Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 53, views: 19.976 •

Een voormalige softwaredeveloper van Red Hat heeft de Shim-bootloader vrijgegeven. Door deze bootloader in een Linux-distributie op te nemen, wordt het mogelijk om deze te installeren en te booten op systemen die secure boot gebruiken, bijvoorbeeld pc's met Windows 8.

De Shim-bootloader is ontwikkeld door developer Matthew Garrett. Shim maakt gebruik van een tweetraps-systeem: eerst wordt de Shim-bootloader gestart om vervolgens de second stage Grub2-bootloader in te laden. Daarbij is Shim voorzien van een handtekening die wordt geaccepteerd door een uefi met een ingeschakelde secure boot-functie waardoor Grub2 is te activeren.

Shim is volgens Garrett met name bedoeld voor Linux-distributies die niet het traject bij Microsoft willen doorlopen om een bootloader van de benodigde handtekening te voorzien. Ontwikkelaars kunnen de Shim-bootloader in een map op het installatiemedium plaatsen en deze van een eigen sleutel voorzien. Nadat de gebruiker deze sleutel bij het installatieproces heeft geaccepteerd, kan op een computer waarop secure boot is ingeschakeld de betreffende Linux-distributie geïnstalleerd worden.

Secure boot is een beveiligingsmechanisme voor het bootproces dat onder andere door Windows 8 wordt ondersteund. Linux-ontwikkelaars hebben zich in allerlei bochten moeten wringen om hun distributies zo aan te passen dat de bootloaders van de juiste handtekeningen zijn voorzien of om het secure boot-proces te omzeilen. Desondanks is het op pc's en laptops die secure boot ondersteunen mogelijk om deze feature in de uefi uit te schakelen.

Reacties (53)

Waarom moet een linux distributie een traject bij Microsoft doorlopen om een handtekening te krijgen voor hun bootloader? Is Microsoft de enige die daar de mogelijkheid toe heeft?

[edit] Volgens dit artikel van howtogeek zit het certificaat van Microsoft standaard in UEFI, maar is het ook mogelijk dat er certificaten van anderen aan worden toegevoegd.

Zou het dan niet beter zijn om voor de linux community (bijvoorbeeld via de Linux Foundation) een eigen certificaat mee te leveren met UEFI? Het lijkt mij belachelijk om bij te concurrentie te moeten gaan aankloppen om je bootloader ondertekend te krijgen.

[Reactie gewijzigd door Sorcix op 2 december 2012 14:01]

Waarom moet een linux distributie een traject bij Microsoft doorlopen om een handtekening te krijgen voor hun bootloader? Is Microsoft de enige die daar de mogelijkheid toe heeft?
Simpel antwoord: Ja.

En van de grootste drijfveren achter 'secure boot' is dat Microsoft daarmee certificaten kan verstrekken, die ze alleen voor veel geld verkopen.

(Dat is trouwens de hele bottleneck in het complete 'trusted computing'-verhaal: Je laat certificering en uitgifte van sleutels over aan een derde partij, die het natuurlijk nooit gratis zal doen.)

Hetzelfde geintje hebben ze met de 64-bit versies van Windows uitgehaald die alleen 'WHQL-gecertificeerde' drivers accepteerden - uiteindelijk was het niet de kwaliteit van de driver die het WHQL-stickertje bepaalde, maar het betalen van flink wat licentiekosten.
[edit] Volgens dit artikel van howtogeek zit het certificaat van Microsoft standaard in UEFI, maar is het ook mogelijk dat er certificaten van anderen aan worden toegevoegd.
De clou is nu net dat de UEFI firmware van andere fabrikanten dat zal moeten ondersteunen, net zoals het (eventueel) uitschakelen van Secure Boot om Linux te kunnen starten. Nu is dat bij PC's en moederborden nog niet zo'n heel groot probleem omdat die los van het OS worden verkocht, maar bijvoorbeeld bij tablets wordt het een ander verhaal: Daar durft Microsoft zelfs in de licentievoorwaarden te verplichten dat Secure Boot niet mag worden uitgeschakeld en er alleen sleutels van Microsoft in mogen, anders mag de tablet niet met Windows 8 worden verkocht.

[Reactie gewijzigd door Stoney3K op 2 december 2012 14:05]

Shim is volgens Garrett met name bedoeld voor Linux-distributies die niet het traject bij Microsoft willen doorlopen om een bootloader van de benodigde handtekening te voorzien.
Het woordje niet over het hoofd gezien denk ik ;) Het is juist het punt waarom er een andere bootloader nodig is, zodat er niet alleen Windows op kan.
Leuk, nu kunnen malware schrijvers die bootloader gebruiken om secure boot te omzeilen en toch bootkits te infecteren?
Nee. Deze bootloader boot alsnog alleen maar software die is ondertekend met een key van de Linux distro die de bootloader op je systeem heeft geinstalleerd, of als de gebruiker daar handmatig toestemming voor heeft gegeven in het boot menu.

Wat het artikel bedoeld is de mogelijkheid voor andere distributies om de versie van Fedora te gebruiken en te installeren, en dan hun eigen key aan die versie toe te voegen. Daarvoor is het echter noodzakelijk dat de gebruiker handmatig reboot, de key toevoegt en verder gaat met de installatie. Geen mogelijkheid om zonder dat het opgemerkt wordt malware te installeren dus.

[Reactie gewijzigd door hostname op 2 december 2012 14:07]

Leuk, nu kunnen malware schrijvers die bootloader gebruiken om secure boot te omzeilen en toch bootkits te infecteren?
Malware-schrijvers, hobbyisten of Linux-kernel-bakkers. In weze dus iedereen die weer zelf de controle wil houden over welke code er in zijn boot-proces wordt uitgevoerd.

Infecteren van een ander boot-proces (zoals bijvoorbeeld dat van Windows) zal alleen niet gaan: Als een stuk malware daar de bootloader van verandert, zal de sleutel niet meer overeenkomen met wat het hoort te zijn. En het proces wat er verder achter zit tot aan de kernel van Windows is via dat hele Secure Boot-proces versleuteld.

Een vergelijkbaar proces zie je bijvoorbeeld bij de bootloader van de Nintendo Wii: Die draait versleuteld vanuit ROM, maar via een custom app kunnen we toch eigen code op de console uitvoeren. Infecteren van de originele boot-code in ROM is alleen niet mogelijk, want dan start de console gewoon niet meer op.
Waarom zou je zo graag een Linux distributie op een Windows 8 tablet willen hebben. Dat doe je toch ook niet met een iOS- of Android-device (niet kijken naar het feit dat Android een Linux distributie is).
Het zijn natuurlijk in principe de hardwarefabrikanten/implementeerders van de UEFI die sleutels kunnen verstrekken.

Het probleem is dat bij hen weinig animo is om moeite te doen vor niet-windows-besturingssystemen, dat zie je ook wel enigszins als je naar driverondersteuning van hardware kijkt (al lijkt daar langzamerhand wel wat verandering in te komen)

Ik zou nog steeds best wel wat gezien hebben in het toevoegen van een mogelijkheid voor eindgebruikers sleutels (niet) te accepteren in de firmware-interface.
Waarom zou je zo graag een Linux distributie op een Windows 8 tablet willen hebben. Dat doe je toch ook niet met een iOS- of Android-device (niet kijken naar het feit dat Android een Linux distributie is).
Waarom installeer je Linux dan op een PC? Waarom zet je Windows op een Mac? ;)
En hoe makkelijk is het om een key van een Linux distro te bemachtigen? Juist ja.
Deze bootloader maakt het dus juist mogelijk om self-signed keys uit te voeren via de UEFI secure-boot functie, niet alleen keys die uitgegeven zijn door Microsoft. De eindgebruiker zal ze wel expliciet toe moeten staan.

Als je dus je eigen kernel of GRUB compileert zal de compiler er ook een key-file bij geven, die je bij de installatie van de nieuwe kernel/bootloader weer in deze Shim-bootloader kan stoppen.

Je moet dus wel in de gaten houden dat je niet blindelings keys toevoegt die je niet herkent, net zoals je dat bijvoorbeeld doet met je SSH-client.
Het idee om berhaupt een traject bij Microsoft te moeten doorlopen om een OS werkend te kunnen krijgen is van de zotte. Denkt Microsoft nu het hele concept "PC" of het concept "laptop" te bezitten? Lijkt bijna Apple wel, die denken ook de uitvinder te zijn van smartphones en tablets. Dat soort dingen mogen netjes buiten Microsoft om.
De hardware is vaak goed. Alleen werk ik liever met Linux. Dan is dit gewoon een uitkomst.
Ja hoor, ben je tweaker voor toch? Daarom zet je Rockbox op je ipod, Cyanogenmod op je smartphone, DD-WRT op je router, en ben je chagrijnig dat je je tv niet kan tweaken voor ultieme controle. :-)
Het bestaan van "Ubuntu for Android" spreekt je tegen. Zelf heb ik graag controle over het OS op mijn telefoon. Ik draai dan ook een Custom ROM. Het OS van je telefoon of tablet vervangen gebeurt zo ongeveer grootschalig.
In theorie kunnen ook andere keys dan die van Microsoft worden opgenomen. Het probleem is dat je dan alle hardware-fabrikanten individueel moet gaan overtuigen om ook jouw key op te nemen. Als je dat al zou lukken dan zit je nog met een berg hardware die nu al op de markt is.


Defacto is Microsoft de enige die software kan goedkeuren.
Ja, en jij hebt geen verstand van de materie waar je over praat.

Ergens was dit nieuws te verwachten, want er was al een hoop commotie omtrent secure boot bij het Linux-kamp. Toch ben ik blij dat Shim er is, voor die paar tweakers die graag hun Surface gebruiken voor Linux. Ubuntu 12.04 leende zich al goed voor touchscreens met Unity (vooral als de iconen groter werden gezet), en ik zie dat ook nog wel gebeuren. Nu alleen nog ARM goed ondersteunen!
dat doe je niet met iOS-Android omdat het eigenlijk niet mogelijk is...
Neen, maar de sleutel van MS is op dit moment n van de weinige die per default word meegeleverd binnen UEFI. MS is dus 1 van de weinige die de code kan ondertekenen en waarbij je zeker bent dat deze op alle secure boot apparaten zal werken.

Als het voor eigen gebruik is dan kan je, in principe, nog altijd je eigen sleutel aan je eigen UEFI install toevoegen, maar ik geloof dat moederbordmakers zelfs de mogelijkheid hebben om die optie uit te schakellen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014