Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties, 20.061 views •

Een voormalige softwaredeveloper van Red Hat heeft de Shim-bootloader vrijgegeven. Door deze bootloader in een Linux-distributie op te nemen, wordt het mogelijk om deze te installeren en te booten op systemen die secure boot gebruiken, bijvoorbeeld pc's met Windows 8.

De Shim-bootloader is ontwikkeld door developer Matthew Garrett. Shim maakt gebruik van een tweetraps-systeem: eerst wordt de Shim-bootloader gestart om vervolgens de second stage Grub2-bootloader in te laden. Daarbij is Shim voorzien van een handtekening die wordt geaccepteerd door een uefi met een ingeschakelde secure boot-functie waardoor Grub2 is te activeren.

Shim is volgens Garrett met name bedoeld voor Linux-distributies die niet het traject bij Microsoft willen doorlopen om een bootloader van de benodigde handtekening te voorzien. Ontwikkelaars kunnen de Shim-bootloader in een map op het installatiemedium plaatsen en deze van een eigen sleutel voorzien. Nadat de gebruiker deze sleutel bij het installatieproces heeft geaccepteerd, kan op een computer waarop secure boot is ingeschakeld de betreffende Linux-distributie geïnstalleerd worden.

Secure boot is een beveiligingsmechanisme voor het bootproces dat onder andere door Windows 8 wordt ondersteund. Linux-ontwikkelaars hebben zich in allerlei bochten moeten wringen om hun distributies zo aan te passen dat de bootloaders van de juiste handtekeningen zijn voorzien of om het secure boot-proces te omzeilen. Desondanks is het op pc's en laptops die secure boot ondersteunen mogelijk om deze feature in de uefi uit te schakelen.

Reacties (53)

Reactiefilter:-153051+137+28+31
Moderatie-faq Wijzig weergave
Tsja, dat is dus de kern van beveiligingscertificaten. Microsoft vertrekt die certificaten (en er zijn meer bedrijven), op een zelfde manier als Verisign certificaten kan verstrekken. Constateert de certificate authority (link: http://en.wikipedia.org/wiki/Certificate_authority) een abuse case in z'n certificaten, kan het certificaat ingetrokken. En zo kunnen er subcontractors ontstaan. Shim is dus zo'n subcontractor en die heeft z'n eigen voorwaarden. Dat gaat dus werken, TOTDAT er een keer misbruik is gezien. En op zo'n moment kan Microsoft het certificaat intrekken (Diginotar was op den duur ook nergens meer geldig), waardoor het niet meer werkt. Puur voor de veiligheid. Om dat te voorkomen hebben die subcontractors vaak een soort van kwaliteit/veiligheidssysteem, immers, je kredietwaardigheid verliezen is erg. Shim zou zowaar ooit een van die projecten kunnen zijn die commercieel gaat om voor alle OSS-OS-en van deze wereld de certificaten te verstrekken. Alleen reuzen als canonical kunnen dat misschien zelf maar de Mint's, Scientific Linuxes, en Fedora's van deze wereld moeten via Shim gaan.
En van de grootste drijfveren achter 'secure boot' is dat Microsoft daarmee certificaten kan verstrekken, die ze alleen voor veel geld verkopen.
Niet juist, de certificaten zijn verstrekt door bvb verisign, maar ondertekend door Microsoft.
De kostprijs hiervan ligt niet zo hoog als jij doet vermoeden. Als ik me niet vergis heb je voor 90$ een signed certificate.
Nu is dat bij PC's en moederborden nog niet zo'n heel groot probleem omdat die los van het OS worden verkocht, maar bijvoorbeeld bij tablets wordt het een ander verhaal: Daar durft Microsoft zelfs in de licentievoorwaarden te verplichten dat Secure Boot niet mag worden uitgeschakeld en er alleen sleutels van Microsoft in mogen, anders mag de tablet niet met Windows 8 worden verkocht.
Correctie: enkel bij ARM toestellen.

In plaats van FUD te verspreiden, zou je je beter eens inlezen in de materie.

Los hiervan keur ik de manier waarop MS dit verplicht allerminst goed. Trusted boot kan, ook voor non-Windows OS'en, een mooi gegeven zijn, maar de voorwaarden die MS er aan koppelt (of het gebrek eraan zoals het specifieren hoe secure boot uitgeschakeld kan worden) zijn allerminst sociaal te noemen naar andere OS'en die niet dezelfde leverage hebben bij fabrikanten.
Het zijn natuurlijk in principe de hardwarefabrikanten/implementeerders van de UEFI die sleutels kunnen verstrekken.

Het probleem is dat bij hen weinig animo is om moeite te doen vor niet-windows-besturingssystemen, dat zie je ook wel enigszins als je naar driverondersteuning van hardware kijkt (al lijkt daar langzamerhand wel wat verandering in te komen)

Ik zou nog steeds best wel wat gezien hebben in het toevoegen van een mogelijkheid voor eindgebruikers sleutels (niet) te accepteren in de firmware-interface.
Als ik echter naar je icoontje kijk, werk je er al een tijdje mee! EFI (niet UEFI, immers, we wijken af van wat standaarden waardoor de U van Universal) zoals gebruikt op Mac's, beperkt ook een hoop. Een goed voorbeeld is hoe bootcamp als laag nodig is om andere OS-en te installeren omdat de EFI dicht zit. En bootcamp heeft beperkingen: je zit vast aan een BIOS-emulatie laag in plaats van dat je de EFI in mag. In feite valt bootcamp te zien als een virtuele bootloader die gecertificeerd is.
Neen, maar de sleutel van MS is op dit moment n van de weinige die per default word meegeleverd binnen UEFI. MS is dus 1 van de weinige die de code kan ondertekenen en waarbij je zeker bent dat deze op alle secure boot apparaten zal werken.

Als het voor eigen gebruik is dan kan je, in principe, nog altijd je eigen sleutel aan je eigen UEFI install toevoegen, maar ik geloof dat moederbordmakers zelfs de mogelijkheid hebben om die optie uit te schakellen.
Nee. Deze bootloader boot alsnog alleen maar software die is ondertekend met een key van de Linux distro die de bootloader op je systeem heeft geinstalleerd, of als de gebruiker daar handmatig toestemming voor heeft gegeven in het boot menu.

Wat het artikel bedoeld is de mogelijkheid voor andere distributies om de versie van Fedora te gebruiken en te installeren, en dan hun eigen key aan die versie toe te voegen. Daarvoor is het echter noodzakelijk dat de gebruiker handmatig reboot, de key toevoegt en verder gaat met de installatie. Geen mogelijkheid om zonder dat het opgemerkt wordt malware te installeren dus.

[Reactie gewijzigd door hostname op 2 december 2012 14:07]

En hoe makkelijk is het om een key van een Linux distro te bemachtigen? Juist ja.
Deze bootloader maakt het dus juist mogelijk om self-signed keys uit te voeren via de UEFI secure-boot functie, niet alleen keys die uitgegeven zijn door Microsoft. De eindgebruiker zal ze wel expliciet toe moeten staan.

Als je dus je eigen kernel of GRUB compileert zal de compiler er ook een key-file bij geven, die je bij de installatie van de nieuwe kernel/bootloader weer in deze Shim-bootloader kan stoppen.

Je moet dus wel in de gaten houden dat je niet blindelings keys toevoegt die je niet herkent, net zoals je dat bijvoorbeeld doet met je SSH-client.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True