Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties, 20.013 views •

Een voormalige softwaredeveloper van Red Hat heeft de Shim-bootloader vrijgegeven. Door deze bootloader in een Linux-distributie op te nemen, wordt het mogelijk om deze te installeren en te booten op systemen die secure boot gebruiken, bijvoorbeeld pc's met Windows 8.

De Shim-bootloader is ontwikkeld door developer Matthew Garrett. Shim maakt gebruik van een tweetraps-systeem: eerst wordt de Shim-bootloader gestart om vervolgens de second stage Grub2-bootloader in te laden. Daarbij is Shim voorzien van een handtekening die wordt geaccepteerd door een uefi met een ingeschakelde secure boot-functie waardoor Grub2 is te activeren.

Shim is volgens Garrett met name bedoeld voor Linux-distributies die niet het traject bij Microsoft willen doorlopen om een bootloader van de benodigde handtekening te voorzien. Ontwikkelaars kunnen de Shim-bootloader in een map op het installatiemedium plaatsen en deze van een eigen sleutel voorzien. Nadat de gebruiker deze sleutel bij het installatieproces heeft geaccepteerd, kan op een computer waarop secure boot is ingeschakeld de betreffende Linux-distributie geïnstalleerd worden.

Secure boot is een beveiligingsmechanisme voor het bootproces dat onder andere door Windows 8 wordt ondersteund. Linux-ontwikkelaars hebben zich in allerlei bochten moeten wringen om hun distributies zo aan te passen dat de bootloaders van de juiste handtekeningen zijn voorzien of om het secure boot-proces te omzeilen. Desondanks is het op pc's en laptops die secure boot ondersteunen mogelijk om deze feature in de uefi uit te schakelen.

Reacties (53)

Reactiefilter:-153051+137+28+31
Moderatie-faq Wijzig weergave
Ik vind je nogal erg positief.

Niemand dwingt de linux community af om secure boot te gebruiken. Echter het is wel MS die het product lanceert. Echter elke tekst verwerker wordt wel gedwongen om .doc te ondersteunen. Iets lanceren en tegelijk marktleider (monopoly positie hebben) zijn staat niet gelijk aan keuze vrijheid.

Het bedrag wat MS vraag zullen wel heel erg hoog zijn echter, worden linux distributies zeer regelmatig gepgraded en zal er elke keer weer een nieuwe key aangevraagd moeten worden. Dit levert gewoon onnodige kosten en tijdsverlies op.

Het is een mooie oplossing om zo malware buiten te deur te houden, echter de implementatie van UEFI is verre van optimaal voor os-en zonder grote hoeveelheid geld en macht. Omdat MS het implementeert zal het wel weer een standaard worden...
Hetzelfde geintje hebben ze met de 64-bit versies van Windows uitgehaald die alleen 'WHQL-gecertificeerde' drivers accepteerden - uiteindelijk was het niet de kwaliteit van de driver die het WHQL-stickertje bepaalde, maar het betalen van flink wat licentiekosten.
Je kan ook je drivers zelf signen mits het certificaat onder een CA valt die door MS wordt erkend. Verder vallen WHQL-kosten reuze mee voor een bedrijf, het is $250 per Windows-familie (dus 8, 7, Vista, ongeacht x86 of x64) en dan zit er nog een maximum aan van $1000 per submission. (bron) Voordat je die kosten op moet hoesten kan je alle tests zelf al draaien, dus je weet waar je aan toe bent.
Ben ik de enige die het hardcoden van sleutels in secure boot inherent onveilig vind? Die sleutel van Microsoft hoeft maar eenmaak gekraakt danwel gestolen te worden, en omdat al die zut in de BIOS zit, zal heel UEFI gelijk onderuit gaan...
Cool,

Maar persoonlijk heb ik denk ik toch een gewone tablet os op mijn tablets.
Tablets zijn voor mij persoonlijk een Consumer device en geen producer devices.
Dus producer ossen zoals een linux distro en win7 of win8 86x hebben voor mij niks te zoeken op devices.

Maar denk dat dit wel handig voor de surface tablets van microsoft met die keyboard sleeve.
Daar zie ik mensen nog wel wat op kunnen producen maar anders no thnx 7~10" is echt te klein om op te werken.
Apple doet dat net zo goed. Volgens mij heeft Microsoft het kunstje van hardware<->software koppeling zelfs van Apple afgekeken.
De vraag die je zou moeten stellen is "waarom zou je als eigenaar van de hardware niet zelf mogen kiezen welk OS je er op zet ?".
Wie zegt dat ze die keuze niet maken? Een tablet wordt geleverd met Windows 8, maar je zou de klant wel de kans moeten geven op een later tijdstip zelf de keuze voor iets anders te maken (zonder daarvoor een nieuwe tablet te kopen). MS verbiedt dat dus kennelijk met Windows 8-tablets.
Op x86 is dat een verplichting van Microsoft om de hardware met Windows 8 te laten leveren. Op ARM hardware is het juist een verplichting om het aan te hebben en niet uit te laten zetten, iets wat op zichzelf net zo gangbaar is als andere ARM-based devices (de meeste ARM Linux devices die verkocht worden hebben ook een diep vergrendelde bootloader, zo'n beetje 60 70% van de smartphones is dat), en dus niet zo'n vreemde eis (men valt er toch over puur omdat het Microsoft is).

En dat maakt een gedeelte van de kritiek wel oprecht, immers, je ziet in de hele industrie dat er een soort van convergente evolutie is in use-cases van X86 en ARM hardware, zeker in userland, en in mindere mate in serverland (waar deze vraagstukken over secure boot een stuk minder). Echter waar MS als n van de certificatie autoriteiten nu onder vuur licht van de OSS community, zou de OSS community ook wel een duit in eigen zak mogen gooien: hoewel de Samsungs en HTC's van de wereld beter zijn geworden, zijn ze nog zeker zo slecht.
waarom bestaat secureboot uberhaupt? (ik weet het echte antwoord wel, natuurlijk)

laten we hopen dat deze travestie toch alsjeblieft snel wordt afgeschaft...
Bronnen graag!
Wat heeft zo'n secure boot functie dan voor zin? Blijkbaar kan je dus een stukje software als eerste starten welke de secure boot accepteerd en daarna kan je alles starten wat het eigenlijk niet ondersteund? Lekker vage en nutteloze functie dan.
Ook Ubuntu zal, waar systemen met Ubuntu verkocht worden, hun eigen key distribueren.
maar is het dus NIET de schuld van microsoft dat linux weinig of niet ondersteund wordt door hardware-makers
dat doe je niet met iOS-Android omdat het eigenlijk niet mogelijk is...
Waarom zou je zo graag een Linux distributie op een Windows 8 tablet willen hebben. Dat doe je toch ook niet met een iOS- of Android-device (niet kijken naar het feit dat Android een Linux distributie is).
Maar dit komt niet door de keuze van het OS, dit komt door de keuze van de fabrikant en bij Android kun je altijd voor een concurrent kiezen die het wel zou toe laten en de meeste doen dat ondertussen.

Bij een Windows 8 tablet heeft de fabrikant geen keuze als hij dat OS wilt verkopen en word hij verplicht het dicht te timmeren.

En bij iOS, ... , wel ja dat is natuurlijk weer iets heel anders Apple is zelf eind fabrikant om het zo te zeggen die laten geen keuze van fabrikanten toe.

Maar waarom niet waarom zou je niet zelf de shell mogen bepalen? Je kunt bij je auto toch ook zelf de kleur en afwerkings opties kiezen en waarschijnlijk binnen kort ook hoe de display word gestructureerd als ik het zo hoor.

Als je een huis koopt mag je toch zelf ook de infrastructuur bijwerken naar jou functionaliteit?
Het is heel simpel. Als os leverancier kan je zonder Microsoft ook je eigen certificaat in de bios krijgen zonder Microsoft. Zorgen daar je een betrouwbare bootloader hebt, een certificaat regelen via bijvoorbeeld Verisign of een andere registrar. Dan met een zak geld ga je naar de fabrikanten toe. En dan zetten die gewoon je certificaat in de bios. Het is gewoon een kwestie van geld, Meer niet.

[Reactie gewijzigd door Wim-Bart op 3 december 2012 01:39]

Nu snap ik helemaal niet meer wat secure boot inhoud, ik vond secureboot al klinken als een duistere toekomst maar blijkbaar kan je dus in princiepe nog alles draaien. Nogal vaag vind in dit
Ik vind dit een erg goede ontwikkeling. Het idee van MS was om dit vanuit beveiligingsstandpunt te doen (toch?). Echter is het nu niet zo dat het hele idee van non authorised boots meteen overreden wordt?

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True