Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 94, views: 16.893 •

Dell en HP willen in nieuwe pc's de mogelijkheid bieden om secure boot, dat onder andere met Windows 8 kan worden gebruikt, in de uefi uit te schakelen. Daarmee zou het alsnog mogelijk worden om andere besturingssystemen te booten.

In de laatste weken is in de opensourcewereld onrust ontstaan over de mogelijkheid dat computerfabrikanten de secure boot-optie gaan afdwingen. Gevreesd werd dat er geen mogelijkheid zou komen om deze uit te schakelen in de 'bios-vervanger' uefi. Microsoft zou de secure boot-optie in Windows 8 willen benutten om het besturingssysteem minder kwetsbaar te maken voor malware-aanvallen, maar vooral Linux-gebruikers vrezen dat zij door deze optie niet langer een ander besturingssysteem kunnen draaien. Onder andere de FSF en de Linux Foundation kwamen in opstand.

Dell noch HP zou echter plannen hebben om secure boot af te dwingen bij computergebruikers, zo meldt ZDnet. Een woordvoerder van HP stelde dat het bedrijf de keuzevrijheid van zijn klanten respecteert en dat het daarom een optie in de uefi zal aanbieden om secure boot uit te schakelen. Ook Dell zal een dergelijke optie aanbieden.

Naast HP en Dell zou ook bios-fabrikant AMI hebben laten weten dat het zijn klanten zal adviseren om in de uefi een optie te bieden om secure boot uit te schakelen. Hierdoor is de kans toegenomen dat alle grote pc-fabrikanten de lijn van Dell en HP zullen volgen en het potentiële secure boot-probleem niet zal optreden. Er zijn echter nog geen initiatieven bekend die de mogelijkheid bieden om secure boot ook met andere besturingssystemen te gebruiken.

Reacties (94)

Mooi zo, weer lekker dual booten met linux ^^
Een juiste beslissing lijkt me. Extra beveiliging is goed, dat hij standaard ingeschakeld is ook nog wel, maar ik vind dat je als gebruiker in staat moet zijn om dat te wijzigen :).

Wanneer twee grote partijen (HP en Dell) hiertoe besluiten, is de kans groot dat ook andere grote spelers (Acer, Asus, Sony, noem ze op) ook deze mogelijkheid gaan bieden.

Wel vraag ik me af of dit voor alle systemen zal gaan gelden, bv de consumer oriented Compaq's, netbooks, goedkope laptops, etc. De ervaring leert ons dat het BIOS van zulke systemen soms zeer gelimiteerd is. In dat licht zou het me niet verbazen wanneer de UEFI's hiervan dit ook zijn, en de optie daar niet uitgeschakeld kan worden.

Het zou wel opvallend zijn. Wanneer ze daarvoor kiezen wordt Linux een beetje gezien als de power user-optie (duurdere machine, power-user), en dat komt de integratie bij het grote publiek niet ten goede.

Maar goed, misschien loop ik iets te ver vooruit.

[Reactie gewijzigd door Eagle Creek op 3 november 2011 13:58]

Alleen jammer dat je de beveiliging dan ook voor Windows kwijt bent, zoals het er nu naar uit ziet. Ik zou liever zien dat dual boot Ún Linux ondersteund wordt door secure boot...

Voor de volledigheid, zie RoadRunner84, miw en Blokker_1999

[Reactie gewijzigd door DeeD2k2 op 3 november 2011 17:26]

Beter lezen: "de mogelijkheid bieden om secure boot, dat onder andere met Windows 8 kan worden gebruikt, in de uefi uit te schakelen"
Dat suggereert dat het standaard aan staat.
En daarmee de beveiliging, voor wie dat graag wil ...

En als linux fan zet ik het dan uit: weinig last van virussen, dus die ongein hoef ik (voorlopig) niet. Bovendien is het een opstapje naar een vorm van "Trusted Computing" waar ik (voorlopig) niet aan wil. Wat er later gebeurt, zien we dan wel weer.
Nee, dat klopt dus niet helemaal. Als je zowel Linux als Windows wilt hebben kan je in geen an beiden secureboot gebruiken. De veiligheid van je Windows installatie neemt dus af door de mogelijkheid om Linux te draaien.
Mja, ik mis dan ook de optie om zelf een certificaat toe te voegen. Als dat kan kun je linux nl. met je eigen toegevoegde certificaat ondertekenen (en niet alleen linux uiteraard) en dan hoeft secure boot dus niet uit.

Zie zeker wel nadelen aan trusted computing overigens, maar dat is met name dat fabrikanten bepalen wat er draait (met name t.b.v. waarborgen DRM ellende). Voor secure boot zie ik dat niet zo. Is wel prettig als het alleen boot wat je zelf wilt (dan moet je dus wel zelf certificaten toe kunnen voegen of bij Win 8 blijven).
Mja, ik mis dan ook de optie om zelf een certificaat toe te voegen. Als dat kan kun je linux nl. met je eigen toegevoegde certificaat ondertekenen (en niet alleen linux uiteraard) en dan hoeft secure boot dus niet uit.
En dat opent dan weer de deur voor allerlei malware dat ter plekke een (self-signed) certificaat genereert en toevoegt.
Nee hoor, certificaat op flashdisk, boot in BIOS (setup), BIOS vind certificaat op flashdisk, toevoegen? ja/nee.

Als het alleen via de BIOS zelf kan is er geen probleem (er moet dus inderdaad geen API voor komen)
Ik heb het slecht voor met iedereen. Ik zet een aangepaste ubuntu online (torrents/ubuntu site). Bij het booten op een systeem met secureboot geef ik een melding dat het niet gaat met secureboot aan. Omdat het moederbord de key nog niet ondersteund (De Ubuntu versie is recenter als het moederbord). Ik geef ook onmiddellijk aan dat er een mogelijkheid is om op dat moment een certificaat aan te maken en te uploaden in efi, indien ze een geschikt media (floppy/usb/...) in de pc stoppen. En anders kunnen ze gewoon de beveiliging uitschakelen.

Eens kijken hoeveel mensen dan besmet raken met vervuilde certificaten. Mensen klikken nogal snel op ja/volgende/akkoord/... zonder eigenlijk te zien wat ze nu eigenlijk gedaan hebben.

Je moet de kwaadwilligen niet onderschatten, zolang er geld mee te verdienen valt vinden ze wel een manier.
En waarom zouden mensen jouw torrent downloaden als ze de officiele torrent van de officiele site kunnen krijgen?

Natuurlijk blijft de gebruiker de zwakste schakel
Dus de officiŰle site kan onmogelijk gehackt zijn geweest? Nee dat hebben we inderdaad nog nooit gezien nee.
En dit kan niet met een illegaal gedownloade Windows X installatie?
Als het met Linux kan, kan het met Windows ook, lijkt me.
Secure boot is net zo veilig of onveilig als welke andere beveiliging op de pc dan ook, denk ik zelf. Daarom zie ik er zel dan ook weinig in.
Je moet de kwaadwilligen niet onderschatten, zolang er geld mee te verdienen valt vinden ze wel een manier.
Tja, dat betreft geen kwaadwilligen dat betreft het probleem van lakse/domme gebruikers, dat is iets van alle tijden en het zou onterecht zijn als de keuze van normale gebruikers door de "domme" massa worden ingeperkt .

TPM wordt verkocht als een beveiliging maar de primaire reden is volledige controle van een externe partij over hardware die je gekocht hebt, een soort console omgeving op je pc met als excuus dat het de veiligheid vergroot (en voor ms natuurlijk handig dat het weer een "nieuwe" tool is om de concurrentie lastig te vallen, ze hebben dit al een keer eerder geprobeerd).
Ook voor Linux installaties zijn er veel toepassingen die kunnen profiteren van een secure boot faciliteit. Het enige probleem is dat de huidige systemen nogal wat beperkingen hebben.
Mja, ik mis dan ook de optie om zelf een certificaat toe te voegen. Als dat kan kun je linux nl. met je eigen toegevoegde certificaat ondertekenen (en niet alleen linux uiteraard) en dan hoeft secure boot dus niet uit.
Twee weken geleden heb ik (onder het artikel "FSF start petitie tegen 'secure boot'-restricties") een reactie geplaatst die wat dieper op die mogelijkheid in gaat. Korte samenvatting:
  • Als Secure Boot uit kan dan is het zinloos; het OS weet dan immers niet van wie de melding "Het systeem is gestart met Secure Boot." afkomstig is: het UEFI of een rootkit (die actief kon worden omdat Secure Boot eigenlijk uit stond).
  • Je moet heel goed nadenken over hoe je alternatieve keys wilt laten installeren; het moet onmogelijk zijn om dat per ongeluk te doen en het moet onmogelijk zijn voor malware om het op eigen houtje te doen.
  • Voor zover ik kan zien is niemand tegen het idee (de voordelen) van Secure Boot, het enige waar zorgen over zijn is de implementatie (de nadelen die erbij komen). Het lijkt me goed om dat bij de discussie in het achterhoofd te houden.
Overigens, onder hetzelfde artikel heeft The Zep Man ook een uitstekende reactie geplaatst; als ik toch aan het linken ben dan mag die ook wel even genoemd worden. ;)
[...]
Twee weken geleden heb ik (onder het artikel "FSF start petitie tegen 'secure boot'-restricties") een reactie geplaatst die wat dieper op die mogelijkheid in gaat. Korte samenvatting:
[list]
• Als Secure Boot uit kan dan is het zinloos; het OS weet dan immers niet van wie de melding "Het systeem is gestart met Secure Boot." afkomstig is: het UEFI of een rootkit (die actief kon worden omdat Secure Boot eigenlijk uit stond).
We leven in een kapitalistische samenleving, niet een communistische. Strekking hiervan: ik bepaal wat ik koop, niet MS of wie dan ook.
En aangezien ik liever hetv (nu beperkte) risico op een bios/UEFI boot virus of zo neem, dan het risico dat "derden" bepalen wat ik mag doen met een door mij betaalde pc, niet een door hun aan mij verhuurde (linux) pc, gaat het secure boot wegens (verhoogd) TPM risico er bij mij gewoon domweg niet komen.
En of dit nu dom of slim van mij is, vind ik niet relevant. Wel relevant vind ik dat b.v. MS niet bepaald onder welke voorwaarden door mij uitgegeven geld kan worden "gebruikt".
Uiteraard kan je voor Windows dan wel secure boot gebruiken. Het enige probleem is dan dat je bij elke wissel eerst je uefi in moet gaan om de instelling aan te passen.
Natuurlijk zou dat het mooiste zijn, maar standaard staat de secure boot aan. Alleen gebruikers die Linux willen gebruiken zullen het moeten uitschakelen. (een klein percentage waarschijnlijk)

Ik verwacht dat het volgende gaat gebeuren (bij nieuwe pc's):
[Disclaimer: het volgende scenario gebruikt cijfers die verzonnen zijn en dienen alleen ter illustratie] :+

Bij 95% van de gebruikers (van nieuwe computers) staat straks secure boot aan, de overige 5% heeft het uitgeschakeld omdat hij/zij nog een besturing systeem wil gebruiken.

Het gevolg is dat het voor virusschrijvers een stuk minder interessante om een (rootkit ) virus te schrijven omdat slechts 5% hiervoor gevoelig is. Daarnaast bestaat die zelfde 5% voornamelijk uit gebruikers die over het algemeen wat "slimmer" (technischer) is dan de gemiddelde gebruiker. Deze groep gebruikers nooit het doelwit geweest van virussen, dat is namelijk de "domme" niets wetende gebruiker.

Conclusie: Rootkit / Bootloader virussen worden straks een stuk minder gebruikt omdat het niet meer interessant is voor de makers.

[Reactie gewijzigd door Kwastie op 3 november 2011 15:21]

Dit klinkt eigenlijk helemaal niet gek, en dat zou een hele positieve ontwikkeling zijn

Edit: stomme gaapsmiley

[Reactie gewijzigd door TNT LotLP op 3 november 2011 14:36]

Daar sla je de plank dus mis.

Een 'intelligente' computer gebruiker zal eerder door hebben dat er malware op staat als deze zich aanzienlijk misdraagt of ellende veroorzaakt. Zo lang dat ding een beetje staat te slapen en geen processen onder uit haalt hebben de geavanceerdere gebruikers dat ook niet zo maar door. Verre van zelfs. Of ga je ons vertellen dat jij iedere dag monitort wat er in het geheugen staat, hoe je bootsector er uit ziet en wat voor netwerkverkeer er over de lijn loopt?

Een virus dat echt op de achtergrond blijft en weinig spannends doet is meestal niet zomaar gevonden.
Jij hebt het nu over een groep mensen die "denken" slim te zijn met computers dit is over het algemeen dezelfde groep die wel eens software of games downloaden (en dus een crack gebruiken).

Dit is naar mijn inziens niet dezelfde groep die secure boot uitzet om Linux te installeren, natuurlijk zullen er mensen zijn die dit wel doen maar het is een nog kleiner percentage.

Laten we ervan uit gaan dat dit 50% van de mensen die secure boot heeft uitstaan onder deze groep valt dan is het slechts 2.5% van de totaal gebruikers.

Maar het hele idee van Secure boot is het voor virus makers zo oninteressante mogelijk te maken, het is niet bedoeld om het volledig uit te bannen. Maar 2.5% mogelijk infecties is een redelijk te overzien percentage

Edit:
Persoonlijk ben ik trouwens wel iemand de regelmatig zijn computer controleert op virussen, maar virussen zouden alleen binnen kunnen komen van lekken in software die ik gebruik.

Ik ben namelijk iemand die tegen software/game piraterij is, daarom download ik geen geen software/games maar koop ik het. Piraterij is denk ik de grootste bron van virus infecties onder de "intelligente" computer gebruikers.

[Reactie gewijzigd door Kwastie op 3 november 2011 15:30]

het zal standaard gewoon aan staan en enkel de gebruikers die het willen uitschakelen (en daar dus al een zeer goede reden voor moeten hebben, zoals een ander OS draaien) zullen het uit zetten.

Net zoals de firewall van windows die standaard is ingeschakeld, kan je indien gewenst deze uitschakelen (en een andere draaien).

Dit is om onwetende gebruikers te beschermen. Ik kan me perfect inbeelden dat rootkits zich voordoen als "extra beschermingslaag buiten windows" en dat er veel "domme" gebruikers het als legitiem zien.

De FSF en linuxfoundation zijn hier gewoon als blinde vliegen opgevlogen.

Wil je een dual boot hebben, dan zal je gewoon in het UEFI de optie op (windows 8) en af (linux) moeten zetten. Wil je enkel linux draaien, dan laat je ze gewoon af staan
De FSF en linuxfoundation zijn hier gewoon als blinde vliegen opgevlogen.
Beetje ondankbaar niet, het is juist omdat dit met argusogen bekeken wordt dat de grote OEM's zich geroepen voelen om de klant keuzevrijheid te garanderen en dus een optie te voorzien om deze uefi uit te schakelen... Als er niemand achter zou vragen zou een OEM er ook geen tijd en geld insteken.

Het was voor microsoft dan ook mooi meegenomen moesten andere OS'en niet geinstalleerd kunnen worden op OEM's pc's. Je mag dus blij zijn dat er nog organisaties bestaan die de keuzevrijheid voor de consument voorop stellen! Vertel mij eens wat je het liefst hebt: afhankelijk zijn van de keuze van multinationals over wat je wel en niet mag doen met je pc of open source organisaties die durven aan de alarmbel te trekken?

Bij mijn weten is nog altijd 99,999999% van de bevolking consument en heeft de consument alle belang bij meer keuze en producten die niet volledig dichtgetimmerd zijn.
De FSF en Linuxfoundation waren gewoon extreem paranoide. Het was voor iedereen vooraf al lang duidelijk dat deze secure boot optie gewoon uitgezet kon worden.
En terecht dat ze para zijn, het is al vaker gebeurd dat een fabrikant gaat lopen bepalen welke software de rechtmatige eigenaar van de hardware er wel en niet op mag draaien.
Het gaat er niet om dat het uit kan, het ging erom dat MS wilde afdwingen dat deze optie standaard aan stond (en er ook geen optie om het uit te zetten aanwezig was), dat doen ze echt niet om windows veiliger te maken en dus is het goed dat er een organisatie is die dit soort communistisch gedrag in de openbaarheid brengt.
Nou lekker dual booten wordt dat dan. Je zal dan elke keer als je wilt switchen van OS de optie aan of uit moeten zetten.
Dan start je Windows toch simpelweg in een virtuele machine onder Linux ? Ben er zeker van dat VM-software wel een virtuele BIOS-Patch meekrijgen die UEFI-Secure Boot emuleert. Tegenwoordig hebben VM's direct toegang tot de hardware en met de krachtige systemen van vandaag zul je niet veel performance-verlies ervaren.
Nee dat is niet nodig.
Van de andere kant; mensen die met Linux werken hebben over het algemeen meer verstand van computers dan mensen die puur met Windows of MacOS werken.

Linux-gebruikers zullen dan ook niet vaak een kant-en-klare PC kopen omdat ze meestal specifieke hardware-wensen hebben. Daarbij zijn zelfbouw-PC's vaak veel goedkoper. Nu kun je wel een budget-PC kopen bij de Aldi maar dan heb je toch niet de kwaliteit die je hebt met een zelfbouw systeem.

Ik vind het in ieder geval positief dat Dell en HP hier niet actief aan meewerken. De gebruiker bepaalt welke software er gebruikt wordt. Niet de fabrikant en heel zeker niet Microsoft. Die zijn sowieso al veel te dominant door Windows overal pre-installed mee te leveren.
Toch vraag ik mij af waarom ze het niet andersom doen. Dus standaard uit, maar bijvoorbeeld in Windows 1 malig een melding bij een nieuwe start met het advies deze aan te zetten indien men geen ander OS dan Windows wenst.
Omdat gebruikers nooit de default zullen veranderen. Het maakt niet uit of je 1 of 100 waarschuwingen en goed bedoelde adviezen op het scherm zet of hoe vaak die verschijnen. Als het werkt zal een gebruiker de default niet aanpassen.

Als secure boot ooit zin gaat hebben moet het dus default aan staan. Je kan het wel optioneel uitschakelbaar maken, zoals Dell en HP hier aangeven, Mensen die Linux draaien zoeken dat knopje wel en zetten het om.
Omdat beginnende/onervaren/niet-zo-slimme gebruikers dit toch niet gaan doen, terwijl dit net degene zijn waar je het net wil hebben aanstaan.
Omdat Microsoft heeft gezegd dat je het standaard aan moet zetten, wil je het logo "Windows Compatible" (oid) kunnen voeren :) In tegenstelling tot wat de grote hype lijkt te beweren, heeft MS echter niks gezegd over of het ook permanent aan moet staan of dat gebruikers het uit mogen zetten.

[Reactie gewijzigd door Egrimm op 3 november 2011 13:56]

Dit is wel aangegeven door Microsoft. De optie moet aanwezig zijn en standaard ingeschakeld zijn. De mogelijkheid om het uit te zetten mag daarbij. Dit is al heel vaak aangegeven.
Yeps, en daarom was de hele tamtam die de linux foundation en anderen (ook mensen hier) mee bezig waren, ook geheel ongegrond.
Ze hadden beter eerst kunnen informeren of fabrikanten van plan waren om de optie om secureboot uit te zetten, wilden verwijderen uit de uefi/bios om daarna te gaan gillen als ze dat van plan waren geweest.
Helemaal niet ongegrond.
Als niemand had lopen gillen, dan had Microsoft zijn gewicht in de schaal gelegd bij de vendors. En die hadden dan gewoon gedaan wat MS wilde. En dat is secure boot, zonder optie om het uit te zetten.
De vendors hebben nog altijd de mogelijkheid om hun PRODUCT als een geheel te verkopen, lees: hardware die door een specifiek OS wordt bestuurd (net zoals bij Apple, GSM's, microgolven en auto's). Aangezien er geen enkele hardwarebouwer een monopolie heeft, zouden ze dit perfect wettelijk kunnen doen.
Nogmaals... Microsoft heeft in de voorwaarden aangegeven dat je het WEL uit mag zetten. Nergens is aangegeven dat de optie niet mocht.

De fabrikanten zelf vonden de optie om het uit te zetten niet interesant.
Omdat de gemiddelde gebruiker zich dan waarschijnlijk een hoedje schrikt als er bij de voordelen van secure boot staat dat het veiliger is. Men zal dat dan al snel als een ingebouwde onveiligheid zien. Het andere scenario is dat het genegeerd wordt, waardoor het gehele nut van secure boot onderuit gehaald wordt. De gemiddelde gebruiker zit niet vaak in zijn bios/uefi.

Hoewel dit wellicht niet direct ideaal is voor de marktpenetratie van Linuxdistro's die zich op direct op de thuisgebruiker richten, is het wel nog altijd zo dat het merendeel van de Linuxdistro's in ieder geval ge´nstalleerd wordt door een handig neefje of handige buurjongen (om maar even in het ietwat genderspecifieke clichÚ te blijven hangen). Dan is secure boot uitschakelen in uefi een fluitje van een cent.
Omdat de gemiddelde gebruiker dat dan niet doet.

Het zijn de powerusers die het uit zouden willen hebben, daarvan kun je wel verwachten dat ze wat aanpassen.
Drukte om niks dus...
Iets van een storm en een glas water zeker? :)
Denk je? Misschien is deze beslissing wel genomen door alle drukte. Dan heeft de ophef dus zeker wel zin gehad.
dream on. alsof de vendors wakker liggen van het marginale aandeel linux-gebruikers. Bewijs hiervan is het feit dat er amper of nooit een OEM-pc met linux of zonder OS wordt verkocht
Het aandeel linux computers ligt wel degelijk een pak hoger dan het aantal computers dat met linux op verkocht word. Voor bedrijven als HP en Dell blijft het een interessante markt. Voor heb maakt het evenwel niet veel uit welk OS er op hun systemen staan. De voorgeinstalleerde windows word betaald met al die crapware die ze meeinstalleren.
een windows licentie kost voor een oem mss een paar dollar en ze hebben toch al allemaal een support-afdeling die perfect met windows weet om te gaan. Het is juist een probleem om voor die kleine hoeveelheid linux gebruikers een relatief grote investeringskost te moeten doen om er ook support voor te geven.

in other words: you've just proven my point ... :P

[Reactie gewijzigd door dasiro op 3 november 2011 22:56]

een windows licentie kost voor een oem mss een paar dollar en ze hebben toch al allemaal een support-afdeling die perfect met windows weet om te gaan. Het is juist een probleem om voor die kleine hoeveelheid linux gebruikers een relatief grote investeringskost te moeten doen om er ook support voor te geven.

in other words: you've just proven my point ... :P
Zegt dus een nitwit.

In het bedrijfsleven wordt veel vaker van linux gebruikgemaakt dan jij denkt.

Als het aan mij zou liggen dan wordt een computer helemaal niet verkocht met windows standaard op de schijf.

Laat men maar moeten kiezen, Windows of een distributie van Linux.
Kan de prijs van de OEM PC/notebook ook naar beneden ipv achteraf dat geneuzel om geld terug te vragen voor een ongebruikte licentie.

Ik ben voor vrije keus

Edit:
Oh ja dit kost de retail niets.
MS moet maar weer gewoon DVDtjes gaan meeleveren, zijn de gebruikers meteen af van die backup shit.
Eens kijken wat er makkelijker en sneller installeert, Windows of een linux distributie.

[Reactie gewijzigd door digifan op 4 november 2011 09:15]

En waarom wordt dit weggemod? Ik vind dit zeer ontopic, ik vond gans het geblaat van de Linuxcommunity in deze redelijk overroepen.

Het ging nooit over een complot van alle UEFI-fabrikanten om enkel nog maar Windows 8 toe te laten. Het ging over het default inschakelen (met evt. mogelijkheid tot uitschakelen) van secure boot in de UEFI op OEM-machines om een een bepaald stickertje te kunnen krijgen.

En al is dat dan niet uitgeschakeld kan worden in goedkopere OEM machines, zal dit zeker beschikbaar blijven in standaard/luxueuzere machine. Het is toch niet omdat een standaard moederbord geen overclockmogelijkheden heeft, dat er niet voldoende moederborden zijn die dit wÚl bieden? Same thing here. En vooraleer dat gemekker over "vrije keuze" weer begint: je hebt nog steeds de keuze om dat gelocked apparaat niet te kopen, bovendien, wie van de mensen die een Media Market PC koopt, installeert daar Linux op. Maar bon, dat is in deze al honderden keren gezegd.

Dus wederom: FUD van de bovenste plank...
Wat ik niet snap is de relatie Windows met een Laptop....De een is een software product en de ander een hardware product. Dat Windows op een laptop kan, is leuk, maar er zijn genoeg mensen die Linux e.d gebruiken. Dan krijg je straks dus taferelen van een windows laptop serie en een niet-windows laptop serie. Of we krijgen straks allemaal Apple achtige praktijken. ;)

Gelukkig zal het tot nu zo ver niet komen gezien dit goede nieuwsbericht :).
Secure boot is gewoon een logische koppeling van software met hardware, en zorgt ervoor dat je zeker weet wat je boot. Dit dwingt dus een bepaalde zekerheid af en is in de automatisering vrij normaal.

Wat ik niet snap is waarom een linux-installatie niet via secure-boot kan starten? Is dat omdat het generen van een certificaat te duur is?

Ah, het probleem:
“There is no centralised signing authority for these UEFI keys,” Garrett explained. “If a vendor key is installed on a machine, the only way to get code signed with that key is to get the vendor to perform the signing. A machine may have several keys installed, but if you are unable to get any of them to sign your binary then it won't be installable.”

Microsoft has said it will require that Windows 8 logo machines ship with secure boot enabled. Most likely, Windows on such systems will be signed with a Microsoft key, Garrett predicted.

Other operating systems, such as Linux, won't include any such signatures in their current state, of course. So, unless deliberate measures are taken to make them available, “a system that ships with only OEM and Microsoft keys will not boot a generic copy of Linux,” Garrett explained.

Options for Linux include providing signed versions of the operating system, but there are several problems associated with that approach, Garrett pointed out.

First, a non-GPL bootloader would be required. Grub 2 and Grub are released under the GPLv3 and GPLv2, respectively, he noted.

Second, “in the near future the design of the kernel will mean that the kernel itself is part of the bootloader,” Garrett added. “This means that kernels will also have to be signed. Making it impossible for users or developers to build their own kernels is not practical.”

Finally, if Linux distributions sign for themselves, the required keys would have to be included by every OEM, he said.
Dus het ligt aan het feit dat Linux geen platform-keys krijgt en Microsoft wel, waardoor zowel bootloader (Grub) als kernel geen hardware-authorisatie krijgen.

[Reactie gewijzigd door Garyu op 3 november 2011 14:22]

Secure boot is gewoon een logische koppeling van software met hardware, en zorgt ervoor dat je zeker weet wat je boot. Dit dwingt dus een bepaalde zekerheid af en is in de automatisering vrij normaal.
Niet alleen je, maar ook Microsoft.
Ik ben er erg sterk van overtuigt dat dit hele mechanisme pure DRM is.
Er zijn zoveel andere mogelijkheden om een OS rootkit vrij te maken. Je kunt er een virtualisatie laag tussen voegen die er voor zorgt dat geen rootkit ge´nstalleerd kan worden. Dit is was Microsoft met de XBox 360 en Sony met de PS3 doen.

Ik benieuwd hoe de mensen regeren die hier blaten dat Linux zo'n klein percentage gebruikers heeft en zich druk maakt over niets dadelijk de gene zijn die geen illegale versie van Windows meer kan installeren.

Aan de ene kant zou ik het niet eens zo erg vinden als secure boot niet uit te zetten zou zijn. Linux gebruikers weten er altijd wel een weg omheen te vinden in vorm van bijvoorbeeld Coreboot. Dan zijn we als Linux gebruikers ook direct van EFI het DRM BIOS af.
[...]
Niet alleen je, maar ook Microsoft.
Ik ben er erg sterk van overtuigt dat dit hele mechanisme pure DRM is.
Er zijn zoveel andere mogelijkheden om een OS rootkit vrij te maken. Je kunt er een virtualisatie laag tussen voegen die er voor zorgt dat geen rootkit ge´nstalleerd kan worden. Dit is was Microsoft met de XBox 360 en Sony met de PS3 doen.
Volgens mij gaat secure boot om de volgende dingen:
- linux en andere niet-windows os-en dwars zitten
- opstapje naar DRM, inderdaad
- volgende versie Windows Genuine Advantage
- afdwingen gelicenseerde software: als je een gecertificeerde Windows kunt afdwingen, kun je vast, in de nabije toekomst, ook wel gelicenseerde Adobe, Photoshop enz. afdwingen.
- die lastige, slecht te traceren gebruiker, via een geregistreerde aanschaf met naam en adres traceren, via een (uniek?) certificaat variant. En aanspreken en "beboeten" als ie niet gecertificeerde en gelicenseerde software installeert. Waarom anders ACTA met al zijn netwerk monitoring en gebruikers zonder de rechter "boetes" willen opleggen?

Ja, ik ben wantrouwig. En al sinds ongeveer 1998 zonder virussen enz., tot nu toe, op mijn pc. dus ik denk daadwerkelijk zonder secure boot te kunnen.
Er zijn zoveel andere mogelijkheden om een OS rootkit vrij te maken. Je kunt er een virtualisatie laag tussen voegen die er voor zorgt dat geen rootkit ge´nstalleerd kan worden
Of een rootkit killer in de uefi
De grap is dat het vroegah altijd zo was. Software (OS) werd voor een specifiek apparaat geschreven. Apple ontwikkelde zijn eigen systemen, Amiga deed dat, Commodore liep destijds ook nog goed en IBM ontwikkelde zijn eerste computers. Deze laatste had er echter geen goed OS voor en benaderde een klein bedrijfje genaamd "Microsoft" die Windows schreef voor IBM.

De rest is geschiedenis, Windows werd populair, IBM was een aantal patentjes vergeten waardoor er kloon pc's op de markt kwamen, bekend als "IBM compatible". Feitelijk bestaat deze situatie nog steeds en is elke pc/zelfbouw bak een IBM kloon. En omdat daar van oudsher Windows op heeft gedraaid zijn we het normaal gaan vinden dat Windows op alle pc's draait.

Iets soortgelijks zie je bij mobiele telefonie. Eerste smartphones kwamen met verschillende OS'en voor verschillende toestellen. Inmiddels is een groot deel van de markt voor Google Android dat op meerdere systemen draait. Op dit moment zijn er knutselaars bezig met dual boot telefoon, WM op een Android foon etc maar feit blijft dat de fabrikant er een standaard OS bij levert. Dus wat hier het grote probleem is weet ik niet, het is een situatie die al dertig jaar bestaat.
Euhm ... Windows is door MS nooit onwtikkeld voor IBM. MS heeft wel met MS DOS de basis gelegd voor de IBM compatible en heeft daarna met IBM onder meer aan OS/2 gewerkt. Windows was een losstaand product en Win NT is er uiteindelijk gekomen nadat er een breuk was ontstaan tussen MS en IBM.

En wat hier het probleem is? Wat dacht je van een beperking van de keuzevrijheid? Op een Apple kan je perfect Windows of Linux installeren, op elk systeem kan je kiezen welk compatibel OS je er op wenst, maar met Secure Boot heeft MS eindelijk een mogelijkheid in handen om de grootste concurent op het PC platform buiten spel te zetten. Het zal de eerst komende jaren nog niet gebeuren, maar voor het decenium over is zullen we moeten kiezen tussen systemen met en zonder Secure Boot. Ofwel Windows only en no-windows.
Ik vrees ook dat overijverige security officers binnen grote bedrijven zullen verbieden om secure boot uit te schakelen. En dan ben je nergens meer als ICT-er die graag linux erbij heeft.
Natuurlijk juich ik dit toe. Ik draag Linux een warm hart toe.

Ik denk echter dat het ook een hoop problemen verkomt. Als Secure Boot aan staat en niet kan worden aangepast krijg je veel mensen aan de lijn die gaan klagen dat ze een bepaald OS niet kunnen installeren wat uiteindelijk weer tot klachten, escalaties en ontevreden mensen uitloopt. Het doet de naam van een bedrijf geen sier aan. Aangezien Microsoft het ook niet eist zullen veel van de kant-en-klaar leveranciers (hopelijk) kiezen voor een systeem zonder Secure Boot actief.
Dat de mogelijkheid om secure boot uit te schakelen er zou komen was niet veel twijfel over, lijkt me. Waar je je (afhankelijk van hoeveel waarde je er aan hecht) wel zorgen om kan maken is hoe moeilijk het wordt straks voor een leek om een ander OS te installeren.

Eventjes een live-CD booten kan dan niet meer zonder te weten met welke magische toetscombinatie je in het BIOS/UEFI setup scherm terecht komt en welke optie je dan moet gaan togglen.

Misschien dat het onrealistisch is om te verwachten dat het installeren van een ander OS ooit zo makkelijk wordt dat een leek dat gewoon even gaat doen, maar met deze oplossing zal dat dus sowieso nooit makkelijk worden. Ik kan me voorstellen dat de FSF en Linux Foundation zich er zorgen om maken.

[Reactie gewijzigd door Aphax op 3 november 2011 14:00]

:9
[...] Waar je je (afhankelijk van hoeveel waarde je er aan hecht) wel zorgen om kan maken is hoe moeilijk het wordt straks voor een leek om een ander OS te installeren.

Eventjes een live-CD booten kan dan niet meer zonder te weten met welke magische toetscombinatie je in het BIOS/UEFI setup scherm terecht komt en welke optie je dan moet gaan togglen.
[...]
Dat is dan erg gemakkelijk een paar tientjes verdienen, als tweaker, even het UEFI bios in, secure boot uit, linux of windows vanaf gekocht dvd-tje installeren ... :+
Denk niet dat er veel gaat veranderen... die magische toets wordt waarschijnlijk nog gewoon in het opstartscherm getoond (press Fx for boot options) en in het bios/uefi kom je er ook wel uit (dat kunnen mensen nu ook, dus mag je er vanuit gaan dat ze het straks ook kunnen).
Dus als de linux foundation zich daar al zorgen om maakt, raad ik ze aan om nu gelijk aktie te ondernemen voor de huidige generatie pc's of zich af te vragen of ze gebruikers die dat nu ook niet kunnen, uberhaupt een setup willen laten uitvoeren.
een live cd begint toch niet te rommelen in je bootloader?
ik dacht dat secure boot verhindert dat je bootloader overschreven wordt

of heb ik het mis? iemand uitleg?
Zover ik het begrijp moet alles wat geboot wordt geverifieerd worden aan de hand van een (public) key die die in je firmware ingebakken zit, of dat nou van een USB stick, HDD of CD/DVD is zou niet uit moeten maken
Klopt je kan nog rustig je hardeschijf kunen benaderen voor rescue doeleinde.. Alleen je bootloader/bootsector kun je niet benaderen...

Kan me nog herrinneren dat je Vroegah ook die optie had in de bios om bootsector Virus aan te zetten of uit te schakelen _/-\o_
Dat hebben de biossen nu al, dat heet (vaak) "master boot record protection". Secureboot gaat forceren dat alleen geboot wordt als de software is gesigned door partij x.

Secureboot werpt inderdaad een barriere op voor live-cd's. Momenteel kun je de grootste leek een CD geven en ze kunnen booten.

Of zelfs kiezen voor de optie om te installeren, het installatieprocess kan de gebruiker vervolgens door ales heen loodsen, dus ook informatie geven over de eventuele master boot record beveiliging en hoe je die uit kunt schakelen voor jouw specifieke bios.

Een live-cd start met secureboot geheel niet op, je kunt de gebruiker dus ook niet eenvoudig informeren. Dus moet je een boekwerkje mee gaan leveren, of verwijzen naar een website waar de gebruiker zelf moet opzoeken hoe hij voor zijn bios de secureboot uit moeten zetten.
Eventjes een live-CD booten kan dan niet meer zonder te weten met welke magische toetscombinatie je in het BIOS/UEFI setup scherm terecht komt en welke optie je dan moet gaan togglen.
Lijkt me een mooie taak voor Tweakers.net en soortgelijke sites: Howto disable secure boot
Zo wordt SecureBoot een Microsoft Windows-only feature.
Ik wil zelf de mogelijkheid hebben om keys toe te voegen, zodat ik zelf kan kiezen welke softwarebouwer ik wil vertrouwen.
Die mogelijkheid is er ook. 't Is alleen de vraag of Linux-distributies er gebruik van gaan maken
Hoe dan? Volgens mij zal je iedere moederbord/bios fabrikant moeten overtuigen.
Dan nog zal het onmogelijk zijn om alle keys voor ieder mogelijk OS op te nemen. Dat zou ook een beetje voorbij gaan aan het punt van SecureBoot.
Ik wil dus zelf kunnen bepalen welke keys er op mijn computer komen te staan.
Nee, die mogelijkheid is er niet voor jou als user als ik het verhaal begrijp. Die keys zitten ingebakken in je UEFI flash image. Dan zou je zelf een image moeten kunnen bouwen, maar zonder sources gaat dat niet lukken lijkt me.
Goed, zolang ik hem mag eisen voor mijn PC. Ik ga geen een kopen als het geen secure-boot heeft. Suces met jullie Linux dual-boot. Veiligheid is voor mij belangrijker. Als ik Linux wil, draai ik hem in HyperV in Windows 8. Storm in een glaasje water zeg.
En dat is veilig? Meeste virussen/rootkits e.d zijn er voor MS Windows. Zal vast wat te maken hebben met marktaandeel ja maar ook een deel door de verschillen in systeemontwerp.

En iets virtualiseren werkt nooit zo goed als het "echt" draaien. Fuck it, ik koop vanaf nu alleen maar System76 machines.

Veiligheid en Windows, laat me niet lachen..

edit
Eigelijk is je reactie gewoon bekrompen. Omdat JIJ (schijn)veiligheid wilt moet de rest van ons er maar onder lijden? The needs of the many outweigh the needs of the few. Secure boot, niks mis mee maar dan moet 't wel uit te schakelen zijn.
Niet iedereen (tenminste mensen die weten wat ze doen met een PC ;)) hoeven te lijden onder de acties van niet zo kundige mensen

[Reactie gewijzigd door sfranken op 3 november 2011 14:55]

Dat is jouw goed recht, jij moet daar natuurlijk voor kunnen kiezen, net als dat ik ervoor moet kunnen kiezen om een PC te kopen waar ik een alternatief besturingssysteem op te draaien zonder 30 Ó 80 euro te betalen voor Windows. Dat is nu ook nauwelijks te doen, maar laten we er voor waken dat het niet nog moeilijker gemaakt gaat worden om te kunnen kiezen...
Tuurlijk is en blijft dit een mogelijkheid. Denk je nou echt dat pc makers dat zouden verbieden?
Dat Dell en HP dit doen verbaast mij niks, ze zijn zelf betrokken bij het Linux project. Het zelfde antwoord zal van IBM ook wel komen.
IBM maakt volgens mij geen laptops/desktops meer. Dat hebben ze aan lenovo verkocht.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013