Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 88, views: 19.742 •

Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.

De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.

Reacties (88)

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert.
Dit klopt niet. Secure boot is een systeem wat in de bios (UEFI) zit, waar Microsoft support voor heeft ingebouwd in Windows 8.

Overigens kan Secure Boot op alle x86-apparaten in het UEFI worden uitgeschakeld zodat je ook je eigen kernel kan draaien bijv. (En kan je dan ook nog gewoon naar W8 booten)

[Reactie gewijzigd door Ramon op 10 februari 2013 14:54]

In zoverre klopt het wel, dat je er met een gekochte win7 pc nooit last van hebt.
Normaal bij een gekochte Windows 8 pc ook niet want 1 van de eisen van Microsoft is dat het een optie moet zijn om het uit te schakelen. Dit is dus meer voor de mensen die toch Linux willen gebruiken en secure boot willen behouden.
We zouden graag hebben dat de EU eens een blik werpt of de acties van Microsoft conform zijn met de meervoudige veroordelingen die ze hebben opgelopen wegens misbruik van monopolie.
Leer de volgende keer eens waar je het over hebt voordat je uitspraken doet, ben je soms een politicus?

Microsoft et al. hebben met secure boot een fundamenteel probleem in beveiliging van computers opgelost, en Microsoft is nu zo aardig geweest ook Linux daarbij te ondersteunen, omdat Microsoft nu eenmaal in de positie was om dit soort problemen op te lossen.

Ook zonder de hulp van Microsoft was deze handtekening te krijgen, alleen heeft Microsoft wat betere contacten onder hardwarefabrikanten.

Dit was een aardigheidje van Microsoft. Flikker op met je "zwaar irritant", dat is echt een veel te makkelijke klacht.

[Reactie gewijzigd door aukecomps op 10 februari 2013 15:06]

Klopt, behalve het laatste. Windows 8 wil (als security feature) niet booten als UEFI is uitgeschakeld. Daarom is dual-booten van systemen tricky geworden.

Voor onderstaand commentaar, Microsoft heeft redelijk eenzijdig een probleem opgelost dat niet echt van toepassing was in de Unix wereld en heeft vervolgens zeer moeilijk lopen doen over installaties mogelijk maken van andere OS wat uiteindelijk is opgelost met oa. de mogelijkheid tot het uitschakelen van UEFI.

Ja MS heeft een unieke positie, ja het is goed dat ze de Linux Foundation helpen, maar daar staat tegenover dat als ze weer heel veel rechtzaken zouden moeten voeren als ze dat niet zouden doen. (Eenzijdig een feature eisen van suppliers die daarmee andere bedrijven dwars zit is in Europees Recht redelijk duidelijk Abuse of a Dominant Position)
Wacht.

Secure boot is een idee dat vooral gepusht wordt door microsoft
één vna de verplichtingen die microsoft geeft aan de HW fabrikanten is dat Secure Bpot uit te schakelen valt, zodat je ook besturingssystemen die niet compatible zijn met secure boot nog steeds op de computer kunnen worden geïnstalleerd.

En hiermee zit Microsoft linux ontwikkelaars dwars?
1 nadeel, niet alle fabrikanten hebben de spec goed gelezen. Het gevolg is dat er al een paar laptop modellen zijn uitgerold zonder de mogelijkheid om het uit te zetten. En dan zit je met de gebakken peren. Goed opletten met de aankoop als je dus met secure boot of geheel zonder secure wilt werken.
Naast het feit dus dat Microsoft deze linux bootloader van een handtekening heeft voorzien.
Dus zelfs als secure boot aan staat, kun je (dankzij MS) nog steeds linux booten.

Dus ja, waar zit Microsoft linux ontwikkelaars dwars?
Volgens mij zitten linux ontwikkelaars vooral zichzelf dwars.
Ik beoordeel mensen altijd op wat ze doen, niet op wat ze in een hypothetische situatie misschien niet zouden doen.
Vandaag stelt MS inderdaad de uitschakelbaarheid op het x86 platform verplicht. Aan de andere kant verplichten ze het gebruik dan weer wel op het ARM platform en er is niets dat MS tegenhoud om in de toekomst hetzelfde te doen op het x86 platform.
1) Microsoft heeft het opgelost? Er zitten wel wat meer bedrijven in het UEFI-committee dan alleen Microsoft: http://en.wikipedia.org/wiki/Unified_EFI_Forum
"The board of directors includes representatives from eleven "Promoter" companies: AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies."

Oorspronkelijk komt de EFI-standaard bij Intel-HP vandaan: http://en.wikipedia.org/w...nsible_Firmware_Interface


2) Een probleem dat niet echt van toepassing was in de UNIX-wereld? Natuurlijk wel. Rootkits komen ook daar voor. Sterker nog, ze vinden hun oorsprong in de UNIX-wereld. Waar dacht je anders dat 'root' in de term rootkit vandaan kwam?
http://en.wikipedia.org/wiki/Rootkit
"The term rootkit or root kit originally referred to a maliciously modified set of administrative tools for a Unix-like operating system that granted "root" access."

[Reactie gewijzigd door Scalibq op 10 februari 2013 15:55]

Welk veiligheidsprobleem is er dan opgelost? De belangrijkste reden waarom MS op termijn zoveel mogelijk met secure boot wil gaan werken is om activeringscraks zoals bij Win7, waar de crack ingrijpt op het bootprocess, tegen te gaan.

En MS is momenteel de enige root CA die door alle moederbordfabrikanten word ondersteund. Wens je dus je code te laten tekenen op een manier die op alle moederborden werkt dan moet je bij MS passeren.
Er gaat een dag komen dat voor het booten van Windows de Secure Boot optie vereist is. Vandaag is die nog optioneel, ik weet het. Wil je dan vlot kunnen multibooten heb je al een probleem.

Nu zeg je wel dat het netjes is dat MS deze code tekent, maar van zodra je zelf je eigen code wenst te booten heb je een probleem. Niet iedereen wil zomaar even bij MS gaan aankloppen en het nodige geld op tafel leggen gewoon om wat code te laten tekenen.
Kan iemand mij aub verduidelijken of ik hiermee een linux distro kan draaien op een Windows rt apparaat met tegra 3 processor? Bv surface rt?
Het helpt heel erg tegen rootkits. Software die zorgt dat andere software verborgen blijft (ik denk dan aan keyloggers bijv. Die konden zich eerst inladen en gelijk het wachtwoord van je log-in meelezen, met secureboot moeten ze eerst een handtekening bemachtigen).
Voor diegene die beweren dat er geen problemen zijn:

UEFI Mode On Linux Still Bricking Samsung Laptops
http://www.phoronix.com/s...=news_item&px=MTI5NjI

Three PC Brands Where SecureBoot On Linux Is Botched
http://www.phoronix.com/s...=news_item&px=MTI4OTc

Bewijs heb ik niet , maar ik denk toch dat ms prcies krijgt wat ze willen.
Begrijp ik het nu verkeerd of is SecureBoot hier nu in 1 klap niet meer secure door? Iedereen kan nu toch deze "gesignde" code implementeren?

Op dit item kan niet meer gereageerd worden.