoon met de aanwezige CPU en geheugen. UEFI leest de boot config en laad na de nodige controles het boot image van het "gast" OS waarna deze wordt uitgevoerd. Echter schakeld UEFI voordat controle wordt gegeven de toegang uit tot een aantal onderdelen waardoor deze niet vanuit het "gast" OS zijn te benaderen/beschrijven. Het enige wat een gast OS kan doen is een "boot path" toevoegen (niet eens aanpassen volgens de specificaties). Firmware flashen etc, kan alleen vanaf een boot cd/usb disk en niet default vanuit het OS, om toch vanuit het OS te kunnen flashen is er speciale software nodig van de fabrikant die de flash mogelijk maakt, hierbij wordt er meer gedaan dan alleen een bitje ergens gezet maar gaat dit op basis van sleutels.

Daarnaast, een FULL UEFI systeem heeft geen BIOS instellingen maar laad een speciale module om systeemparameters te wijzigen.

Een goed voorbeeld zijn IBM Servers welke al een aantal jaren UEFI ondersteunen.
En als nou eens je garantie vervalt als je je pc open maakt?!

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True