Ubuntu 12.10 gaat secure boot toch via Grub2 ondersteunen
Canonical heeft aangekondigd dat het toch de Grub2-bootloader zal gebruiken om Ubuntu 12.10 te kunnen booten op computers die de secure boot-optie geactiveerd hebben. Eerder wilde Canonical een eigen bootloader en sleutel gaan gebruiken.
De secure boot-optie op pc's met een uefi, een boot-mechanisme dat met name door Windows 8 wordt gebruikt, heeft binnen de Linux-gemeenschap veel discussie opgeleverd omdat het de installatiemogelijkheden voor opensource-software ernstig zou belemmeren. Canonical nam in juni het standpunt in dat het met een eigen bootloader wilde komen, gebaseerd op de Efilinux-loader van Intel. Deze zou voorzien moeten zijn van een eigen sleutel. Grub2 zou volgens de Ubuntu-ontwikkelaar niet veilig genoeg zijn omdat door de opensource-structuur van de bootloader bijvoorbeeld een fabrikant de Canonical-sleutel per ongeluk openbaar zou kunnen maken.
Canonical komt hier nu op terug en stelt dat het na input vanuit de Grub2-ontwikkelaars en enkele oem-partners wel degelijk mogelijk is om Grub2 te voorzien van veilige secure boot-ondersteuning. Om de veiligheid te verhogen, wil Canonical Ubuntu-systemen die secure boot ondersteunen op dit punt gaan testen binnen het bestaande Ubuntu Certification-programma. Zo moet een systeem voorzien in de mogelijkheid om secure boot geheel uit te schakelen en eindgebruikers moeten user certificates kunnen installeren. Ook houdt Canonical Eflinux-bootloader achter de hand voor noodgevallen.
Grub2 met de secure boot-optie moet in de in oktober uitkomende Ubuntu 12.10 beschikbaar zijn. Daarnaast zal er voor de huidige Ubuntu 12.04 LTS-release vermoedelijk een aparte package beschikbaar komen omdat de wijziging als te groot wordt gezien om de bestaande Grub 1.99-bootloader aan te passen.
De keuze van Canonical om toch de opensource-bootloader Grub2 te ondersteunen, wordt verwelkomd door de Free Software Foundation. Zij stellen dat deze keuze voldoet aan de GPLv3-voorwaarden waardoor de gebruiker de vrijheid blijft houden om zijn eigen besturingssysteem te kunnen kiezen.
Reacties (42)
Lijkt een goede keus, Grub2 secure boot: alle distro's kunnen dan hetzelfde mechaniek gebruiken. En wellicht hetzelfde certificaat. Wat meer eenheid hier en daar in de Linux wereld is welkom
[Reactie gewijzigd door Xubby op zondag 23 september 2012 11:52]
Neemt niet weg dat secure boot een ernstige handicap blijft voor Linux. Als eindgebruiker zal je er over het algemeen niet veel last van hebben. Maar vanaf dat je je eigen kernel eens moet compileren voor bijv. een driver te patchen heb je een probleem omdat je hem niet meer kan ondertekenen met een erkende sleutel. Dan is het te hopen dat je op eenvoudige wijze je eigen sleutel kan toevoegen aan je UEFI op je moederbord.
Dan zet je het toch uit in de UEFI?
Op x86/x64 hardware moet volgens Microsoft ook de secure boot uit te zetten zijn in de UEFI.
http://en.wikipedia.org/wiki/Secure_boot#Windows_8
Dan hoef je je geen zorgen te maken als je met de kernel wil spelen.
Op x86/x64 hardware moet volgens Microsoft ook de secure boot uit te zetten zijn in de UEFI.
http://en.wikipedia.org/wiki/Secure_boot#Windows_8
Dan hoef je je geen zorgen te maken als je met de kernel wil spelen.
en als je ubuntu for arm wilt op je tablet in plaats van bijv dat gehandicapte winRT... ?
ik vind eerlijk gezegt dat het gewoonweg tijd wordt om grub helemaal weg te laten en die laatste paar features die het nog bied aan uefi toe te voegen, er is gewoonweg geen nut meer voor een OS-specifieke bootloader. laat grub gewoon uitsterven met de bios.. en decureboot DE standaard worden,
ik ben eigenlijk wel voor het systeem wat sommige telefoon fabs doen, een secure bootloader die je met een unlock code kunt openen, doe je dit valt echter je support weg, op de software kant van het verhaal, als je dan betrouwbare distro's als ubuntu de mogelijkheid geeft om ook aan boot keys te komen is er niets aan de hand, wil je zelf je kernel signen is dat mogelijk, maar support kun je dan vergeten tot je eerst met een gesignde key weer op start
dit laatste is wel iets dat ik als eis zou stellen - want als je weer een gesignde (secure boot) kernel start moet men natuurlijk niet gaan zeiken over het feit dat je gister een niet ondersteund os draaide...
ik vind eerlijk gezegt dat het gewoonweg tijd wordt om grub helemaal weg te laten en die laatste paar features die het nog bied aan uefi toe te voegen, er is gewoonweg geen nut meer voor een OS-specifieke bootloader. laat grub gewoon uitsterven met de bios.. en decureboot DE standaard worden,
ik ben eigenlijk wel voor het systeem wat sommige telefoon fabs doen, een secure bootloader die je met een unlock code kunt openen, doe je dit valt echter je support weg, op de software kant van het verhaal, als je dan betrouwbare distro's als ubuntu de mogelijkheid geeft om ook aan boot keys te komen is er niets aan de hand, wil je zelf je kernel signen is dat mogelijk, maar support kun je dan vergeten tot je eerst met een gesignde key weer op start
dit laatste is wel iets dat ik als eis zou stellen - want als je weer een gesignde (secure boot) kernel start moet men natuurlijk niet gaan zeiken over het feit dat je gister een niet ondersteund os draaide...
doe je dit valt echter je support weg, op de software kant van het verhaal
offtopic:
Niet alleen de softwaresupport valt weg, ook over hardwaregarantie zou een fabrikant moeilijk kunnen gaan doen: als jij je eigen OS draait kunnen zij niet garanderen dat je je processor niet oververhit of je batterij onderlaadt.
Niet alleen de softwaresupport valt weg, ook over hardwaregarantie zou een fabrikant moeilijk kunnen gaan doen: als jij je eigen OS draait kunnen zij niet garanderen dat je je processor niet oververhit of je batterij onderlaadt.
Dan moet je geen Windows RT tablet kopen duh. Je koopt toch ook geen iPad om er Android op te draaien? 
Daar zit inderdaad wat in. Je moet niet hardware kopen met het idee dat je het later kan modificeren om dingen mee te gaan doen waar het product niet voor bedoeld was. Natuurlijk kan je het ook gewoon wel doen, maar dan weet je van tevoeren waar je mee bezig bent, en dan ga je ook niet bij de leverancier zeuren. 
Zo koop ik al mijn hardware. Als het niet kan werken zoals ik dat wil, dan hoef ik het niet. Als je daar anders over denkt kun je jezelf niet echt een tweaker en/of hacker noemen ofwel?
[Reactie gewijzigd door Conzales op maandag 24 september 2012 16:54]
de paus belde, hij wil zijn dogma's terug
GRUB is een bootloader die kernels kan booten die voldoen aan de multiboot specificatie. Daarmee is GRUB dus niet OS-specifiek, in ieder geval in de situatie zonder secure boot.
MS kan zijn kar snel keren en in de toekomst net SB gaan eisen als niet uitzetbaar. Niets dat hen tegenhoud. En dat is net het hele probleem met SB. Het idee is goed, maar er ligt te veel controle en macht bij MS op dit moment.
Waarom blijft men dit toch als "oplossing" zien? Ik wil secure boot juist AAN hebben! Het is een feature waar je voor betaald hebt en die je pc veiliger maakt. De enige juiste oplossing is dat je als gebruiker de controle hebt over de toegestane keys, en dat die makkelijk en duidelijk te beheren zijn. Ik wil de key van Microsoft kunnen verwijderen, en de key van mijn favo distro (of een hele eigen key) kunnen toevoegen.
Precies! Dat zou een implementatie zijn waar geen gebruiker bezwaar tegen heeft.
Bij een poging tot booten van een niet goedgekeurde signature een grote waarschuwing tonen met een fingerprint en de melding dat het mogelijk niet veilig is deze kernel te booten met de mogelijkheid om, net als bij certificaten op internet, deze signature toe te voegen aan de lijst van toegestane handtekeningen.
En vanuit een UEFI-tool de mogelijkheid om handtekeningen die toegestaan zijn te verwijderen.
Vervolgens zou *elk* systeem wat zonder OS geleverd wordt moeten komen met een lege lijst toegestane handtekeningen, zodat ook bij een eerste installatie van Windows deze melding verschijnt.
Uitsluitend bij complete systemen die met een OS voorgeinstalleerd komen zou de betreffende signature al geaccepteerd mogen zijn.
Pas dan hebben we een level playing field waarbij geen enkele leverancier bevoor- of benadeeld wordt.
De grote vraag is echter: zie jij het gebeuren?
Bij een poging tot booten van een niet goedgekeurde signature een grote waarschuwing tonen met een fingerprint en de melding dat het mogelijk niet veilig is deze kernel te booten met de mogelijkheid om, net als bij certificaten op internet, deze signature toe te voegen aan de lijst van toegestane handtekeningen.
En vanuit een UEFI-tool de mogelijkheid om handtekeningen die toegestaan zijn te verwijderen.
Vervolgens zou *elk* systeem wat zonder OS geleverd wordt moeten komen met een lege lijst toegestane handtekeningen, zodat ook bij een eerste installatie van Windows deze melding verschijnt.
Uitsluitend bij complete systemen die met een OS voorgeinstalleerd komen zou de betreffende signature al geaccepteerd mogen zijn.
Pas dan hebben we een level playing field waarbij geen enkele leverancier bevoor- of benadeeld wordt.
De grote vraag is echter: zie jij het gebeuren?
zo'n certificaat is ook niet zo duur. 80USD als ik het goed had.
Kun je dat gehele secure boot niet uitschakelen ?
Dat moet kunnen volgens Microsoft:
http://en.wikipedia.org/wiki/Secure_boot#Windows_8
Maar het is wel een stuk ingewikkelder voor de eindgebruiker
http://en.wikipedia.org/wiki/Secure_boot#Windows_8
Maar het is wel een stuk ingewikkelder voor de eindgebruiker
Als een eindgebruiker Linux kan installeren, kan hij/zij die instelling ook wel vinden en wijzigen 
Linux is nu niet echt moeilijk om te installeren,(live cd's enzo)
Het gaat er meer om als je zelf iets customs wil doen dat je dan tegen het probleem kan aanlopen dat je je vers geperste kernel niet kan signen.
En je instal dus niet kan doen.
Ondanks dat zie ik 95% van de eindgebruiksers dat niet zie doen.
Is / Kan het toch wel een serieus probleem worden / zijn.
Het gaat er meer om als je zelf iets customs wil doen dat je dan tegen het probleem kan aanlopen dat je je vers geperste kernel niet kan signen.
En je instal dus niet kan doen.
Ondanks dat zie ik 95% van de eindgebruiksers dat niet zie doen.
Is / Kan het toch wel een serieus probleem worden / zijn.
Ik denk dat als iemand al een ander OS /dual boot wil doen, en dan ook de kernel bewerkt bovengemiddelde kennis heeft van computers. Zo'n persoon kan dan denk ik ook heel makkelijk in zijn UEFI de optie vinden om secure boot uit te zetten.Maar het is wel een stuk ingewikkelder voor de eindgebruiker
Voor het overgrote merendeel van de consumenten is er geen probleem. Die zijn tevreden met de Windows die geleverd wordt met hun nieuwe PC. Die hebben geen interesse in andere OSsen installeren en laat staan de kernel bewerken.
ubuntu is anders een meer dan prima vervanger voor windows 8 ... en ik kan niet wachten op de dag dat er meer ubuntu pc's worden verkocht dan bijv mac's (ook zo'n alternatief, non windows systeem)...
Als Ubuntu is voorgeinstalleerd is dit hele secure boot gebeuren ook geen probleem, dan zet de OEM het certificaat van Canonical in de UEFI en werkt secure boot gewoon. Het probleem komt pas als je een OS wilt booten waar de sleutel niet van in je UEFI staat.
PC-retailers houden niet van Linux. Er zit geen winstmarge op en het stelt te weinig eisen aan de hardware, wat hun bazen, de hard- en softwareboeren altijd duidelijk laten merken. De truuk (en imho het hele doel) van SB is dat elke machine die Linux of iets anders moet gaan draaien individueel onder handen moet worden genomen en het lijkt alsof er noodzakelijk een beveiliging uitgezet moet worden. Als je het mij vraagt is dit je reinste concurentievervalsing alsmede het doelgericht zwart maken van die concurrent.
Je bedoelt diezelfde PC retailers (Samsung, Acer, Lenovo, Asus, etc) die tientallen miljoenen Linux telefoons per jaar verkopen?PC-retailers houden niet van Linux.
Zullen er geen opties / biossen komen waar het compleet uit gesloopt is door iemand.?
En dat er bv projectjes ontstaan als DD-WRT?
En dat er bv projectjes ontstaan als DD-WRT?
nee... zolang het uit te schakelen is is dat toch goed,
maar als je het ECHT wilt weten... www.coreboot.org (als ik me de link goed herinner)...
eigenlijk is het er dus al, maar dat is meer een bios vervanger dan een uefi
maar als je het ECHT wilt weten... www.coreboot.org (als ik me de link goed herinner)...
eigenlijk is het er dus al, maar dat is meer een bios vervanger dan een uefi
EUFI draait niet op BIOS, het vervangt het.
op UEFI systemen, draait er een BIOS op je UEFI 
(of iig op sommige moederborden)
(of iig op sommige moederborden)
Microsoft doet dit om de beveiliging voor eindgebruikers wat op te schroeven, niks mis mee. Daarbij verplicht Microsoft dat je het ook uit kunt schakelen, in geval van systeem reparatie of een besturingssysteem switch. Niks om te huilen dus.
@Dstre4m
"Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv."
Pagina 121, punt 18
http://download.microsoft...t-requirements-system.pdf
@Dstre4m
"Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv."
Pagina 121, punt 18
http://download.microsoft...t-requirements-system.pdf
[Reactie gewijzigd door Dead Pixel op zondag 23 september 2012 13:35]
Microsoft verplicht dit niet. Omdat Intel ook in het UEFI forum zit mocht dit pas geïmplementeerd worden op het x86 platform als er een mogelijkheid was tot uitschakeling.
Bij het ARM platform heeft Intel niets te zeggen: Microsoft heeft vrijspel -> verplichting van Secure Boot zonder optie tot uitschakeling.
@Dead Pixel
En dat staat er dankzij Intel.
@Ramon
Wat als we het over ARM-based laptops, thin-clients, nettops,... hebben?
Bij het ARM platform heeft Intel niets te zeggen: Microsoft heeft vrijspel -> verplichting van Secure Boot zonder optie tot uitschakeling.
@Dead Pixel
En dat staat er dankzij Intel.
@Ramon
Wat als we het over ARM-based laptops, thin-clients, nettops,... hebben?
[Reactie gewijzigd door Dstre4m op zondag 23 september 2012 14:03]
Als je een Windows RT tablet koopt, dan koop je ook uitdrukkelijk het OS. Net zoals dat je als je een iPhone of iPad koopt ook kiest voor iOS. Er zijn genoeg andere tablets met andere besturingssystemen zodat je je geen zorgen hoeft te maken over dat je iets mist.
Vandaag verplicht MS dat het uitschakelbaar is, maar wat houd hen tegen om in de toekomst het omgekeerde te eisen? En laat ons eerlijk zijn, het gaat hen niet om de bescherming van de eindgebruiker. Ze zouden niets liever willen dan SB overal verplicht te stellen wanneer je bekijkt hou Win7 gekraakt werd. Iets wat onmogelijk zou zijn met Secure Boot. Het is gewoon een kwestie van tijd.
http://www.neowin.net/new...argets-uefi-and-windows-8
Voor bescherming is secure boot zeker nuttig, NIET alleen voor windows 8, maar voor alle OSen die op een uefi systeem draaien.
Daarnaast, prima als je Microsoft haat, interesseert me niet, maar "En laat ons eerlijk zijn" is zo'n ongelofelijk lege zin. Alsof iemand die daar anders over denkt aan het liegen is, wat een onzin. Niemand van ons weet waar het MS ECHT om gaat.
Voor bescherming is secure boot zeker nuttig, NIET alleen voor windows 8, maar voor alle OSen die op een uefi systeem draaien.
Daarnaast, prima als je Microsoft haat, interesseert me niet, maar "En laat ons eerlijk zijn" is zo'n ongelofelijk lege zin. Alsof iemand die daar anders over denkt aan het liegen is, wat een onzin. Niemand van ons weet waar het MS ECHT om gaat.
hoe Win7 gekraakt werd? Je bedoelt dat ze je Win7 Ultimate laten geloven dat het een gevalideerde OEM Win7 versie is? Heeft niets met UEFI en SB te maken.
En ze zouden niets liever, MS steld SB verplicht op Windows Certified systemen/devices.
Oh en als MS zo anti-concurentie zijn, waarom heeft MS de certificaten betaald voor Ubuntu, Debian, OpenSuSe, Red Hat, Fedora en nog een paar distro's.?
Certificaat wat hier gebruikt word door Ubuntu, komt ook van MS af.
Oh en gelijk bij bekendmaking, nog voordat iedereen liep te schreeuwen, was MS's eis al dat SB gedisabled moet kunnen worden op x86/64 systemen.
En ze zouden niets liever, MS steld SB verplicht op Windows Certified systemen/devices.
Oh en als MS zo anti-concurentie zijn, waarom heeft MS de certificaten betaald voor Ubuntu, Debian, OpenSuSe, Red Hat, Fedora en nog een paar distro's.?
Certificaat wat hier gebruikt word door Ubuntu, komt ook van MS af.
Oh en gelijk bij bekendmaking, nog voordat iedereen liep te schreeuwen, was MS's eis al dat SB gedisabled moet kunnen worden op x86/64 systemen.
"en eindgebruikers moeten user certificates kunnen installeren"
In de uefi fimware? Ik vraag me af hoe zit willen gaan doen, USB stick dan via een uefi file manager installeren? En hoe zit het met grote, ik weet niet precies hoe groot een uefi systeem is en hoeveel nog vrij maar dit is echt freaky
In de uefi fimware? Ik vraag me af hoe zit willen gaan doen, USB stick dan via een uefi file manager installeren? En hoe zit het met grote, ik weet niet precies hoe groot een uefi systeem is en hoeveel nog vrij maar dit is echt freaky
Valt mee je kan nu al bv je bios op de meeste bordjes in uefi flashen of repairen dmv een ubsstick. voor zie dat dit dan idd ook mogelijk is.
Je hebt meestal wel wat ruimte hoor, en anders is er altijd wel een EFI systeem partitie van een paar MB waar je extra dingen kan dumpen. De bestanssysteem is ook vrij universeel, ik dacht dat er sowieso FAT, EXT2 en HFS+ waren voor RW en ISO9660 en UFS achtige dingen voor R. En dan heb je uiteraard nog extra support die je met modules kan toevoegen, vast wel voor NTFS, exFat, HFS+J, Btrfs, en misschien wel voor softraid en andere non-fs schijf-management systemen.
Je kunt toch gewoon een fingerprint/checksum van een certificaat maken en deze op het scherm tonen? De gebruiker zal dan deze fingerprint/checksum moeten vergelijken met degene die vermeld wordt in de documentatie van het OS of op de website van de leverancier en indien die overeenkomt kan het certificaat veilig vertrouwd worden.
weet niet of jij wel eens een md5 sum hebt vergeleken maar ik vind het prachtig dat ik deze door een stukje software kan laten uitlezen uit een .md5 file
maar nieuwe schrijf erin, een stukje encrypted filesystem, waar dit soort keys in staan, lijkt me prima haalbaar. inloggen in uefi en de key inladen... prima toch?
maar nieuwe schrijf erin, een stukje encrypted filesystem, waar dit soort keys in staan, lijkt me prima haalbaar. inloggen in uefi en de key inladen... prima toch?
Ja hoor, maar over het algemeen is het vergelijken van de eerste paar, de laatste paar en nog een paar random karekters in het midden meer dan voldoende om de overeenkomst te bevestigen. Tuurlijk heb je dan nog het risico dat als iemand een bootloader weet te maken met signature die nagenoeg overeenkomt en slechts op een paar karakters verschilt, maar daar kan UEFI dan later exact op controleren.
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
