Torvalds: secure boot geen groot probleem voor Linux

Linus Torvalds meent dat secure boot, dat door Windows 8 wordt gebruikt op systemen met een uefi, geen onoverkomelijke problemen heeft om Linux te booten. De Linux-goeroe denkt echter dat secure boot gekraakt of omzeild kan worden.

Torvalds stelt in een interview met ZDnet dat hackers het secure boot-mechanisme eenvoudig kunnen omzeilen. Niet alleen wijst hij erop dat veel private keys op straat zijn komen te liggen en aanvallers dus een geschikte sleutel in handen kunnen krijgen, maar ook dat hackers vooral bugs in al dan niet signed software zullen benutten.

Volgens Torvalds kan secure boot een kleine rol spelen in de hele beveiligingsketen van systemen. Hij stelt echter dat de kritiek vanuit de Linux-gemeenschap, waarin wordt gevreesd dat toekomstige pc's met Windows niet langer Linux kunnen booten, moet worden gerelativeerd. Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.

Torvalds kan zich ook vinden in de opstelling die Red Hat heeft gekozen in de secure boot-kwestie. Het bedrijf wil 99 dollar betalen aan certificate authority VeriSign om zo code te kunnen signen, bijvoorbeeld voor Fedora 18. Daarbij zal gebruik worden gemaakt van een first stage-bootloader met de juiste handtekening.

Reacties (108)

Anoniem: 457300 12 juni 2012 17:03

Tot zover ik weet is secure boot helemaal geen vereist om windows 2008 te kunnen starten, maar een optie om het systeem wat veiliger te maken. Enige wat Microsoft zegt is dat als je een computer bouwt en met Windows 8 certificatie wil verkopen deze optie dient aan te staan, met een optie om hem ook weer te kunnen uitschakelen.

Je kan dus bijvoorbeeld prima dualbooten tussen linux en windows, andere OSen installeren, etc op je nieuwe desktop.

Daarnaast zijn er ook genoeg pc's te koop zonder Windows, grap is alleen dat Microsoft mensen lijken weten waar je pc's zonder Windows kan kopen.....

DheeradjS @Anoniem: 457300 • 12 juni 2012 17:12

Het gaat niet over Windows 2008(Server), maar over Windows 8(Desktop

seapip @DheeradjS • 12 juni 2012 17:31

Als ik om mijn oude PC windows 8 installeert heb ik geen secure boot dus als secure boot op deze pc en windows 8 werkt dan toch nog waarom zou het niet op een nieuwe pc kunnen? Die kan namelijk ook windows 7 en ouder aan ondanks die geen secure boot hebben!

Dus ja secure boot is een optie en windows 8 werkt prima zonder!

sfranken @seapip • 12 juni 2012 19:53

Tuurlijk doettie 't wel zonder maar waarschijnlijk is de UEFI versie van W8 toch net ff wat anders dan de BIOS versie (ja daar zijn 2 versies van)

seapip @sfranken • 13 juni 2012 16:45

Ik verwacht dat ze niet dat dat er letterlijk 2 verschillende windows versies voor komen(ja voor arm wel eentje).
Ik verwacht alleen dat de OEM versies UEFI ingebouwd hebben naast standaard bios support, ze vervangen de support voor de bios niet maar zetten er nog support voor UEFI naast.
Dus als je secure boot uit zet zal windows 8 gewoon nog fijn werken of het nou een oem versie is of niet maar misschien minder snel booten omdat hij misschien geen gebruik zal maken van UEFI.

El_ByteMaster @seapip • 13 juni 2012 08:24

Het gaat niet om retail versies maar om OEM versies die voorgeinstalleerd staan (en moeten voldoen de eisen die MS aan hun "royalty" OEMs stelt voor deelname aan OA3.0 = key + MSDM table). Als je ergens goedkoop een HP of Lenovo of Acer desktop incl. Win8 koopt en er Linux naast wil zetten, terwijl de OEM versie activated moet blijven.

Alex3 12 juni 2012 15:23

Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.

core_dump @Alex3 • 12 juni 2012 15:31

De vraag is ook nog of je moet gaan hacken om een OS te installeren dat niet bereid is om 99 dollar te betalen om een gesignede code aan te leveren zodat je secure boot op een normale manier kan gebruiken...

Oerdond3r @core_dump • 12 juni 2012 17:01

Het probleem is niet zozeer die 99 dollar. Het probleem is dat dat er dan closed source code in de kernel moet zitten, wat tegen de open-source principes indruist.

Echter zie ik distributies zoals Ubuntu alsnog wel een certificaat aanleveren, ook omdat ze zelf al closed source GPU drivers leveren en ondersteunen (deze kun je echter pas na de installatie aanvinken om te downloaden als ik me niet vergis).

[Reactie gewijzigd door Oerdond3r op 25 juli 2024 03:47]

H!GHGuY @Oerdond3r • 12 juni 2012 20:02

Wat een hoop quatsch lees ik hier weer in de comments.
Lees even http://mjg59.dreamwidth.org/12368.html, de blog van Matthew Garrett (RedHat/Fedora developer die het schema mee bedacht heeft, tevens kernel developer die UEFI support codeert)

Er moet geen closed source code in de kernel om die te signen. Signing heeft niks met code toevoegen te maken. Het is het ondertekenen van de kernel.

killerdemon @H!GHGuY • 20 juni 2012 18:48

Maar hoe snel kan je je geupdate Linux kernel weer opstarten vraag ik me dan af?

Even los gezien van custom compiled kernels en alle kernel versies per distro / gebruikstype

BeosBeing

Open source

@core_dump • 13 juni 2012 17:15

Het is vooral dat iedereen distributie-remaster zijn eigen key moet aanvragen en iedere gebruiker die zijn kernel kompileert. Verder zal je die sleutel in het U-EFI moeten invoeren (als de moederbordfabrikanten dat al inbouwen) omdat ze naast de bekende namen (Microsoft, Red Hat, Suse, Apple) natuurlijk niet alle keys kunnen inbouwen.

Dat laatste zouden ze niet eens kunnen aangezien de moederbordfabrikanten de meeste keys niet eens hebben. Daarvoor moet de OS-maker deze eerst naar hen toesturen en dan nog zullen ze geen key inbouwen die Piet uit Hoek van Holland gebruikt om de kernel voor zijn tweede linux-bak te signeren.

arjankoole

Beveiliging

@Alex3 • 12 juni 2012 15:27

Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.

uit het artikel:

Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.

Met andere woorden, iedere pc-bouwer moet - mits ze het certificaat 'made for microsoft windows 8' willen dragen (allemaal dus) - de optie geven op secure boot uit te schakelen.

Op dat moment is er niets aan de hand en kun je alles wat je maar wilt instaleren.

Niemand_Anders

Beveiliging

@arjankoole • 12 juni 2012 15:50

Je kunt inderdaad secure boot uitschakelen, maar Windows 8 wil op dat moment niet starten.

Desktop PC's worden vrijwel allemaal standaard met Windows geleverd, maar tablets worden ook met IOS en Android geleverd dus is er ook geen enkele reden om op een Windows tablets secure boot te kunnen uitschakelen. Wil je Linux draaien? Koop dan een Android tablet..

Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?

Als de commerciele Linux distributies nou eens de koppen bij elkaar steken en gezamelijk een intermediate certificaat kopen. Dat certificaat kan bijvoorbeeld worden ondergebracht bij kernel.org en zowel de commerciele distributies, de open-source distributies en de tweakers welke hun eigen kernel bakken kunnen de kernel/bootloader assembly uploaden naar de website en laten ondertekenen en vervolgens weer downloaden en installeren.

Daarmee zou het overigens ook mogelijk mee worden om op W8 tablets Linux te installeren omdat secure boot niet uitgeschakeld hoeft te worden..

hardwareaddict @Niemand_Anders • 12 juni 2012 16:11

Maar wat is het nut van zo'n certificering? Het maakt je PC per saldo 0% veiliger.

nvermen @Niemand_Anders • 12 juni 2012 16:26

Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?

RedHat's commerciële distributie (RHEL) is voornamelijk gericht op Servers e.d. iets waar we niet direct Win8 moeten verwachten, noch secure boot ooit relevant zou kunnen zijn.

RedHat wil zijn gratis desktop distributie wel beschikbaar houden voor desktops waar Secure Boot en Win8 wel gemeengoed zullen worden

iMispel @Niemand_Anders • 12 juni 2012 16:41

Dit is net het tegenstelde van het doel van certificering. Als iedereen zijn code kan laten signen heeft het geen enkele zin, dan kun je de sleutel net zo goed openbaar maken. En als iedereen code kan signen zal de key natuurlijk nooit toegevoegd worden aan de thrusted keys van mbo makers.

Ik vind dat Torvalds er hier 100% naast zit trouwens. Zijn punten die hij aanbrengt kloppen wel, en een beetje tweaker zal wel Linux kunnen installeren. Maar daar gaat het niet om: Het is net de drempel voor niet tweakers die verhoogd wordt. Het feit dat de 'security' moet uitgeschakeld worden om Linux te booten zal beginners ook niet veel vertrouwen inboezemen. Ik vind het echt een smerige zet van MS. Hoeveel virussen gaan zich nu daadwerkelijk in het bootproces gaan nestelen? Het is simpelweg macht misbruiken om concurrentie te verhinderen. Hopelijk gaat de EU zich snel mee moeien, maar gezien de traagheid bij de Windows media player en internet explorer vrees ik ervoor.

DummyXL @Niemand_Anders • 12 juni 2012 19:29

Ik kan mij juist totaal niet vinden in de opstelling van RedHat. RedHat distributies kosten al snel een paar honderd euro en RedHat is dan 'slechts' bereid om 99 dollar te betalen om hun bootloader/kernels te laten ondertekenen?

Als de commerciele Linux distributies nou eens de koppen bij elkaar steken en gezamelijk een intermediate certificaat kopen. Dat certificaat kan bijvoorbeeld worden ondergebracht bij kernel.org

Blijkt lastig en zeer duur te zijn, lees dit eens door. maakt het één en ander duidelijker...
http://www.zdnet.com/blog...s-8-uefi-and-fedora/11187

Microsoft gebruikt dit gewoon zeer tactisch zodat alternatieven installeren erg moeilijk gaat worden.

[Reactie gewijzigd door DummyXL op 25 juli 2024 03:47]

.MaT @arjankoole • 12 juni 2012 15:33

PC's wel ja, maar bij W8 tablets zou het net het omgekeerde zijn. De optie om het uit te schakelen zou eruit gesloopt worden. Zodoende kan zo'n tablet enkel Windows draaien.

arjankoole

Beveiliging

@.MaT • 12 juni 2012 15:39

PC's wel ja, maar bij W8 tablets zou het net het omgekeerde zijn. De optie om het uit te schakelen zou eruit gesloopt worden. Zodoende kan zo'n tablet enkel Windows draaien.

Om heel eerlijk te zijn: boeit dat werkelijk?

Waarschijnlijk koop je voor een fractie van de prijs van een Windows 8 tablet een Android tablet die je te pas en te onpas kan rooten, en waar je naar hartelust alles op kunt instaleren wat je wilt.

Donny @arjankoole • 12 juni 2012 15:46

Inderdaad, ik ben nog geen enkele andere tablet tegengekomen waar je een ander OS op kan installeren (officieel).

Ik snap niet dat mensen zo moeilijk doen over de secure boot optie op tablets, als je Android op je tablet wilt dan koop je een Android tablet, wil je Windows of iOS dan koop je daar de juiste tablet voor.

Ik snap dat dit anders is voor computers, en ben het er dan ook mee eens dat de mogelijkheid er moet zijn om een ander OS te kunnen installeren.

[Reactie gewijzigd door Donny op 25 juli 2024 03:47]

mcDavid @Donny • 12 juni 2012 16:31

De reden dat daar moeilijk over gedaan wordt is dat er geen "linux-distro-x"-tablets op de markt zijn voor iedere distributie die je maar kunt verzinnen. Als je een tablet met een linux distro wilt zul je dat dus altijd zelf moeten installeren. Dat is inherent aan de diversiteit van linux distro's.

Als grote partijen zoals microsoft of google dat technisch onmogelijk proberen te maken is dat een kwalijke zaak.

Jorizzz @Donny • 12 juni 2012 16:31

Waarom eigenlijk? Wat is er zo essentieel anders aan een tablet dan aan een desktop of laptop, behalve het formaat en de manier waarop je het bedient?

supertheiz @.MaT • 12 juni 2012 15:42

Slim spelletje van Microsoft:

Voor PC's: Als ze hier de schakelaar niet hadden laten maken door de hardwarebouwers worden ze gegarandeerd binnen een dag aangeklaagd.

Voor Tablets: Hier is Microsoft alles behalve marktleider. Zo lang ze geen dominante positie hebben zou het heel onlogisch zijn als ze de verplicht worden om het mogelijk te maken een ander OS te laten installeren. Dus lijkt me het logisch dat deze optie ook niet beschikbaar is.

Maar: Dit zeggende zou het ook logisch zijn als iemand een keer HTC of Samsung voor het gerecht zou dagen omdat ze een ander OS willen draaien als Android op een tablet.
Apple levert iOS mee als firmware, niet als OS, en dat is weer een ander verhaal bij een rechtbank....

Zer0 @supertheiz • 12 juni 2012 15:45

Apple levert iOS mee als firmware, niet als OS, en dat is weer een ander verhaal bij een rechtbank....

Nee hoor, het is gewoon een OS (het zit zelfs in de naam). Dat het gefasht wordt als firmware maakt geen drol uit, dat doen HTC en Samsung ook.

supertheiz @Zer0 • 12 juni 2012 20:48

Nee hoor. Hier zijn uitspraken over geweest.

Omdat Apple hardware levert, met eigen software, gelden er iets andere regels als wanneer je los hardware en 'los' een OS levert. Voor de XBOX gelden daarom ook andere regels als voor bijvoorbeeld een HP machine met Windows.

Relief2009 @supertheiz • 12 juni 2012 15:45

Het is alleen voor ARM zo. Tablets met x86 hardware is secure boot ook niet op slot.

QQ2 @.MaT • 12 juni 2012 15:42

Is dat niet alleen bij WinRT (arm) tablets? In dat opzicht is het hetzelfde als bij ipads en een aantal android tablets. X86 tablets houden volgens mij de uitschakel optie al was het maar om dat je met transformers en die foldpads nooit kan zien wat het is

Anoniem: 415197 @arjankoole • 12 juni 2012 15:54

Met andere woorden, iedere pc-bouwer moet - mits ze het certificaat 'made for microsoft windows 8' willen dragen (allemaal dus) - de optie geven op secure boot uit te schakelen.

Ja, met hoeveel moeite?
Zo wordt Linux al snel weer teruggezet naar het domein van nerds.

[Reactie gewijzigd door Anoniem: 415197 op 25 juli 2024 03:47]

bjp @Anoniem: 415197 • 12 juni 2012 16:48

of erger: Win8 start enkel met secure boot op. Dus ja iedere keer via de UEFI om te kunnen switchen tussen Win8 en Linux. Dual-boot (was meestal het geval is) wordt dus vrijwel beperkt. Ze hopen daarmee dat mensen Win8 (dat ze houden omdat ze willen spelen) voor alles gebruiken.

rvl1980 @arjankoole • 12 juni 2012 20:20

Mmm tja, en wat als ze die eis voor Windows 9 laten vallen?

rob12424 @arjankoole • 12 juni 2012 20:51

Jep, maar dan krijg je hetzelfde als met IE destijds. Waarom moeilijk doen als je denkt dat het niet makkelijker kan? Oftewel de drempel ligt hoger.

HerrPino @arjankoole • 13 juni 2012 07:14

Maar moet je het willen uitschakelen? Het zit er niet voor niets in. Lijkt me handiger om iets te ontwikkelen wat er gewoon op draait.

bbob

Privacy
Netwerk en systeembeheer

@Alex3 • 12 juni 2012 15:28

Lijkt me idd ook geen goede serieuze oplossing.

Met dit soort opmerkingen van torvalds over het omzeilen krijg je het idee van een soort hobby OS en dat stadium is linux toch al gepasseerd maar Torvalds schijnbaar niet.

anoko @bbob • 12 juni 2012 15:37

Dat was niet het punt. Hackers kunnen de oplossing omzeilen in software, en DUS heeft het niet heel veel effect. Daar naast kan het (zonder hacken) gewoon makkelijk uitgezet worden (waarschijnlijk in de bios?).

Roland684 @anoko • 12 juni 2012 16:39

Leg dat je moeder maar eens uit. En je, zelfs je moeder is in staat een linux-live-cd te gebruiken.

Bijkomend nadeel is dat je het bios op elke pc weer anders moet openen, de optie ergens anders in het bios staat en er geen wizard gestart kan worden die je door het proces heen loodst.

En daarmee wordt het de niet-nerd onmogelijk gemaakt om zonder hulp linux te draaien.

Een PC gaat echt niet zeggen "de CD bevat een ongesigned OS. open het Bios (F12) en kies .... om de beveiliging uit te schakelen". Net zo min als dat je virusscanner je instrueert hoe je die virusscanner moet uitschakelen als er een virus gevonden is.

Anoniem: 394438 @Alex3 • 12 juni 2012 15:33

Het lijkt me toch geen goede zaak als we moeten hacken om Linux te kunnen gebruiken.

Ik zie het toch echter meer als tweaken, en niet als hacken.

Titan_Fox @Alex3 • 12 juni 2012 16:56

Beetje PS3 (c.q. OtherOS) principe. Bepaalde functionaliteit uit de hardware slopen d.m.v. een firmwareupdate en dan wel gaan zitten jammeren dat het platform door hackers gekraakt wordt om deze functies weer terug te plaatsen.

djgerry300

12 juni 2012 15:23

Als ze het signen van de secure boot zeer sterk en afhankelijk van hardware maken zou dit wel nog eens goed kunnen werken.

Het uitschakelen in de bios zou dan een fijne optie zijn voor gebruikers die Linux of dergelijke wil draaien, of natuurlijk linux een 'licentie' geven om de secure boot te kunnen gebruiken in zijn eigen distributie

hardwareaddict @djgerry300 • 12 juni 2012 15:51

ja joh die secure boot is alleen bedoeld om illegale copien van windows tegen te gaan. Iets anders heeft het niet te bieden natuurlijk.

Wolfos @hardwareaddict • 12 juni 2012 23:45

Het werkt helemaal niet tegen illegale kopieën van Windows. Die passen namelijk niet de binaries aan die secure boot controleerd lijkt me.

freaky @Wolfos • 13 juni 2012 11:05

Nee, maar die kernel die gesigned is kan vervolgens wel weer checks doen op het activatie gedeelte, wat op zijn beurt weer checks kan doen op de overige binaries / registry setting. Als ze echt willen kunnen ze dus wel degelijk e.e.a. regelen op die manier.

BeosBeing

Open source

@freaky • 13 juni 2012 16:12

Met de overheid die dat allemaal meeneemt is zelfs een i9@8Ghz te traag, zelfs met 64GB ram.

Crahsystor @djgerry300 • 12 juni 2012 15:50

of natuurlijk linux een 'licentie' geven

Niet om het een of ander, maar dan kun je het net zo goed niet ontwikkelen. Als je alle linux distributies een licentie gaat geven ben je heel erg veel tijd en geld kwijt. Daarnaast is er vast wel een mini distro te maken die als enige taak heeft het systeem herstarten met een ander OS. Dan is er nog steeds geen enkele zekerheid gewonnen.
En iets afhankelijk maken van hardware? Dat is toch ook zo te kraken. Immer is die hardware pas bijzonder als er code op draait. En dat is te kopiëren of te kraken.

Sowieso zie ik er geen heil in. Het is weer een middel om een ongewenst iets te verhinderen. Als ze nu eens al die moeite steken in ontwikkeling zodat men aangemoedigd wordt iets gewenst te kopen. Zoals je ziet maakt het qua beveiliging al niet uit voor de echte gevaren.

Blue_Entharion @Crahsystor • 12 juni 2012 16:02

Niet om het een of ander, maar dan kun je het net zo goed niet ontwikkelen. Als je alle linux distributies een licentie gaat geven ben je heel erg veel tijd en geld kwijt. Daarnaast is er vast wel een mini distro te maken die als enige taak heeft het systeem herstarten met een ander OS. Dan is er nog steeds geen enkele zekerheid gewonnen.

Gewoon ter verheldering, volgens mij doelt hij erop om een license te faken zoals in het artikel al gehint wordt:

Torvalds stelt in een interview met ZDnet dat hackers het secure boot-mechanisme eenvoudig kunnen omzeilen. Niet alleen wijst hij erop dat veel private keys op straat zijn komen te liggen en aanvallers dus een geschikte sleutel in handen kunnen krijgen, maar dat hackers vooral bugs in al dan niet signed software zullen benutten.

[Reactie gewijzigd door Blue_Entharion op 23 juli 2024 10:25]

HerrPino @Blue_Entharion • 13 juni 2012 07:12

Gewoon ter verheldering, volgens mij doelt hij erop om een license te faken zoals in het artikel al gehint wordt:

Ik geloof er niets van de Torvalds aanspoort om licenties te lopen faken. Om vervolgens van Linux een dubieus OS te maken dat beveiligingen omzeilt die er neergezet zijn voor de gebruiker ... puur omdat het niet direct binnen Linux' eigen licentie model past. Maar goed het lijkt me eerder dat de tekst niet helemaal ok geschreven/vertaald is. Hij geeft naar mijn mening alleen aan dat het waarschijnlijk mogelijk zal zijn. Beter lijkt mij om met een oplossing te komen in de vorm van iets kleins dat gesigned kan worden, dat de veiligheid van het systeem niet compromiteert en dat Linux kan booten.

freaky @HerrPino • 13 juni 2012 11:03

Beter kan ik gewoon m'n eigen certificaat in EUFI hangen (en alle andere d'r uit gooien) daarna zelf m'n windows/linux/whatever signen en nog zekerder zijn dat het allemaal klopt...

Zou niet de eerste keer zijn dat er iets met certificaten van anderen gebeurt

. Daarnaast halen veel partijen van verschillende CA's en zoals met Diginotar bleek zijn die ook niet altijd veilig

En als ik echt veiligheid wil, wil ik dan echt standaard een waslijst van CA's vertrouwen? Dacht het niet nee.

BeosBeing

Open source

@freaky • 13 juni 2012 16:11

Je eigen Windows signen gaat niet lukken. Je eigen Linux/other free open source operating system signen zal wel lukken.

En met een beetje geluk komt er 'malware' die de Microsoft keys uit de Bios U-EFI sloopt zodat het 'Secure Boot' opstarten meld dat je een onveilig besturingssysteem wilt starten.

Waar we naar toe zouden moeten gaan is dat mensen zelf bepalen welke certificaten en CA's ze vertrouwen. bijvoorbeeld ING wel, maar DUO niet. Dat over laten aan een ander, een root-CA dus, is echter wel makkelijk en dus zullen de meeste mensen dat prefereren.

Raventhorn @HerrPino • 13 juni 2012 09:20

BlueEntharion zegt dan ook niet dat Torvalds licences zal faken, maar dat hackers dit mogelijk wel zullen doen; of bugs in software misbruiken die al signed is en dus 'veilig' zou moeten zijn.
Daarnaast geeft hij ook aan dat 'ie het eens is met hoe Red Hat het aanpakt; 99 dollar uitgeven voor een certificaat waardoor bijv. Fedora 18 'normaal' geboot kan worden met secure boot; dus niks hacken of omzeilen

Titan_Fox @djgerry300 • 12 juni 2012 16:55

Er zullen straks waarschijnlijk gepatchte Windows 8 images verschijnen die een virtuele "secure-boot"-loader aan boord hebben. Zo zal de installatiemanager altijd denken dat de BIOS / UEFI over een geactiveerde "secure-boot" beschikt, ook als dit niet het geval is.

Kwestie van tijd. Ik bedoel; de Playstation 3 is uiteindelijk ook gehackt, ondanks dat vrijwel al het dataverkeer versleuteld wordt.

MClaeys @Titan_Fox • 12 juni 2012 18:47

Voor Windows 8 mag secure boot uitgeschakeld zijn. Het is zelfs een eis voor een certificaat te krijgen, dat het mogelijk is om secure boot uit te schakelen. Uitschakelen en Linux installeren kan dus zonder problemen.
Ik snap dus al het gezwets over deze kwestie niet. Als mensen dan toch secure boot willen gebruiken dan kunnen ze voor een Linux distributie gaan die dit ondersteund (Red Hat zal dit doen, zoals te lezen is in het artikel). Ik zie dus het nut niet in van die gepatchte Windows 8 images.

MClaeys @dasiro • 12 juni 2012 19:37

Dat is dus niet waar wat je nu aan het verkondigen bent, en dat is al een hele tijd geweten. Gepatchte images zijn dus nergens voor nodig. Enkel op ARM hardware vereist het wel dat dit aan staat (bron).

"Secure boot is onderdeel van het uefi-protocol en geen Windows 8-feature", schrijft Mangefeste. Windows 8 blijft het oude bootproces ondersteunen, dus ook als een hardwarefabrikant of een gebruiker secure boot uitschakelt, kan Windows 8 nog steeds starten.

Bron: Tweakers

[Reactie gewijzigd door MClaeys op 25 juli 2024 03:47]

killerdemon @MClaeys • 20 juni 2012 18:34

Op x86 ja, op ARM is secure boot verplicht.

En daar is Linux juíst interessanter dan Windows voor de mainstream...

begintmeta 12 juni 2012 15:45

Ik ben nog steeds voorstander van eigen certificaten kunnen installeren in de UEFI/zelf te kunnen bepalen welke certificaten 'secure' zijn, zo zou het mogelijk zijn heel flexibel gebruik te maken van secure boot. Alleen kunnen uitschakelen van secure boot is wat beperkt.

Rolfie

@begintmeta • 12 juni 2012 16:13

Maar als je eigen certificaten kan doen, wie zegt dat die certificaten dan "goed" zijn. Als jij het kan doen, dan betekend dat een virus / mallware / hacker het juist ook kan doen. En dan ben je als nog de beveilig kwijt.

hardwareaddict @Rolfie • 12 juni 2012 16:55

het enige 'voordeel' van zo'n certificaat zit hem dan aan de microsoft kant. Ze weten ZEKER dat jij dus een legale windows draait omdat je een uniek nummer hebt waaraan je herkend kan worden. Secure boot heet dan ook secure boot. Niet secure ANONYMOUS boot.

Dus enige die profiteert per saldo is microsoft. Ze hebben dan namelijk de ZEKERHEID dat je een roofcopy draait. De rest is erbij verzonnen.

hardwareaddict @begintmeta • 12 juni 2012 16:09

certificaten , certificering, dat maakt je PC echt 0% veiliger hoor.

Het gaat om wie de drivers mag leveren en de 50+ sources voor je download die simpel gefaked kunnen worden en dan download je elders.

Geen certificaat helpt daartegen.

H!GHGuY @begintmeta • 12 juni 2012 20:08

Inderdaad. Wat er mist in de specs zijn vooraf bepaalde manieren om:
- secure boot uit te schakelen (zodat het overal hetzelfde is)
- een key te importeren van een boot medium (bvb live-cd in tray duwen, UEFI ziet een signed image waarvan de key niet gekend is en vraagt de gebruiker: "ik wil booten vanaf CD maar <key> is niet gekend <insert signing info here>. Toevoegen (y/n) ?)
- een key te importeren vanuit een een secure booted OS (gebruiker stopt live-cd in CD-drive en klikt op install-key executable. Huidige secure-boot OS toont melding: "programma X wil <key> toevoegen aan secure boot. toestaan?"

Met deze 3 voorwaarden was iedereen onmiddellijk akkoord gegaan _en_ je boet niet in qua security of gebruiksvriendelijkheid.

SirBlade @H!GHGuY • 12 juni 2012 21:23

Dan hoeft een malware maker zijn rootkit alleen maar te voorzien van een key en de gebruiker over te halen die key goed te keuren of goedkeuren onzichtbaar zelf te regelen. Security technisch is dat ongeveer het domste wat je kan doen.

GamingZeUs 12 juni 2012 15:29

Stap 1: signeer GRUB
Stap 2:

Nee eigenlijk is dat het al. PKI is alleen fundamenteel stuk, dat maakt dit nutteloos.

piccollo1985 @GamingZeUs • 12 juni 2012 15:35

Now ik denk dat dit een betere methode is:

Stap 1 SGRUB
Stap 2 GRUB
Stap 3

Note: SGRUB is alleen een verwijzing naar GRUB die woord geinstaleerd als een Secure Boot Certificaat nodig is.

Edit: ik vind zelf dat Secure boot moet worden afgeschaft desnoods bij wet.

[Reactie gewijzigd door piccollo1985 op 25 juli 2024 03:47]

Anoniem: 415197 @piccollo1985 • 12 juni 2012 15:57

ik vind zelf dat Secure boot moet worden afgeschaft desnoods bij wet.

En wat vind je dan van bijvoorbeeld de koppeling tussen hard en software die Apple toepast? Mag dat dan ook niet meer?

piccollo1985 @Anoniem: 415197 • 12 juni 2012 16:23

Het gebruik van Secure boot achte systemen om de de concurrenten/Open source te belemmeren vind ik een groot bezwaar.

Maar de grootse inpak op deze wet is niet allen secure boot maar ook mobiele telefoon Game console.

Cobalt @piccollo1985 • 12 juni 2012 16:53

Wat een kromme gedachte gang hebben jullie. Een bakker mag dan een brood niet meer bakken omdat iemand anders het dan niet meer kan doen??? Je krijg wat je afspreekt en waarvoor je betaald. Als je niet bereid bent te betalen dan moet je maar een alternatief zoeken. Als de hardware niet aan jouw voorwaarden voldoet dan moet je naar andere hardware nemen of afspraken maken met de fabrikant om de hardware aan te passen aan jouw wensen of zelf je eigen hardware produceren.

Anoniem: 415197 @Cobalt • 12 juni 2012 17:11

Het resultaat van vrije marktwerking is wat je zou kunnen noemen commercieel populisme. Niet echt iets om na te streven denk ik zo.

eew @Cobalt • 12 juni 2012 17:13

Dat zou betekenen dat het bedrijf met het meeste geld op dit soort manieren de concurrentie volledig kan blokkeren. We hebben daar niet voor niets allerlei systemen tegen.

DheeradjS @piccollo1985 • 12 juni 2012 16:58

Het gebruik van Secure boot achte systemen om de de concurrenten/Open source te belemmeren vind ik een groot bezwaar.

Precies wat Apple doet nietwaar?

Oh, dat is geen software van ons, garantie vervallen

we_are_the_borg @DheeradjS • 12 juni 2012 18:12

Nietwaar.
Apple verkoopt hardware, software krijg je erbij. Concurrenten: Asus, HP, Dell, worden hier niet belemmerd.
Microsoft verkoopt software, ze verplichten de hardwarebouwers om secure boot in te schakelen. Concurrenten: Linux, BSD distros, worden hier *wel* belemmerd.

sfranken @piccollo1985 • 12 juni 2012 19:50

Secure boot is uit te zetten, dus wat doe je nou moeilijk?

Titan_Fox @Anoniem: 415197 • 12 juni 2012 16:57

Op een Apple kun je Windows installeren. Op een Windows PC kun je MacOS installeren. Het mag weliswaar niet maar ik denk dat dit vrijwel niemand wat kan schelen.

Anoniem: 340068 @Anoniem: 415197 • 13 juni 2012 00:17

Apple is hardware boer, microsoft software boer.. Microsoft heeft in mijn ogen geen inspraak op de hardware boeren maar dwingt het gewoon af.. Misbruik van machts positie.. Apple die doet maar wat ze willen

El_ByteMaster 12 juni 2012 16:37

Waar "iedereen" over zwijgt is de mogelijkheid om Win8 en Linux te dual-booten zonder elke keer in "UEFI BIOS" de secure boot aan en uit te zetten. Win8: Secure boot aan. Linux: Secure boot uit.

Nu is het misschien nog te kraken, maar straks boot het systeem direct vanaf de CPU en is alles vanaf dat moment cryptographically signed.

Cobalt @El_ByteMaster • 12 juni 2012 16:55

Waarom zou je dual-booten, je kan toch gewoon twee virtual machines runnen.

DheeradjS @Cobalt • 12 juni 2012 17:00

Dual boot versus VM maakt toch echt wel een verschil.

rob12424 @DheeradjS • 12 juni 2012 21:08

Dat verschil is tegenwoordig bijna te verwaarlozen. Windows in Linux kan zelfs sneller draaien om dat Linux en unix systemen de Api calls sneller afhandellen (wine draait bepaalde windows toepassingen ook sneller)

Bijvoorbeeld in Fedora heb je al spice voor 3d. Al draait windows (nog) niet in kvm en wordt het direct native geinstaleerd.

[Reactie gewijzigd door rob12424 op 25 juli 2024 03:47]

hackerhater @rob12424 • 13 juni 2012 09:54

Zeker, maar waarom laten veel mensen Windows er nog naast staan? => games
Die draaien niet bepaald goed in een VM

sfranken @Cobalt • 12 juni 2012 19:52

Soms is virtualisatie niet alles.

eew @El_ByteMaster • 12 juni 2012 17:07

Zeker als je bedenkt hoe moeilijk die dingen binnen te komen zijn.

Anoniem: 414003 12 juni 2012 16:31

misschien handig als men het artikel eerst eens goed leest voordat er een reactie wordt geplaatst..

... Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.

Hieruit blijkt al dat je gewoon linux kunt installeren op een desktop pc (x86/x64).

Enkel op de ARM tablets (Windows RT) zal de secure boot niet uit te schakelen zijn.. wat me opzich ook geen ramp lijkt..

adam76 12 juni 2012 16:19

Ik zie al weer van die sony zaken om de hoek komen. PS3 gekraakt. hacker word opgepakt. nou dat kan leuk worden. windows op de markt. koop ik een nieuwe pc omdat die van mij kapot is. ik kraak hem omdat ik mijn eigen software wil laten draaien. en ga daar andere mensen in de opensource gemeenschap mee helpen. dan staat er binnen afzienlijke tijd zeker van die blauw bloezen voor mijn deur.. nou ik walg hier van !!!

Ook al Bezet @adam76 • 12 juni 2012 16:38

Ik zie al weer van die sony zaken om de hoek komen. PS3 gekraakt. hacker word opgepakt. nou dat kan leuk worden. windows op de markt. koop ik een nieuwe pc omdat die van mij kapot is. ik kraak hem omdat ik mijn eigen software wil laten draaien. en ga daar andere mensen in de opensource gemeenschap mee helpen. dan staat er binnen afzienlijke tijd zeker van die blauw bloezen voor mijn deur.. nou ik walg hier van !!!

Minder walgen, meer lezen...

[Linus] stelt echter dat de kritiek vanuit de Linux-gemeenschap, waarin wordt gevreesd dat toekomstige pc's met Windows niet langer Linux kunnen booten, moet worden gerelativeerd. Zo krijgen pc's vermoedelijk de mogelijkheid om secure boot in de uefi uit te schakelen, omdat Microsoft dit in zijn eisenpakket voor Windows 8-certificatie heeft opgenomen.

Kraken is dus niet nodig om een ander OS te installeren. Dat het volgens Linus ook te kraken valt is weer een ander verhaal.

Al vraag ik me wel af wat dit allemaal betekent voor dual boot systemen, dan zou je iedere keer dat je het andere OS op wilt starten eerst in de UEFI moeten duiken om Secure Boot aan/uit te zetten?

[Reactie gewijzigd door Ook al Bezet op 25 juli 2024 03:47]

Anoniem: 456254 @Ook al Bezet • 12 juni 2012 17:04

Dual boot? ik zeg 1 woord:

Virtualisatie.

d1ng @Anoniem: 456254 • 12 juni 2012 18:14

Ben benieuwd of windows dan wel opstart als de BIOS van je virtualisatie software geen secure boot optie heeft

Anoniem: 438105 @d1ng • 12 juni 2012 19:24

Goeie vraag. Ik heb (voor noodgevallen) een Windowsversie virtueel bij de hand. EN ik wil zelf mijn kernel kunnen aanpassen, zonder elke keer weer een certificaat te kopen. Ik heb hier totaal niet om gevraagd.

Lijkt op een racefiets die je alleen nog maar kan kopen met verplicht een dik slot er op. Hallo ? Mag ik zelf weten of ik wel of geen slot wil? Soms heb je daar alleen maar last van.

H!GHGuY @Anoniem: 438105 • 12 juni 2012 20:10

Je moet helemaal niet zelf een key kopen. Waarom loopt iedereen al die FUD te schreeuwen. Lees maar even http://mjg59.dreamwidth.org/12368.html.

seapip @Anoniem: 456254 • 12 juni 2012 17:29

Een OS in een OS? wat is het doel dan nog van het andere OS?
Kan je dan beter niet de tools van het andere OS zelf porten/visualiseren?

rob12424 @Anoniem: 456254 • 12 juni 2012 21:05

Kun je win8 idd virtualiseren? In linux? Met dat secure boot? In veel gevallen is windows virtueel draaien in Linux sneller.

Straks gaan fabrikanten Linux leveren met windows virtueel erin dat kan nog leuk worden!

Anoniem: 340068 @rob12424 • 13 juni 2012 00:20

jah bij windows 8 kun je kiezen het uit te zetten.. en het zal blijven werken, alleen de arm tabblet versie niet.. Die zal weigeren op te starten

duizel 12 juni 2012 18:31

Wie is microsoft om secureboot te verplichten,
alleen het os is van hun niet de hardware in de pc dus ik vind dat ze dit op geen enkele wijze kunnen verplichten. Vind het prima dat ze het vereisen in windows maar ze hebbe niets over mijn bios te zeggen en de mogelijkheid om dit in de bios uit te zetten. zowel gaat er ergens iets verdomd mis of er word een grote zak geld betaald want met geld koop je ook rechten. Lekker voor linux dan ik had ze aangeklaagd op het dwarsbomen van concurrenten om andere besturingssystemen onmogelijk te maken op hardware dat niet eens van hun is. zelfde verhaal beetje als internet explorer en mediaplayer. daag windows als dat zo gaat lopen helaas.

foxofinfinety @duizel • 12 juni 2012 20:49

ben ik hier de enige die de daadwerkelijke voorwaarden van het WIndows Logo Program heeft gelezen?

het zal geen probleem zijn, want voor Windows 8 Client x86 en x64 is het zelfs verplicht dat SecureBoot juist wel uit kan.

http://msdn.microsoft.com...windows/hardware/jj128256
even gebruik maken van de zoek functie van de browser op die pagina, "System.Fundamentals.Firmware.UEFISecureBoot" en dan bij punt 18 kijken.

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

Anoniem: 456254 12 juni 2012 17:02

Misschien niet onbelangrijk :

Er zijn praktisch geen systemen op de markt die EFI ondersteunen, het is gewoon nog allemaal het oude BIOS wat je ziet..
Misschien kijk ik verkeerd of heb ik het fout, maar ik heb pas geleden nog een redelijk nieuwe Mobo aangeschaft, en EFI is daar toch echt niet beschikbaar......

[Reactie gewijzigd door Anoniem: 456254 op 25 juli 2024 03:47]

H!GHGuY @Anoniem: 456254 • 12 juni 2012 20:11

De laatste reeksen moederborden hebben bijna allemaal EFI, hoor.

Op dit item kan niet meer gereageerd worden.

Torvalds: secure boot geen groot probleem voor Linux

Lees meer

Reacties (108)

Sorteer op:

Weergave: