Torvalds: secure boot geen groot probleem voor Linux
Linus Torvalds meent dat secure boot, dat door Windows 8 wordt gebruikt op systemen met een uefi, geen onoverkomelijke problemen heeft om Linux te booten. De Linux-goeroe denkt echter dat secure boot gekraakt of omzeild kan worden.
Torvalds stelt in een interview met ZDnet dat hackers het secure boot-mechanisme eenvoudig kunnen omzeilen. Niet alleen wijst hij erop dat veel private keys op straat zijn komen te liggen en aanvallers dus een geschikte sleutel in handen kunnen krijgen, maar ook dat hackers vooral bugs in al dan niet signed software zullen benutten.
Volgens Torvalds kan secure boot een kleine rol spelen in de hele beveiligingsketen van systemen. Hij stelt echter dat de kritiek vanuit de Linux-gemeenschap, waarin wordt gevreesd dat toekomstige pc's met Windows niet langer Linux kunnen booten, moet worden gerelativeerd. Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.
Torvalds kan zich ook vinden in de opstelling die Red Hat heeft gekozen in de secure boot-kwestie. Het bedrijf wil 99 dollar betalen aan certificate authority VeriSign om zo code te kunnen signen, bijvoorbeeld voor Fedora 18. Daarbij zal gebruik worden gemaakt van een first stage-bootloader met de juiste handtekening.
Reacties (108)
Als ze het signen van de secure boot zeer sterk en afhankelijk van hardware maken zou dit wel nog eens goed kunnen werken.
Het uitschakelen in de bios zou dan een fijne optie zijn voor gebruikers die Linux of dergelijke wil draaien, of natuurlijk linux een 'licentie' geven om de secure boot te kunnen gebruiken in zijn eigen distributie
Het uitschakelen in de bios zou dan een fijne optie zijn voor gebruikers die Linux of dergelijke wil draaien, of natuurlijk linux een 'licentie' geven om de secure boot te kunnen gebruiken in zijn eigen distributie
Niet om het een of ander, maar dan kun je het net zo goed niet ontwikkelen. Als je alle linux distributies een licentie gaat geven ben je heel erg veel tijd en geld kwijt. Daarnaast is er vast wel een mini distro te maken die als enige taak heeft het systeem herstarten met een ander OS. Dan is er nog steeds geen enkele zekerheid gewonnen.of natuurlijk linux een 'licentie' geven
En iets afhankelijk maken van hardware? Dat is toch ook zo te kraken. Immer is die hardware pas bijzonder als er code op draait. En dat is te kopiëren of te kraken.
Sowieso zie ik er geen heil in. Het is weer een middel om een ongewenst iets te verhinderen. Als ze nu eens al die moeite steken in ontwikkeling zodat men aangemoedigd wordt iets gewenst te kopen. Zoals je ziet maakt het qua beveiliging al niet uit voor de echte gevaren.
Gewoon ter verheldering, volgens mij doelt hij erop om een license te faken zoals in het artikel al gehint wordt:Niet om het een of ander, maar dan kun je het net zo goed niet ontwikkelen. Als je alle linux distributies een licentie gaat geven ben je heel erg veel tijd en geld kwijt. Daarnaast is er vast wel een mini distro te maken die als enige taak heeft het systeem herstarten met een ander OS. Dan is er nog steeds geen enkele zekerheid gewonnen.
Torvalds stelt in een interview met ZDnet dat hackers het secure boot-mechanisme eenvoudig kunnen omzeilen. Niet alleen wijst hij erop dat veel private keys op straat zijn komen te liggen en aanvallers dus een geschikte sleutel in handen kunnen krijgen, maar dat hackers vooral bugs in al dan niet signed software zullen benutten.
[Reactie gewijzigd door Blue_Entharion op dinsdag 12 juni 2012 16:02]
Ik geloof er niets van de Torvalds aanspoort om licenties te lopen faken. Om vervolgens van Linux een dubieus OS te maken dat beveiligingen omzeilt die er neergezet zijn voor de gebruiker ... puur omdat het niet direct binnen Linux' eigen licentie model past. Maar goed het lijkt me eerder dat de tekst niet helemaal ok geschreven/vertaald is. Hij geeft naar mijn mening alleen aan dat het waarschijnlijk mogelijk zal zijn. Beter lijkt mij om met een oplossing te komen in de vorm van iets kleins dat gesigned kan worden, dat de veiligheid van het systeem niet compromiteert en dat Linux kan booten.Gewoon ter verheldering, volgens mij doelt hij erop om een license te faken zoals in het artikel al gehint wordt:
BlueEntharion zegt dan ook niet dat Torvalds licences zal faken, maar dat hackers dit mogelijk wel zullen doen; of bugs in software misbruiken die al signed is en dus 'veilig' zou moeten zijn.
Daarnaast geeft hij ook aan dat 'ie het eens is met hoe Red Hat het aanpakt; 99 dollar uitgeven voor een certificaat waardoor bijv. Fedora 18 'normaal' geboot kan worden met secure boot; dus niks hacken of omzeilen
Daarnaast geeft hij ook aan dat 'ie het eens is met hoe Red Hat het aanpakt; 99 dollar uitgeven voor een certificaat waardoor bijv. Fedora 18 'normaal' geboot kan worden met secure boot; dus niks hacken of omzeilen
Beter kan ik gewoon m'n eigen certificaat in EUFI hangen (en alle andere d'r uit gooien) daarna zelf m'n windows/linux/whatever signen en nog zekerder zijn dat het allemaal klopt...
Zou niet de eerste keer zijn dat er iets met certificaten van anderen gebeurt
. Daarnaast halen veel partijen van verschillende CA's en zoals met Diginotar bleek zijn die ook niet altijd veilig
En als ik echt veiligheid wil, wil ik dan echt standaard een waslijst van CA's vertrouwen? Dacht het niet nee.
Zou niet de eerste keer zijn dat er iets met certificaten van anderen gebeurt
. Daarnaast halen veel partijen van verschillende CA's en zoals met Diginotar bleek zijn die ook niet altijd veilig En als ik echt veiligheid wil, wil ik dan echt standaard een waslijst van CA's vertrouwen? Dacht het niet nee.
Je eigen Windows signen gaat niet lukken. Je eigen Linux/other free open source operating system signen zal wel lukken.
En met een beetje geluk komt er 'malware' die de Microsoft keys uit de Bios U-EFI sloopt zodat het 'Secure Boot' opstarten meld dat je een onveilig besturingssysteem wilt starten.
Waar we naar toe zouden moeten gaan is dat mensen zelf bepalen welke certificaten en CA's ze vertrouwen. bijvoorbeeld ING wel, maar DUO niet. Dat over laten aan een ander, een root-CA dus, is echter wel makkelijk en dus zullen de meeste mensen dat prefereren.
En met een beetje geluk komt er 'malware' die de Microsoft keys uit de Bios U-EFI sloopt zodat het 'Secure Boot' opstarten meld dat je een onveilig besturingssysteem wilt starten.
Waar we naar toe zouden moeten gaan is dat mensen zelf bepalen welke certificaten en CA's ze vertrouwen. bijvoorbeeld ING wel, maar DUO niet. Dat over laten aan een ander, een root-CA dus, is echter wel makkelijk en dus zullen de meeste mensen dat prefereren.
ja joh die secure boot is alleen bedoeld om illegale copien van windows tegen te gaan. Iets anders heeft het niet te bieden natuurlijk.
Het werkt helemaal niet tegen illegale kopieën van Windows. Die passen namelijk niet de binaries aan die secure boot controleerd lijkt me.
Nee, maar die kernel die gesigned is kan vervolgens wel weer checks doen op het activatie gedeelte, wat op zijn beurt weer checks kan doen op de overige binaries / registry setting. Als ze echt willen kunnen ze dus wel degelijk e.e.a. regelen op die manier.
Met de overheid die dat allemaal meeneemt is zelfs een i9@8Ghz te traag, zelfs met 64GB ram.
Er zullen straks waarschijnlijk gepatchte Windows 8 images verschijnen die een virtuele "secure-boot"-loader aan boord hebben. Zo zal de installatiemanager altijd denken dat de BIOS / UEFI over een geactiveerde "secure-boot" beschikt, ook als dit niet het geval is.
Kwestie van tijd. Ik bedoel; de Playstation 3 is uiteindelijk ook gehackt, ondanks dat vrijwel al het dataverkeer versleuteld wordt.
Kwestie van tijd. Ik bedoel; de Playstation 3 is uiteindelijk ook gehackt, ondanks dat vrijwel al het dataverkeer versleuteld wordt.
Voor Windows 8 mag secure boot uitgeschakeld zijn. Het is zelfs een eis voor een certificaat te krijgen, dat het mogelijk is om secure boot uit te schakelen. Uitschakelen en Linux installeren kan dus zonder problemen.
Ik snap dus al het gezwets over deze kwestie niet. Als mensen dan toch secure boot willen gebruiken dan kunnen ze voor een Linux distributie gaan die dit ondersteund (Red Hat zal dit doen, zoals te lezen is in het artikel). Ik zie dus het nut niet in van die gepatchte Windows 8 images.
Ik snap dus al het gezwets over deze kwestie niet. Als mensen dan toch secure boot willen gebruiken dan kunnen ze voor een Linux distributie gaan die dit ondersteund (Red Hat zal dit doen, zoals te lezen is in het artikel). Ik zie dus het nut niet in van die gepatchte Windows 8 images.
Dat is dus niet waar wat je nu aan het verkondigen bent, en dat is al een hele tijd geweten. Gepatchte images zijn dus nergens voor nodig. Enkel op ARM hardware vereist het wel dat dit aan staat (bron).
Bron: Tweakers"Secure boot is onderdeel van het uefi-protocol en geen Windows 8-feature", schrijft Mangefeste. Windows 8 blijft het oude bootproces ondersteunen, dus ook als een hardwarefabrikant of een gebruiker secure boot uitschakelt, kan Windows 8 nog steeds starten.
[Reactie gewijzigd door MClaeys op dinsdag 12 juni 2012 19:41]
Op x86 ja, op ARM is secure boot verplicht.
En daar is Linux juíst interessanter dan Windows voor de mainstream...
En daar is Linux juíst interessanter dan Windows voor de mainstream...
Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.
uit het artikel:Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.
Met andere woorden, iedere pc-bouwer moet - mits ze het certificaat 'made for microsoft windows 8' willen dragen (allemaal dus) - de optie geven op secure boot uit te schakelen.Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.
Op dat moment is er niets aan de hand en kun je alles wat je maar wilt instaleren.
PC's wel ja, maar bij W8 tablets zou het net het omgekeerde zijn. De optie om het uit te schakelen zou eruit gesloopt worden. Zodoende kan zo'n tablet enkel Windows draaien.
Om heel eerlijk te zijn: boeit dat werkelijk?PC's wel ja, maar bij W8 tablets zou het net het omgekeerde zijn. De optie om het uit te schakelen zou eruit gesloopt worden. Zodoende kan zo'n tablet enkel Windows draaien.
Waarschijnlijk koop je voor een fractie van de prijs van een Windows 8 tablet een Android tablet die je te pas en te onpas kan rooten, en waar je naar hartelust alles op kunt instaleren wat je wilt.
Inderdaad, ik ben nog geen enkele andere tablet tegengekomen waar je een ander OS op kan installeren (officieel).
Ik snap niet dat mensen zo moeilijk doen over de secure boot optie op tablets, als je Android op je tablet wilt dan koop je een Android tablet, wil je Windows of iOS dan koop je daar de juiste tablet voor.
Ik snap dat dit anders is voor computers, en ben het er dan ook mee eens dat de mogelijkheid er moet zijn om een ander OS te kunnen installeren.
Ik snap niet dat mensen zo moeilijk doen over de secure boot optie op tablets, als je Android op je tablet wilt dan koop je een Android tablet, wil je Windows of iOS dan koop je daar de juiste tablet voor.
Ik snap dat dit anders is voor computers, en ben het er dan ook mee eens dat de mogelijkheid er moet zijn om een ander OS te kunnen installeren.
[Reactie gewijzigd door Donny87 op dinsdag 12 juni 2012 15:46]
Waarom eigenlijk? Wat is er zo essentieel anders aan een tablet dan aan een desktop of laptop, behalve het formaat en de manier waarop je het bedient?
De reden dat daar moeilijk over gedaan wordt is dat er geen "linux-distro-x"-tablets op de markt zijn voor iedere distributie die je maar kunt verzinnen. Als je een tablet met een linux distro wilt zul je dat dus altijd zelf moeten installeren. Dat is inherent aan de diversiteit van linux distro's.
Als grote partijen zoals microsoft of google dat technisch onmogelijk proberen te maken is dat een kwalijke zaak.
Als grote partijen zoals microsoft of google dat technisch onmogelijk proberen te maken is dat een kwalijke zaak.
Is dat niet alleen bij WinRT (arm) tablets? In dat opzicht is het hetzelfde als bij ipads en een aantal android tablets. X86 tablets houden volgens mij de uitschakel optie al was het maar om dat je met transformers en die foldpads nooit kan zien wat het is
Slim spelletje van Microsoft:
Voor PC's: Als ze hier de schakelaar niet hadden laten maken door de hardwarebouwers worden ze gegarandeerd binnen een dag aangeklaagd.
Voor Tablets: Hier is Microsoft alles behalve marktleider. Zo lang ze geen dominante positie hebben zou het heel onlogisch zijn als ze de verplicht worden om het mogelijk te maken een ander OS te laten installeren. Dus lijkt me het logisch dat deze optie ook niet beschikbaar is.
Maar: Dit zeggende zou het ook logisch zijn als iemand een keer HTC of Samsung voor het gerecht zou dagen omdat ze een ander OS willen draaien als Android op een tablet.
Apple levert iOS mee als firmware, niet als OS, en dat is weer een ander verhaal bij een rechtbank....
Voor PC's: Als ze hier de schakelaar niet hadden laten maken door de hardwarebouwers worden ze gegarandeerd binnen een dag aangeklaagd.
Voor Tablets: Hier is Microsoft alles behalve marktleider. Zo lang ze geen dominante positie hebben zou het heel onlogisch zijn als ze de verplicht worden om het mogelijk te maken een ander OS te laten installeren. Dus lijkt me het logisch dat deze optie ook niet beschikbaar is.
Maar: Dit zeggende zou het ook logisch zijn als iemand een keer HTC of Samsung voor het gerecht zou dagen omdat ze een ander OS willen draaien als Android op een tablet.
Apple levert iOS mee als firmware, niet als OS, en dat is weer een ander verhaal bij een rechtbank....
Het is alleen voor ARM zo. Tablets met x86 hardware is secure boot ook niet op slot.
Nee hoor, het is gewoon een OS (het zit zelfs in de naam). Dat het gefasht wordt als firmware maakt geen drol uit, dat doen HTC en Samsung ook.Apple levert iOS mee als firmware, niet als OS, en dat is weer een ander verhaal bij een rechtbank....
Nee hoor. Hier zijn uitspraken over geweest.
Omdat Apple hardware levert, met eigen software, gelden er iets andere regels als wanneer je los hardware en 'los' een OS levert. Voor de XBOX gelden daarom ook andere regels als voor bijvoorbeeld een HP machine met Windows.
Omdat Apple hardware levert, met eigen software, gelden er iets andere regels als wanneer je los hardware en 'los' een OS levert. Voor de XBOX gelden daarom ook andere regels als voor bijvoorbeeld een HP machine met Windows.
Je kunt inderdaad secure boot uitschakelen, maar Windows 8 wil op dat moment niet starten.
Desktop PC's worden vrijwel allemaal standaard met Windows geleverd, maar tablets worden ook met IOS en Android geleverd dus is er ook geen enkele reden om op een Windows tablets secure boot te kunnen uitschakelen. Wil je Linux draaien? Koop dan een Android tablet..
Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?
Als de commerciele Linux distributies nou eens de koppen bij elkaar steken en gezamelijk een intermediate certificaat kopen. Dat certificaat kan bijvoorbeeld worden ondergebracht bij kernel.org en zowel de commerciele distributies, de open-source distributies en de tweakers welke hun eigen kernel bakken kunnen de kernel/bootloader assembly uploaden naar de website en laten ondertekenen en vervolgens weer downloaden en installeren.
Daarmee zou het overigens ook mogelijk mee worden om op W8 tablets Linux te installeren omdat secure boot niet uitgeschakeld hoeft te worden..
Desktop PC's worden vrijwel allemaal standaard met Windows geleverd, maar tablets worden ook met IOS en Android geleverd dus is er ook geen enkele reden om op een Windows tablets secure boot te kunnen uitschakelen. Wil je Linux draaien? Koop dan een Android tablet..
Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?
Als de commerciele Linux distributies nou eens de koppen bij elkaar steken en gezamelijk een intermediate certificaat kopen. Dat certificaat kan bijvoorbeeld worden ondergebracht bij kernel.org en zowel de commerciele distributies, de open-source distributies en de tweakers welke hun eigen kernel bakken kunnen de kernel/bootloader assembly uploaden naar de website en laten ondertekenen en vervolgens weer downloaden en installeren.
Daarmee zou het overigens ook mogelijk mee worden om op W8 tablets Linux te installeren omdat secure boot niet uitgeschakeld hoeft te worden..
Maar wat is het nut van zo'n certificering? Het maakt je PC per saldo 0% veiliger.
RedHat's commerciële distributie (RHEL) is voornamelijk gericht op Servers e.d. iets waar we niet direct Win8 moeten verwachten, noch secure boot ooit relevant zou kunnen zijn.Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?
RedHat wil zijn gratis desktop distributie wel beschikbaar houden voor desktops waar Secure Boot en Win8 wel gemeengoed zullen worden
Dit is net het tegenstelde van het doel van certificering. Als iedereen zijn code kan laten signen heeft het geen enkele zin, dan kun je de sleutel net zo goed openbaar maken. En als iedereen code kan signen zal de key natuurlijk nooit toegevoegd worden aan de thrusted keys van mbo makers.
Ik vind dat Torvalds er hier 100% naast zit trouwens. Zijn punten die hij aanbrengt kloppen wel, en een beetje tweaker zal wel Linux kunnen installeren. Maar daar gaat het niet om: Het is net de drempel voor niet tweakers die verhoogd wordt. Het feit dat de 'security' moet uitgeschakeld worden om Linux te booten zal beginners ook niet veel vertrouwen inboezemen. Ik vind het echt een smerige zet van MS. Hoeveel virussen gaan zich nu daadwerkelijk in het bootproces gaan nestelen? Het is simpelweg macht misbruiken om concurrentie te verhinderen. Hopelijk gaat de EU zich snel mee moeien, maar gezien de traagheid bij de Windows media player en internet explorer vrees ik ervoor.
Ik vind dat Torvalds er hier 100% naast zit trouwens. Zijn punten die hij aanbrengt kloppen wel, en een beetje tweaker zal wel Linux kunnen installeren. Maar daar gaat het niet om: Het is net de drempel voor niet tweakers die verhoogd wordt. Het feit dat de 'security' moet uitgeschakeld worden om Linux te booten zal beginners ook niet veel vertrouwen inboezemen. Ik vind het echt een smerige zet van MS. Hoeveel virussen gaan zich nu daadwerkelijk in het bootproces gaan nestelen? Het is simpelweg macht misbruiken om concurrentie te verhinderen. Hopelijk gaat de EU zich snel mee moeien, maar gezien de traagheid bij de Windows media player en internet explorer vrees ik ervoor.
Blijkt lastig en zeer duur te zijn, lees dit eens door. maakt het één en ander duidelijker...Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?
Als de commerciele Linux distributies nou eens de koppen bij elkaar steken en gezamelijk een intermediate certificaat kopen. Dat certificaat kan bijvoorbeeld worden ondergebracht bij kernel.org
http://www.zdnet.com/blog...s-8-uefi-and-fedora/11187
Microsoft gebruikt dit gewoon zeer tactisch zodat alternatieven installeren erg moeilijk gaat worden.
[Reactie gewijzigd door DummyXL op dinsdag 12 juni 2012 19:30]
Ja, met hoeveel moeite?Met andere woorden, iedere pc-bouwer moet - mits ze het certificaat 'made for microsoft windows 8' willen dragen (allemaal dus) - de optie geven op secure boot uit te schakelen.
Zo wordt Linux al snel weer teruggezet naar het domein van nerds.
[Reactie gewijzigd door twop op dinsdag 12 juni 2012 15:55]
of erger: Win8 start enkel met secure boot op. Dus ja iedere keer via de UEFI om te kunnen switchen tussen Win8 en Linux. Dual-boot (was meestal het geval is) wordt dus vrijwel beperkt. Ze hopen daarmee dat mensen Win8 (dat ze houden omdat ze willen spelen) voor alles gebruiken.
Mmm tja, en wat als ze die eis voor Windows 9 laten vallen?
Jep, maar dan krijg je hetzelfde als met IE destijds. Waarom moeilijk doen als je denkt dat het niet makkelijker kan? Oftewel de drempel ligt hoger.
Maar moet je het willen uitschakelen? Het zit er niet voor niets in. Lijkt me handiger om iets te ontwikkelen wat er gewoon op draait.
Lijkt me idd ook geen goede serieuze oplossing.
Met dit soort opmerkingen van torvalds over het omzeilen krijg je het idee van een soort hobby OS en dat stadium is linux toch al gepasseerd maar Torvalds schijnbaar niet.
Met dit soort opmerkingen van torvalds over het omzeilen krijg je het idee van een soort hobby OS en dat stadium is linux toch al gepasseerd maar Torvalds schijnbaar niet.
Dat was niet het punt. Hackers kunnen de oplossing omzeilen in software, en DUS heeft het niet heel veel effect. Daar naast kan het (zonder hacken) gewoon makkelijk uitgezet worden (waarschijnlijk in de bios?).
Leg dat je moeder maar eens uit. En je, zelfs je moeder is in staat een linux-live-cd te gebruiken.
Bijkomend nadeel is dat je het bios op elke pc weer anders moet openen, de optie ergens anders in het bios staat en er geen wizard gestart kan worden die je door het proces heen loodst.
En daarmee wordt het de niet-nerd onmogelijk gemaakt om zonder hulp linux te draaien.
Een PC gaat echt niet zeggen "de CD bevat een ongesigned OS. open het Bios (F12) en kies .... om de beveiliging uit te schakelen". Net zo min als dat je virusscanner je instrueert hoe je die virusscanner moet uitschakelen als er een virus gevonden is.
Bijkomend nadeel is dat je het bios op elke pc weer anders moet openen, de optie ergens anders in het bios staat en er geen wizard gestart kan worden die je door het proces heen loodst.
En daarmee wordt het de niet-nerd onmogelijk gemaakt om zonder hulp linux te draaien.
Een PC gaat echt niet zeggen "de CD bevat een ongesigned OS. open het Bios (F12) en kies .... om de beveiliging uit te schakelen". Net zo min als dat je virusscanner je instrueert hoe je die virusscanner moet uitschakelen als er een virus gevonden is.
De vraag is ook nog of je moet gaan hacken om een OS te installeren dat niet bereid is om 99 dollar te betalen om een gesignede code aan te leveren zodat je secure boot op een normale manier kan gebruiken...
Het probleem is niet zozeer die 99 dollar. Het probleem is dat dat er dan closed source code in de kernel moet zitten, wat tegen de open-source principes indruist.
Echter zie ik distributies zoals Ubuntu alsnog wel een certificaat aanleveren, ook omdat ze zelf al closed source GPU drivers leveren en ondersteunen (deze kun je echter pas na de installatie aanvinken om te downloaden als ik me niet vergis).
Echter zie ik distributies zoals Ubuntu alsnog wel een certificaat aanleveren, ook omdat ze zelf al closed source GPU drivers leveren en ondersteunen (deze kun je echter pas na de installatie aanvinken om te downloaden als ik me niet vergis).
[Reactie gewijzigd door Oerdond3r op dinsdag 12 juni 2012 17:02]
Wat een hoop quatsch lees ik hier weer in de comments.
Lees even http://mjg59.dreamwidth.org/12368.html, de blog van Matthew Garrett (RedHat/Fedora developer die het schema mee bedacht heeft, tevens kernel developer die UEFI support codeert)
Er moet geen closed source code in de kernel om die te signen. Signing heeft niks met code toevoegen te maken. Het is het ondertekenen van de kernel.
Lees even http://mjg59.dreamwidth.org/12368.html, de blog van Matthew Garrett (RedHat/Fedora developer die het schema mee bedacht heeft, tevens kernel developer die UEFI support codeert)
Er moet geen closed source code in de kernel om die te signen. Signing heeft niks met code toevoegen te maken. Het is het ondertekenen van de kernel.
Maar hoe snel kan je je geupdate Linux kernel weer opstarten vraag ik me dan af?
Even los gezien van custom compiled kernels en alle kernel versies per distro / gebruikstype
Even los gezien van custom compiled kernels en alle kernel versies per distro / gebruikstype
Het is vooral dat iedereen distributie-remaster zijn eigen key moet aanvragen en iedere gebruiker die zijn kernel kompileert. Verder zal je die sleutel in het U-EFI moeten invoeren (als de moederbordfabrikanten dat al inbouwen) omdat ze naast de bekende namen (Microsoft, Red Hat, Suse, Apple) natuurlijk niet alle keys kunnen inbouwen.
Dat laatste zouden ze niet eens kunnen aangezien de moederbordfabrikanten de meeste keys niet eens hebben. Daarvoor moet de OS-maker deze eerst naar hen toesturen en dan nog zullen ze geen key inbouwen die Piet uit Hoek van Holland gebruikt om de kernel voor zijn tweede linux-bak te signeren.
Dat laatste zouden ze niet eens kunnen aangezien de moederbordfabrikanten de meeste keys niet eens hebben. Daarvoor moet de OS-maker deze eerst naar hen toesturen en dan nog zullen ze geen key inbouwen die Piet uit Hoek van Holland gebruikt om de kernel voor zijn tweede linux-bak te signeren.
Ik zie het toch echter meer als tweaken, en niet als hacken.Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.
Beetje PS3 (c.q. OtherOS) principe. Bepaalde functionaliteit uit de hardware slopen d.m.v. een firmwareupdate en dan wel gaan zitten jammeren dat het platform door hackers gekraakt wordt om deze functies weer terug te plaatsen.
Stap 1: signeer GRUB
Stap 2:
Nee eigenlijk is dat het al. PKI is alleen fundamenteel stuk, dat maakt dit nutteloos.
Stap 2:
Nee eigenlijk is dat het al. PKI is alleen fundamenteel stuk, dat maakt dit nutteloos.
Now ik denk dat dit een betere methode is:
Stap 1 SGRUB
Stap 2 GRUB
Stap 3
Note: SGRUB is alleen een verwijzing naar GRUB die woord geinstaleerd als een Secure Boot Certificaat nodig is.
Edit: ik vind zelf dat Secure boot moet worden afgeschaft desnoods bij wet.
Stap 1 SGRUB
Stap 2 GRUB
Stap 3
Note: SGRUB is alleen een verwijzing naar GRUB die woord geinstaleerd als een Secure Boot Certificaat nodig is.
Edit: ik vind zelf dat Secure boot moet worden afgeschaft desnoods bij wet.
[Reactie gewijzigd door piccollo1985 op dinsdag 12 juni 2012 15:39]
En wat vind je dan van bijvoorbeeld de koppeling tussen hard en software die Apple toepast? Mag dat dan ook niet meer?ik vind zelf dat Secure boot moet worden afgeschaft desnoods bij wet.
Het gebruik van Secure boot achte systemen om de de concurrenten/Open source te belemmeren vind ik een groot bezwaar.
Maar de grootse inpak op deze wet is niet allen secure boot maar ook mobiele telefoon Game console.
Maar de grootse inpak op deze wet is niet allen secure boot maar ook mobiele telefoon Game console.
Wat een kromme gedachte gang hebben jullie. Een bakker mag dan een brood niet meer bakken omdat iemand anders het dan niet meer kan doen??? Je krijg wat je afspreekt en waarvoor je betaald. Als je niet bereid bent te betalen dan moet je maar een alternatief zoeken. Als de hardware niet aan jouw voorwaarden voldoet dan moet je naar andere hardware nemen of afspraken maken met de fabrikant om de hardware aan te passen aan jouw wensen of zelf je eigen hardware produceren.
Het resultaat van vrije marktwerking is wat je zou kunnen noemen commercieel populisme. Niet echt iets om na te streven denk ik zo.
Dat zou betekenen dat het bedrijf met het meeste geld op dit soort manieren de concurrentie volledig kan blokkeren. We hebben daar niet voor niets allerlei systemen tegen.
Precies wat Apple doet nietwaar?Het gebruik van Secure boot achte systemen om de de concurrenten/Open source te belemmeren vind ik een groot bezwaar.
Oh, dat is geen software van ons, garantie vervallen
Nietwaar.
Apple verkoopt hardware, software krijg je erbij. Concurrenten: Asus, HP, Dell, worden hier niet belemmerd.
Microsoft verkoopt software, ze verplichten de hardwarebouwers om secure boot in te schakelen. Concurrenten: Linux, BSD distros, worden hier *wel* belemmerd.
Apple verkoopt hardware, software krijg je erbij. Concurrenten: Asus, HP, Dell, worden hier niet belemmerd.
Microsoft verkoopt software, ze verplichten de hardwarebouwers om secure boot in te schakelen. Concurrenten: Linux, BSD distros, worden hier *wel* belemmerd.
Secure boot is uit te zetten, dus wat doe je nou moeilijk?
Op een Apple kun je Windows installeren. Op een Windows PC kun je MacOS installeren. Het mag weliswaar niet maar ik denk dat dit vrijwel niemand wat kan schelen.
Apple is hardware boer, microsoft software boer.. Microsoft heeft in mijn ogen geen inspraak op de hardware boeren maar dwingt het gewoon af.. Misbruik van machts positie.. Apple die doet maar wat ze willen
Ik ben nog steeds voorstander van eigen certificaten kunnen installeren in de UEFI/zelf te kunnen bepalen welke certificaten 'secure' zijn, zo zou het mogelijk zijn heel flexibel gebruik te maken van secure boot. Alleen kunnen uitschakelen van secure boot is wat beperkt.
certificaten , certificering, dat maakt je PC echt 0% veiliger hoor.
Het gaat om wie de drivers mag leveren en de 50+ sources voor je download die simpel gefaked kunnen worden en dan download je elders.
Geen certificaat helpt daartegen.
Het gaat om wie de drivers mag leveren en de 50+ sources voor je download die simpel gefaked kunnen worden en dan download je elders.
Geen certificaat helpt daartegen.
Maar als je eigen certificaten kan doen, wie zegt dat die certificaten dan "goed" zijn. Als jij het kan doen, dan betekend dat een virus / mallware / hacker het juist ook kan doen. En dan ben je als nog de beveilig kwijt.
het enige 'voordeel' van zo'n certificaat zit hem dan aan de microsoft kant. Ze weten ZEKER dat jij dus een legale windows draait omdat je een uniek nummer hebt waaraan je herkend kan worden. Secure boot heet dan ook secure boot. Niet secure ANONYMOUS boot.
Dus enige die profiteert per saldo is microsoft. Ze hebben dan namelijk de ZEKERHEID dat je een roofcopy draait. De rest is erbij verzonnen.
Dus enige die profiteert per saldo is microsoft. Ze hebben dan namelijk de ZEKERHEID dat je een roofcopy draait. De rest is erbij verzonnen.
Inderdaad. Wat er mist in de specs zijn vooraf bepaalde manieren om:
- secure boot uit te schakelen (zodat het overal hetzelfde is)
- een key te importeren van een boot medium (bvb live-cd in tray duwen, UEFI ziet een signed image waarvan de key niet gekend is en vraagt de gebruiker: "ik wil booten vanaf CD maar <key> is niet gekend <insert signing info here>. Toevoegen (y/n) ?)
- een key te importeren vanuit een een secure booted OS (gebruiker stopt live-cd in CD-drive en klikt op install-key executable. Huidige secure-boot OS toont melding: "programma X wil <key> toevoegen aan secure boot. toestaan?"
Met deze 3 voorwaarden was iedereen onmiddellijk akkoord gegaan _en_ je boet niet in qua security of gebruiksvriendelijkheid.
- secure boot uit te schakelen (zodat het overal hetzelfde is)
- een key te importeren van een boot medium (bvb live-cd in tray duwen, UEFI ziet een signed image waarvan de key niet gekend is en vraagt de gebruiker: "ik wil booten vanaf CD maar <key> is niet gekend <insert signing info here>. Toevoegen (y/n) ?)
- een key te importeren vanuit een een secure booted OS (gebruiker stopt live-cd in CD-drive en klikt op install-key executable. Huidige secure-boot OS toont melding: "programma X wil <key> toevoegen aan secure boot. toestaan?"
Met deze 3 voorwaarden was iedereen onmiddellijk akkoord gegaan _en_ je boet niet in qua security of gebruiksvriendelijkheid.
Dan hoeft een malware maker zijn rootkit alleen maar te voorzien van een key en de gebruiker over te halen die key goed te keuren of goedkeuren onzichtbaar zelf te regelen. Security technisch is dat ongeveer het domste wat je kan doen.
Wow, maar mocht het toch niet lukken:
Nog minder rede om te kiezen voor Windows.
Deze week deed mijn Windows: ohh nooo! en ben ik nu aangewezen op, en dit is niet erg vervelend: Linux.
Werkt prima hoor...
Nog minder rede om te kiezen voor Windows.
Deze week deed mijn Windows: ohh nooo! en ben ik nu aangewezen op, en dit is niet erg vervelend: Linux.
Werkt prima hoor...
Wut? Als dit niet lukt kan je dus juist niet meer kiezen voor Linux
Dat hangt af van hoe grote hekel mensen straks aan Win8 + Office 2010 hebben.
edit: Office 15*
*Nee hij released niet pas in 2015, het is de 15de office release
*Nee hij released niet pas in 2015, het is de 15de office release
eem gruwelijke hekel. die zgn ribbons zijn enorm vertragend in de workflow. windows is instabieler en de registry loopt binnen 1 jaar vol, waardoor je móet formatteren. Linux is veel stabieler (draait nu 4 jaar zonder problemen).
het is wel een systeem waaraan soms werk is om hardware goed werkend te krijgen, maar ook dat wordt steeds beter
het is wel een systeem waaraan soms werk is om hardware goed werkend te krijgen, maar ook dat wordt steeds beter
Ik zie al weer van die sony zaken om de hoek komen. PS3 gekraakt. hacker word opgepakt. nou dat kan leuk worden. windows op de markt. koop ik een nieuwe pc omdat die van mij kapot is. ik kraak hem omdat ik mijn eigen software wil laten draaien. en ga daar andere mensen in de opensource gemeenschap mee helpen. dan staat er binnen afzienlijke tijd zeker van die blauw bloezen voor mijn deur.. nou ik walg hier van !!!
Minder walgen, meer lezen...Ik zie al weer van die sony zaken om de hoek komen. PS3 gekraakt. hacker word opgepakt. nou dat kan leuk worden. windows op de markt. koop ik een nieuwe pc omdat die van mij kapot is. ik kraak hem omdat ik mijn eigen software wil laten draaien. en ga daar andere mensen in de opensource gemeenschap mee helpen. dan staat er binnen afzienlijke tijd zeker van die blauw bloezen voor mijn deur.. nou ik walg hier van !!!
Kraken is dus niet nodig om een ander OS te installeren. Dat het volgens Linus ook te kraken valt is weer een ander verhaal.[Linus] stelt echter dat de kritiek vanuit de Linux-gemeenschap, waarin wordt gevreesd dat toekomstige pc's met Windows niet langer Linux kunnen booten, moet worden gerelativeerd. Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.
Al vraag ik me wel af wat dit allemaal betekent voor dual boot systemen, dan zou je iedere keer dat je het andere OS op wilt starten eerst in de UEFI moeten duiken om Secure Boot aan/uit te zetten?
[Reactie gewijzigd door Ook al Bezet op dinsdag 12 juni 2012 16:43]
Dual boot? ik zeg 1 woord:
Virtualisatie.
Virtualisatie.
Een OS in een OS? wat is het doel dan nog van het andere OS?
Kan je dan beter niet de tools van het andere OS zelf porten/visualiseren?
Kan je dan beter niet de tools van het andere OS zelf porten/visualiseren?
Ben benieuwd of windows dan wel opstart als de BIOS van je virtualisatie software geen secure boot optie heeft 
Goeie vraag. Ik heb (voor noodgevallen) een Windowsversie virtueel bij de hand. EN ik wil zelf mijn kernel kunnen aanpassen, zonder elke keer weer een certificaat te kopen. Ik heb hier totaal niet om gevraagd.
Lijkt op een racefiets die je alleen nog maar kan kopen met verplicht een dik slot er op. Hallo ? Mag ik zelf weten of ik wel of geen slot wil? Soms heb je daar alleen maar last van.
Lijkt op een racefiets die je alleen nog maar kan kopen met verplicht een dik slot er op. Hallo ? Mag ik zelf weten of ik wel of geen slot wil? Soms heb je daar alleen maar last van.
Je moet helemaal niet zelf een key kopen. Waarom loopt iedereen al die FUD te schreeuwen. Lees maar even http://mjg59.dreamwidth.org/12368.html.
Kun je win8 idd virtualiseren? In linux? Met dat secure boot? In veel gevallen is windows virtueel draaien in Linux sneller.
Straks gaan fabrikanten Linux leveren met windows virtueel erin dat kan nog leuk worden!
Straks gaan fabrikanten Linux leveren met windows virtueel erin dat kan nog leuk worden!
jah bij windows 8 kun je kiezen het uit te zetten.. en het zal blijven werken, alleen de arm tabblet versie niet.. Die zal weigeren op te starten
misschien handig als men het artikel eerst eens goed leest voordat er een reactie wordt geplaatst..
Enkel op de ARM tablets (Windows RT) zal de secure boot niet uit te schakelen zijn.. wat me opzich ook geen ramp lijkt..
Hieruit blijkt al dat je gewoon linux kunt installeren op een desktop pc (x86/x64).... Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.
Enkel op de ARM tablets (Windows RT) zal de secure boot niet uit te schakelen zijn.. wat me opzich ook geen ramp lijkt..
Waar "iedereen" over zwijgt is de mogelijkheid om Win8 en Linux te dual-booten zonder elke keer in "UEFI BIOS" de secure boot aan en uit te zetten. Win8: Secure boot aan. Linux: Secure boot uit.
Nu is het misschien nog te kraken, maar straks boot het systeem direct vanaf de CPU en is alles vanaf dat moment cryptographically signed.
Nu is het misschien nog te kraken, maar straks boot het systeem direct vanaf de CPU en is alles vanaf dat moment cryptographically signed.
Waarom zou je dual-booten, je kan toch gewoon twee virtual machines runnen.
Dual boot versus VM maakt toch echt wel een verschil.
Dat verschil is tegenwoordig bijna te verwaarlozen. Windows in Linux kan zelfs sneller draaien om dat Linux en unix systemen de Api calls sneller afhandellen (wine draait bepaalde windows toepassingen ook sneller)
Bijvoorbeeld in Fedora heb je al spice voor 3d. Al draait windows (nog) niet in kvm en wordt het direct native geinstaleerd.
Bijvoorbeeld in Fedora heb je al spice voor 3d. Al draait windows (nog) niet in kvm en wordt het direct native geinstaleerd.
[Reactie gewijzigd door rob12424 op dinsdag 12 juni 2012 21:09]
Zeker, maar waarom laten veel mensen Windows er nog naast staan? => games
Die draaien niet bepaald goed in een VM
Die draaien niet bepaald goed in een VM
Soms is virtualisatie niet alles.
Zeker als je bedenkt hoe moeilijk die dingen binnen te komen zijn.
Misschien niet onbelangrijk :
Er zijn praktisch geen systemen op de markt die EFI ondersteunen, het is gewoon nog allemaal het oude BIOS wat je ziet..
Misschien kijk ik verkeerd of heb ik het fout, maar ik heb pas geleden nog een redelijk nieuwe Mobo aangeschaft, en EFI is daar toch echt niet beschikbaar......
Er zijn praktisch geen systemen op de markt die EFI ondersteunen, het is gewoon nog allemaal het oude BIOS wat je ziet..
Misschien kijk ik verkeerd of heb ik het fout, maar ik heb pas geleden nog een redelijk nieuwe Mobo aangeschaft, en EFI is daar toch echt niet beschikbaar......
[Reactie gewijzigd door mwhoooooooo op dinsdag 12 juni 2012 17:04]
De laatste reeksen moederborden hebben bijna allemaal EFI, hoor.
Tot zover ik weet is secure boot helemaal geen vereist om windows 2008 te kunnen starten, maar een optie om het systeem wat veiliger te maken. Enige wat Microsoft zegt is dat als je een computer bouwt en met Windows 8 certificatie wil verkopen deze optie dient aan te staan, met een optie om hem ook weer te kunnen uitschakelen.
Je kan dus bijvoorbeeld prima dualbooten tussen linux en windows, andere OSen installeren, etc op je nieuwe desktop.
Daarnaast zijn er ook genoeg pc's te koop zonder Windows, grap is alleen dat Microsoft mensen lijken weten waar je pc's zonder Windows kan kopen.....
Je kan dus bijvoorbeeld prima dualbooten tussen linux en windows, andere OSen installeren, etc op je nieuwe desktop.
Daarnaast zijn er ook genoeg pc's te koop zonder Windows, grap is alleen dat Microsoft mensen lijken weten waar je pc's zonder Windows kan kopen.....
Het gaat niet over Windows 2008(Server), maar over Windows 8(Desktop
Als ik om mijn oude PC windows 8 installeert heb ik geen secure boot dus als secure boot op deze pc en windows 8 werkt dan toch nog waarom zou het niet op een nieuwe pc kunnen? Die kan namelijk ook windows 7 en ouder aan ondanks die geen secure boot hebben!
Dus ja secure boot is een optie en windows 8 werkt prima zonder!
Dus ja secure boot is een optie en windows 8 werkt prima zonder!
Tuurlijk doettie 't wel zonder maar waarschijnlijk is de UEFI versie van W8 toch net ff wat anders dan de BIOS versie (ja daar zijn 2 versies van)
Ik verwacht dat ze niet dat dat er letterlijk 2 verschillende windows versies voor komen(ja voor arm wel eentje).
Ik verwacht alleen dat de OEM versies UEFI ingebouwd hebben naast standaard bios support, ze vervangen de support voor de bios niet maar zetten er nog support voor UEFI naast.
Dus als je secure boot uit zet zal windows 8 gewoon nog fijn werken of het nou een oem versie is of niet maar misschien minder snel booten omdat hij misschien geen gebruik zal maken van UEFI.
Ik verwacht alleen dat de OEM versies UEFI ingebouwd hebben naast standaard bios support, ze vervangen de support voor de bios niet maar zetten er nog support voor UEFI naast.
Dus als je secure boot uit zet zal windows 8 gewoon nog fijn werken of het nou een oem versie is of niet maar misschien minder snel booten omdat hij misschien geen gebruik zal maken van UEFI.
Het gaat niet om retail versies maar om OEM versies die voorgeinstalleerd staan (en moeten voldoen de eisen die MS aan hun "royalty" OEMs stelt voor deelname aan OA3.0 = key + MSDM table). Als je ergens goedkoop een HP of Lenovo of Acer desktop incl. Win8 koopt en er Linux naast wil zetten, terwijl de OEM versie activated moet blijven.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
