Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.

De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.

Reacties (88)

Reactiefilter:-188077+154+27+30
Moderatie-faq Wijzig weergave
Ik snap je vraag niet echt.
Hoe het werkt is simpel: door een handtekening op een stuk code te zetten, ligt de verantwoordelijkheid van die code vast (ondertekend door Microsoft, Canonical, of welke andere certificaathouder dan ook).
Dus, mocht er een bootloader met malware opduiken, dan valt aan de handtekening direct af te leiden waar die vandaan kwam.
Zo'n certificaat krijg je natuurlijk ook niet zomaar. Wat de exacte regels zijn weet ik niet uit m'n hoofd, maar het kost een hoop geld, en je zult vast als rechtspersoon geregistreerd moeten staan etc. Dus random hackers komen niet aan zo'n certificaat, normaal gesproken zijn dat alleen bedrijven (Microsoft en Canonical mogen geen certificaten uitdelen, dat mogen alleen bepaalde certificate authorities. Zij mogen alleen een certificate kopen waarmee ze hun code kunnen signeren).

Als hacker moet je dan je malware via een bedrijf uit gaan geven, en zie dan je sporen maar eens uit te wissen. Binnen het bedrijf zijn er natuurlijk maar een aantal mensen die code mogen signen, en via het version control systeem valt makkelijk te achterhalen wie aan welke delen van de code heeft gerommeld.
Geheel onmogelijk is het natuurlijk niet, maar het is wel weer een stuk lastiger geworden om malware te verspreiden, en om daarna ook niet getraceerd te worden.

[Reactie gewijzigd door Scalibq op 14 februari 2013 11:29]

maar als ook bijv canonical zo'n certificaat mag 'uitdelen', dan mag een beetje bootsector hax0r dat toch ook? wie gaat er over de legitimatie?
Microsoft moet dat niet, maar de meeste computers met secure boot herkennen op dit moment alleen het certificaat van Microsoft (het zijn immers computers die gebundeld zijn met Windows 8, waarbij de fabrikant overigens nooit enige compatibiliteit met linux heeft geclaimd).
heheh goeie oude tijden... (blit functies worden nog steeds gebruikt, maar amiga is niet veel meer in gebruik / dood om erg bruut te zijn )..
Da's niet zozeer op een ander niveau, alleen maar een ander systeem.... sub-pixel antialiasing wordt ook op kernel niveau gedaan (video driver)...

digifan is een beetje (te) hard, maar om kernel (-delen, niet alles kunnen we modulair maken) en modules te ontwikkelen (en te testen ) is het tocch een stuk gemakkelijker om niet telkens je werk te laten ondertekenen door MS (als dat al mogelijk is), als je vast zit aan een systeem met secure boot only

Ik vindt t zelf wel F'd up dat Microsoft blijkbaar de enige ca is die op alle moederborden met UEFI ondersteund word (apple systemen daarnaast gelaten), als canonical of een ander bedrijf/stichting/ding ook voor alle uefi's certificaten kan uitgeven en uitvoeren, is dat probleem ook weer opgelost (ook al blijf je aan een 3rd party vast zitten)
Zo liggen de verhoudingen nu eenmaal. Microsoft is al sinds de eerste IBM PC de leverancier van het OS.
Het staat de linux-wereld vrij om deals te maken met OEMs, of zelfs een heel eigen platform te ontwikkelen. Maarja, de Windows-markt is natuurlijk groter, en die hardware is goedkoper. En ja, als je je op de Windows-markt gaat begeven, krijg je met Microsoft te maken.
Net zoals je met Apple te maken krijgt als je een linux-distro voor de Mac uitbrengt, etc.
Zo werkt het nou eenmaal als je een niche-speler bent.

Om een voorbeeld te geven: De Amiga-community is na de ondergang van Commodore zelf verder gegaan met het ontwikkelen van hardware.
Je kunt bijvoorbeeld zo'n SAM-moederbordje kopen: http://www.vesalia.de/e_sam460ex[7179].htm

De Amiga-community is nog een stuk kleiner dan de linux-community (en zeker het deel van de Amiga-community dat geinteresseerd is in dit soort 'next-gen' PowerPC systemen, ipv de originele 68k-systemen van Commodore).
En zij krijgen dit voor elkaar. Waarom moet de linux-community dan alleen maar zeuren richting MS, ipv zelf eens met een oplossing komen?

[Reactie gewijzigd door Scalibq op 11 februari 2013 13:51]

Ja, met de aanname dat er gaten in zitten is elke beveiliging per definitie onveilig natuurlijk.
Verder ben ik het niet met je eens: deze pre-bootloader is wel signed, maar alleen zolang ie ongewijzigd is. Dat betekent dus dat ie heel makkelijk te onderscheiden is van de originele Windows bootloader, dus vrij makkelijk door anti-malware scanners als zodanig te herkennen.

Edit: Blijkbaar hadden de makers daar ook al aan gedacht:
http://en.wikipedia.org/w...are_Interface#Secure_boot
"In October 2012, the Linux Foundation announced that it would be developing its own minimal UEFI bootloader signed with a Microsoft key that will serve as a shim to launch the main bootloader. However, to maintain security and prevent the bootloader from being used to silently load malware, it will require user input in order to boot."

[Reactie gewijzigd door Scalibq op 11 februari 2013 14:18]

Een secure-bootend OS zal wsch je niet *zomaar* toelaten de bootloader te writen, maar het bestaan van iOS jailbreaks (en hoe die dingen werken) geeft al wel aan dat je maar een paar gaten hoeft te vinden om daaromheen te komen.

En aangezien deze pre-bootloader gewoon signed is zal er verder geen software een haan naar kraaien als je daarnaartoe boot.
Normaal gesproken IS het een onafhankelijke partij a la VeriSign oid. Probleem is:
1) VeriSign is duur
2) Je kunt wel een certificaat kopen, maar dan moet je dat certificaat ook nog in de UEFI van alle verkochte systemen zien te krijgen.

In dit geval:
1) Microsoft rekent vrijwel niets voor deze service, $99 meen ik. Eenmalig $99 om alle bestaande linux distros op secure boot-machines te kunnen booten, lijkt me geen slechte deal.
2) Alle Windows 8 machines herkennen standaard het MS-certificaat.

Dus ze HOEVEN niet bij Microsoft aan te kloppen, maar het maakt dingen wel veel goedkoper en makkelijker. Nu hoeven ze ook niet bij alle OEMs aan te kloppen (wat vast ook nog wel een hoop geld met zich mee zou brengen, alleen al het werk dat erin gaat zitten).
Misschien heeft de rootkit zijn oorsprong in de Unix wereld maar dan heeft men dit probleem weten op te lossen zonder secure boot.
En als je een voorbeeld hebt van een recente Unix rootkit, laat dat dan maar even weten.
De bekentste Windows rootkit is die van Sony.

En als er zoveel bedrijven in het UEFI-committee zitten waarom is microsoft dan de enige die certificaten uitgeeft? Je schijnt zelfs Silverlight nodig te hebben om een certificaat aan te kunnen vragen, en dat is dus het probleem voor de meeste Linux bouwers.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True