Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 88, views: 19.865 •

Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.

De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.

Reacties (88)

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert.
Dit klopt niet. Secure boot is een systeem wat in de bios (UEFI) zit, waar Microsoft support voor heeft ingebouwd in Windows 8.

Overigens kan Secure Boot op alle x86-apparaten in het UEFI worden uitgeschakeld zodat je ook je eigen kernel kan draaien bijv. (En kan je dan ook nog gewoon naar W8 booten)

[Reactie gewijzigd door Ramon op 10 februari 2013 14:54]

In zoverre klopt het wel, dat je er met een gekochte win7 pc nooit last van hebt.
Normaal bij een gekochte Windows 8 pc ook niet want 1 van de eisen van Microsoft is dat het een optie moet zijn om het uit te schakelen. Dit is dus meer voor de mensen die toch Linux willen gebruiken en secure boot willen behouden.
1 nadeel, niet alle fabrikanten hebben de spec goed gelezen. Het gevolg is dat er al een paar laptop modellen zijn uitgerold zonder de mogelijkheid om het uit te zetten. En dan zit je met de gebakken peren. Goed opletten met de aankoop als je dus met secure boot of geheel zonder secure wilt werken.
dat is een keuze die de hardwareleverancier maakt en ik kan me goed inbeelden als ze ook software-support op hun toestellen moeten geven, ze dit liever niet laten uitschakelen
Bij Windows 7 kon dat nog, willen ze Windows 8 Pro mee willen leveren moet het juist uit te schakelen zijn volgens de voorwaarden van MS.
Vandaag stelt MS inderdaad de uitschakelbaarheid op het x86 platform verplicht. Aan de andere kant verplichten ze het gebruik dan weer wel op het ARM platform en er is niets dat MS tegenhoud om in de toekomst hetzelfde te doen op het x86 platform.
er is niets dat MS tegenhoud om in de toekomst hetzelfde te doen op het x86 platform.
Wat dacht je van gezond verstand en de diverse toezichthouders?
Er kan zoveel in de toekomst, MS kan ook een thermo-nucliare oorlog tegen Linux beginnen (of hebben die jongens in Cupertino daar al patent op), maar de kans dat dat gebeurt is heel klein.
Microsoft kan ook al haar software Open Source maken, ze kunnen besluiten voortaan fietsen te gaan maken.. denk je dat dat ook gebeurt, omdat er niks is wat ze tegen houdt om die keuzes te maken?
Windows RT is te vergelijken met IOS en Android, niet vergelijkbaar met de Windows 8 x86 versie. Op een iPad kan je ook geen Linux draaien en bij Android devices ook niet zonder omwegen.
Android = Linux en je kunt het wel op een Iphone/ ipad draaien....
er bestaat al jaren proof of concept
maar niemand wil het daar in tegen doen!
Je kunt overal Linux op draaien. Ik denk dat ze zelfs mijn eierkoker zover kunnen krijgen. Als er maar een 'Krups' optie op de cross-compiler zit.
Zolang het een MMU heeft. Dat hebben die ARM-tabletjes wel, maar kleine apparaaatjes met embedded systems vaak niet..
Leer de volgende keer eens waar je het over hebt voordat je uitspraken doet, ben je soms een politicus?

Microsoft et al. hebben met secure boot een fundamenteel probleem in beveiliging van computers opgelost, en Microsoft is nu zo aardig geweest ook Linux daarbij te ondersteunen, omdat Microsoft nu eenmaal in de positie was om dit soort problemen op te lossen.

Ook zonder de hulp van Microsoft was deze handtekening te krijgen, alleen heeft Microsoft wat betere contacten onder hardwarefabrikanten.

Dit was een aardigheidje van Microsoft. Flikker op met je "zwaar irritant", dat is echt een veel te makkelijke klacht.

[Reactie gewijzigd door aukecomps op 10 februari 2013 15:06]

Het helpt heel erg tegen rootkits. Software die zorgt dat andere software verborgen blijft (ik denk dan aan keyloggers bijv. Die konden zich eerst inladen en gelijk het wachtwoord van je log-in meelezen, met secureboot moeten ze eerst een handtekening bemachtigen).
Het is nog steeds niet perfect, maar altijd nog een stap beter dan dat het was.
En Diginotar is een leuk voorbeeld, maar waarom hoor ik dat argument alleen als het over secure boot gaat, terwijl Diginotar vooral ging over certificaten voor domeinen. Ik had dus vooral verwacht dat iedereen dingen als het web, https etc zou verguizen, maar blijkbaar is het niet erg als Microsoft er niet direct bij betrokken is.
Klinkt nogal utopisch en niet bepaald realistisch.
Als je een betere oplossing hebt, zou ik die maar gauw openbaren, want daar kun je heel rijk en beroemd mee worden.

Maar ik denk dat jij, net als de rest van de wereld geen betere oplossing heeft. En dan kun je dus maar beter deze bestaande oplossing nemen dan helemaal niets.
Mocht er zich later een betere oplossing aandoen, dan kan men altijd nog overstappen. Dat is bij PCs niet zo lastig als bij het web.

Ik zal verder de Microsoft-opmerking negeren. Jullie fanboys weten niet beter dan dat er alleen Windows en linux op de wereld is :)
Wie mij kent, weet dat ik me niet bepaald beperk tot die twee, en dat Windows niet bepaald m'n eerste keus is.

[Reactie gewijzigd door Scalibq op 10 februari 2013 17:22]

Met het toenemend aantal virtualisatie van machines, is het nu meer dan ooit van belang dat de host niet zelf besmet is.
Anders zijn al je VM's ook niet veilig meer en is je virusscanner nutteloos.
Met secure boot is de drempel voor infectie enorm verhoogd en ben je (nu nog) vrijwel zeker dat je main os niet besmet is.

Voor nu bestaan zulke virussen alleen nog in laboratorium opstellingen, maar zullen zeker in de toekomst ook "in het wild" worden gevonden.

Het cracken tijdens het bootproces wordt dus ook gezien als virus.
Wacht.

Secure boot is een idee dat vooral gepusht wordt door microsoft
één vna de verplichtingen die microsoft geeft aan de HW fabrikanten is dat Secure Bpot uit te schakelen valt, zodat je ook besturingssystemen die niet compatible zijn met secure boot nog steeds op de computer kunnen worden geïnstalleerd.

En hiermee zit Microsoft linux ontwikkelaars dwars?
Naast het feit dus dat Microsoft deze linux bootloader van een handtekening heeft voorzien.
Dus zelfs als secure boot aan staat, kun je (dankzij MS) nog steeds linux booten.

Dus ja, waar zit Microsoft linux ontwikkelaars dwars?
Volgens mij zitten linux ontwikkelaars vooral zichzelf dwars.
De vraag is dan vooral: waarom zou je 100% van eigen code willen booten?
De huidige linux-oplossingen zijn geen echte secure-boot oplossingen. Het zijn slechts 'shims' die een normale niet-secure-boot bootloader opstarten.
Alles wat je daarna doet, heb je nog steeds in eigen hand (en is dus ook niet secure).
Dat eerste stapje lijkt me nou niet zo heel relevant, dus je argument is nogal onzinnig (net zoals niemand z'n eigen BIOS/UEFI schrijft en dat in z'n PC flasht, toch?).

[Reactie gewijzigd door Scalibq op 10 februari 2013 15:59]

En toch zijn er projecten die een open/vervangende BIOS proberen te ontwikkelen voor vele borden. Omdat het niet gangbaar is, betekend nog niet dat het niet gebeurd.

En je hebt gelijk. Om van een echte SB te spreken zou ook de kernel van je Linux getekend moeten zijn. En dan zie je ineens het hele probleem met dit verhaal. Als je dus een SB wenst te doen kan je geen eigen gecompileerde kernels meer gebruiken (en ja, ik draai op dit moment op mijn eigen, custom kernel) tenzij je dan weer je eigen sleutels zou toevoegen aan je uefi omgeving ...

Had men SB voorzien van een eenvoudige methode om sleutels toe te voegen voor developers dan had ik het systeem nog kunnen apprecieren, maar het toevoegen van sleutels is niet op elk bord mogelijk vandaag. En dan word je ineens afhankelijk van MS voor het tekenen van code.
Ja, ik weet ook wel dat er van die projecten zijn, maar de gemiddelde linux-gebruiker gebruikt toch echt gewoon een stock-BIOS/UEFI, zelfs als hij z'n eigen kernel compileert etc.
Vandaar dat ik zeg: wat is dan het bezwaar tegen het gebruik van een stock pre-bootloader als deze?
Als je echt wil, dan KUN je je eigen BIOS maken, en ook je eigen bootloader, secure of niet, maa dat staat compleet los van linux-gebruikers die hun eigen kernel willen compileren.

Verder is er geen 'probleem' met dit verhaal: dat de gemiddelde linux distro geen secure boot ondersteunt (of signed kernel/drivers in het algemeen), is geen verrassing, en niemand claimt dat deze bootloader hier een oplossing voor is.
Het enige probleem dat deze bootloader tracht op te lossen is het booten naar een niet-secure-boot linux (danwel ander OS) op een systeem waar secure boot ingeschakeld is.

Dat het toevoegen van sleutels niet op elk bord mogelijk is, is een beetje jammer, maar daar kan MS niets aan doen. Dat zij bereid zijn om de bootloaders voor concurrerende OSen te tekenen siert hen.
Bereid zijn?

Wat denk je dat er gebeurd als een softwarefabrikant met 90% aandeel op de desktop SB verplicht stelt en uitschakelbaar maken niet verplicht of verboden maakt?

Veel keus hebben ze niet. Hadden ze dat wel dan had je ieder systeem dat je koopt met Windows ook echt alleen met Windows kunnen gebruiken. Denk je nu echt dat een bedrijf graag de concurrentie helpt?

Edit: Ik gebruik thuis BSD's, niet Linux. Ik geef niet af op MS direct, maar stel dat ze secure boot wel op slot verplichten? Dan hadden ze enorme problemen gehad met wetten links en rechts. Verplichten het aan en uit te zetten is geheel in hun eigen belang, dat is het.

[Reactie gewijzigd door lezzmeister op 12 februari 2013 18:08]

Ik snap die heisa niet. UEFI is een open standaard, en secure boot verhoogt de veiligheid wat betreft rootkits in de bootloader etc.
Normaal gaat de linux-wereld er altijd op prat dat ze zo voor open standaarden en security zijn, maar hier is er ineens een hoop gezeur richting Microsoft (die er niet eens zo heel veel mee te maken heeft, Microsoft verplicht op dit moment dat Windows 8-systemen een uitschakelbare secure boot hebben. Hadden ze niet hoeven doen).

Lijkt me typisch iets voor mensen die nog niet zo heel lang meedraaien. Let wel: een systeem waar je zelf je OS kunt kiezen is de uitzondering, niet de regel.
Er zijn tonnen systemen geweest, met tonnen OSen, die het allemaal niet gehaald hebben (waarvan ik er een behoorlijk aantal gebruikt heb in het verleden). De wereld is niet vergaan, en als linux het uiteindelijk niet redt, is er wel weer wat anders. Het leven is te kort om je druk te maken om dat soort onbelangrijke dingen. Mensen die alles ophangen aan 1 OS hebben het niet begrepen.
Ik denk dat ik op een iets ander niveau tweak.
Zoals bv de blitter van de Amiga gebruiken om subpixel-correct lijnen en polygons te renderen:
http://scalibq.wordpress....t-keeping-it-real-part-5/

Kernels compileren is voor beginners.
Uhhh... blijkbaar snap je er niet veel van :)
Bij de Amiga spreek je direct de hardware aan. Ik poke de waarden voor de lijnen direct in de registers van de blitter. Komt geen kernel of video driver aan te pas.
En hoewel de Amiga-hardware dus nooit ontworpen is om subpixel-correct te renderen, heb ik dingen dusdanig getweakt dat dit wel lukt.

Verder is dit geen subpixel-antialiasing, dat is weer een iets ander ding.

Het is helemaal niet de bedoeling om constant dingen te recompilen en re-signen.
Het idee is dat je alleen de final release signt. En dingen als een bootloader zijn niet zo heel spannend, dus die hoeven echt niet iedere maand geupdate te worden.
Met kernel en module-singing heeft dit verder niets te maken. De bootloader zorgt immers voor de controle op die certificaten, en niet de UEFI. Dus zolang je maar een bootloader gebruikt die jouw certificaten accepteert, kun je signen tot je een ons weegt, zonder dat je daar MS voor nodig hebt.

Ik vind het nogal jammer dat 9 van de 10 reacties hier vooral op een gebrek aan kennis zijn gebaseerd, en rare onderbuikgevoelens richting Microsoft. En dat daarbij mensen dan ook nog eens als Microsoft-fan of non-tweaker afgeschilderd worden...
maar van zodra je zelf je eigen code wenst te booten heb je een probleem.
Ok, maar het punt is dat de overgrote meerderheid van PC gebruikers überhaupt zelf geen code wil (kan) schrijven, laat staan bootcode. Maar ze worden wel slachtoffer van virussen / trojans die een root kit installeren... Dus voor de overgrote meerderheid is dit geen probleem maar juist een oplossing.

Mensen die echt zelf boot code willen schrijven moeten gewoon een moederbordje kiezen met een ander BIOS er op, of één waarbij het BIOS geflashed kan worden of zoiets. Als je echt van plan bent om zelf een OS te schrijven of zoiets waarvoor het zelf controleren van het hele boot proces belangrijk is, dan is dat ook niet zo'n barriere lijkt me.
Ik weet niet of je het door hebt, maar secure boot is dus onderdeel van UEFI, en dat wordt door een onafhankelijke partij beheerd, namelijk het Unified EFI forum. Een open standaard dus.
Dat had ik elders ook al gezegd trouwens.

[Reactie gewijzigd door Scalibq op 11 februari 2013 14:15]

Sommige mensen willen geen Microsoft maar hebben weinig verstand van computers. Ze horen bijvoorbeeld van Ubuntu. Ubuntu is een operating system dat voor veels "noobs" makkelijk in gebruik is. De installatie en het gebruik is straight forward.

Dankzij secure boot dat een opt-out systeem in plaats van opt-in is, het staat VERPLICHT aan namelijk, komt er een nieuwe challenge bij voor deze gebruikers. Ze moeten dan, tenzij er voor keys betaald wordt aan Microsoft, gaan zitten klooien in het BIOS. Dat geeft een behoorlijke klap aan de Linux community en dat is voornamelijk waar het naar mijn mening om gaat voor Microsoft. De beveiliging is namelijk helemaal niet zo baanbrekend als men maar denkt en het geeft problemen bij aangepaste kernels. Met andere woorden: men wordt zwaar gelimiteerd tenzij je secure boot uitzet of constant shit moet gaan zitten updaten voor de sleutels...

Extra veilig? Mwah, dat valt enigszins mee.
Een lastige extra hurdle voor mensen die geen microsoft willen en een OS dat de knaken niet heeft om Microsoft te spekken? Absoluut...

En daar hoef je het niet mee eens te zijn hoor. Ieder z'n ding.
Wel grappig dat als je deze mening hebt dat je meteen een troll genoemd wordt. :')
Veel Microsoft fans, I guess.
Ja, je zegt wel dat het 'maar een mening' is... Maar laten we het reeel bekijken:
De linux-markt is iets van 3-4% van de totale PC-markt, grofweg.
Is het niet nogal ver gezocht dat Microsoft zoveel moeite zou steken in UEFI secure boot puur en alleen vanwege die paar kruimels die linux oppakt?
Ik denk dat hier Occam's Razor prima op kan gaan: Microsoft wil gewoon het probleem van rootkits aanpakken (wat ook prima past in de strategie die MS al jaren toepast: van XP sp2/3 naar Vista naar Win7 zijn steeds duidelijke stappen gemaakt om beveiligingsproblemen aan te pakken).
Dat lijkt me een veel logischer uitleg van secure boot, en dat zal dan ook waarschijnlijker zijn. Zeker aangezien MS blijkbaar de linux-mensen helpt om hun bootloaders te signen.

Als MS zich druk moet maken over concurrenten, dan is dat eerder Apple, en die pak je niet met secure boot.

[Reactie gewijzigd door Scalibq op 10 februari 2013 17:15]

Ubuntu kan zijn kernels e.d. gewoon laten ondertekenen. De kans dat nieuwe gebruikers zelf hun kernels gaan compileren is verwaarloosbaar.
Nee, dat kunnen ze niet! GPL en zo, weet je. Maar, volstrekt irrelevant omdat deze pre bootloader het hele probleem omzeilt.

Trouwens, de verplichting (voor x86) om het uitschakelbaar te maken was geen onderdeel van het initiele ontwerp. Pas na een storm van protest vanuit onder andere de linux gemeenschap is dat ingevoerd. Deze verplichting is een beetje een wassen neus, het geldt immers alleen voor x86 en iedereen ziet allang aankomen dat niet-x86 systemen een zekere groei zullen doormaken de komende jaren.

Het beveiligings aspect is minimaal. Een virus of malware die (zonder secure boot) in staat zijn je boot loader te corrumperen zijn eigenlijk nauwelijks in het wild te vinden. Bovendien, als je systeem al dermate aangestast is dan kun je het ding maar beter uitschakelen en niet meer aanzetten. En.... zoals al eerder vermeld, de zwakste schakel is hier duidelijk de partij die de certificaten uitgeeft....

Buiten dat, but correct me if I'm wrong, heeft deze pre-bootloader dus net even het hele beveiligings mechanisme om zeep geholpen. Waarom zou malware niet deze pre boot loader kunnen installeren en vervolgens Window's bootloader corrumperen?

Nee, dit hele secure boot verhaal heeft feitelijk niets met security te maken. Dus, de reacties boven mij volgend (Occam's Razor) is dan de meest simpele (en dus meest voor de hand liggende) aanname dat MS de concurrentie dwars wil zitten

[Reactie gewijzigd door loetje6 op 10 februari 2013 21:24]

Nee, dat kunnen ze niet! GPL en zo, weet je.
Hoezo zou je je kernel niet kunnen signen, dat heeft verder niks met open source te maken, als je gewoon je source code vrijgeeft (maar niet de sleutel) dan is er voor GPLv2 niks aan de hand.

Je kan ook open source software gebruiken om je HTTPS verkeer te encrypten zonder dat je je certificaat moet vrijgeven - het hele concept van secure connections is daarop gebouwd.
Een virus of malware die (zonder secure boot) in staat zijn je boot loader te corrumperen zijn eigenlijk nauwelijks in het wild te vinden.
De meestgebruikte activatie crack (Windows 7 Loader) doet precies dit.

[Reactie gewijzigd door Dreamvoid op 10 februari 2013 23:05]

Dus...... je kunt de kernel source inderdaad zonder sleutel vrijgeven. Alleen heb je er dan niets aan, na compilatie boot hij niet (immers geen sleutel). Wat natuurlijk in zo'n geval de oplossing is is om de sleutel er los bij te leveren, wat ongetwijfeld zeer binnenkort op TPB of zo gebeurd.

En Windows 7 Loader is precies wat mijn ideeen over secure boot duidelijk maakt. Het gaat niet om beveiliging maar om bedrijfsbelangen.

[Reactie gewijzigd door loetje6 op 11 februari 2013 02:56]

Klopt, behalve het laatste. Windows 8 wil (als security feature) niet booten als UEFI is uitgeschakeld. Daarom is dual-booten van systemen tricky geworden.

Voor onderstaand commentaar, Microsoft heeft redelijk eenzijdig een probleem opgelost dat niet echt van toepassing was in de Unix wereld en heeft vervolgens zeer moeilijk lopen doen over installaties mogelijk maken van andere OS wat uiteindelijk is opgelost met oa. de mogelijkheid tot het uitschakelen van UEFI.

Ja MS heeft een unieke positie, ja het is goed dat ze de Linux Foundation helpen, maar daar staat tegenover dat als ze weer heel veel rechtzaken zouden moeten voeren als ze dat niet zouden doen. (Eenzijdig een feature eisen van suppliers die daarmee andere bedrijven dwars zit is in Europees Recht redelijk duidelijk Abuse of a Dominant Position)
1) Microsoft heeft het opgelost? Er zitten wel wat meer bedrijven in het UEFI-committee dan alleen Microsoft: http://en.wikipedia.org/wiki/Unified_EFI_Forum
"The board of directors includes representatives from eleven "Promoter" companies: AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies."

Oorspronkelijk komt de EFI-standaard bij Intel-HP vandaan: http://en.wikipedia.org/w...nsible_Firmware_Interface


2) Een probleem dat niet echt van toepassing was in de UNIX-wereld? Natuurlijk wel. Rootkits komen ook daar voor. Sterker nog, ze vinden hun oorsprong in de UNIX-wereld. Waar dacht je anders dat 'root' in de term rootkit vandaan kwam?
http://en.wikipedia.org/wiki/Rootkit
"The term rootkit or root kit originally referred to a maliciously modified set of administrative tools for a Unix-like operating system that granted "root" access."

[Reactie gewijzigd door Scalibq op 10 februari 2013 15:55]

In de UNIX-wereld heeft men dit probleem helemaal niet opgelost. Ik weet niet waar je dat vandaan haalt. Even googlen en je hebt voorbeelden genoeg.

Microsoft geeft trouwens helemaal geen certificaten uit. Ik weet ook niet waar je dat vandaan haalt. Alleen certificate authorities geven certificaten uit, en dat is Microsoft niet. Zal Microsoft ook nooit worden waarschijnlijk, omdat het geen onafhankelijke instantie is.
Wat Microsoft hier doet, is met hun certificaat (verkregen via VeriSign of wie dan ook) de linux-bootloader signen (in feite markeren alsof het een Microsoft-product is). Het voordeel hiervan is dat het MS-certificaat door alle Windows 8-machines herkend zal worden, omdat het hetzelfde certificaat is als dat van Win8 zelf.

[Reactie gewijzigd door Scalibq op 11 februari 2013 10:02]

Windows 8 werkt prima zonder secure boot. Een windows 8 certified pc zoals men in de winkel kan kopen komt standaard met secureboot aan, maar dit valt uit te schakelen en dan kan je nog gewoon windows 8 draaien. Enkel op het arm platform houd Microsoft secureboot verplicht, dit om dezelfde redenen als dat apple zijn tablets gesloten houd, behalve dat je met deze nieuwe boot bestanden alsnog linux erop kan draaien geloof ik ;) . Het enige tricky met dual boot was als je windows persé met secureboot en linux ernaast wou hebben.

Er waren inderdaad hardware fabrikanten die het onmogelijk maakte om het uit te schakelen, maar om nou Microsoft de schuld te geven dat die fabrikanten het zo regelden is wel erg door de bocht...

Er mogen dan misschien wel minder rootkits en dergelijke zijn voor Linux, dit systeem maakt het alsnog veiliger :)
Kan iemand mij aub verduidelijken of ik hiermee een linux distro kan draaien op een Windows rt apparaat met tegra 3 processor? Bv surface rt?
Echter, het doel van deze bootbestanden is juist dat je Linux kunt booten zonder secure boot uit te schakelen, dus dat zou geen bezwaar mogen zijn.
Het is mogelijk om secure boot met Linux te doen, dus dat is geen probleem.
Voor diegene die beweren dat er geen problemen zijn:

UEFI Mode On Linux Still Bricking Samsung Laptops
http://www.phoronix.com/s...=news_item&px=MTI5NjI

Three PC Brands Where SecureBoot On Linux Is Botched
http://www.phoronix.com/s...=news_item&px=MTI4OTc

Bewijs heb ik niet , maar ik denk toch dat ms prcies krijgt wat ze willen.
Even nuanceren hoor...
De eerste:
"They also found out that the problem might be possible to be triggered from a user-space application on Windows too."

De tweede:
"Matthew Garrett says some Toshiba PCs won't boot Linux since they managed to leave the signing key out of the database used to validate binaries as well as the signature database signing key used for whitelist/blacklist updates. This fortunately is in violation of Microsoft's Windows 8 certification guidelines so an updated UEFI/BIOS will likely be issued for the affected hardware by Toshiba."

En ook:
"Aside from the Toshiba, Samsung, and Lenovo problems, UEFI/SecureBoot isn't doing too bad on Linux at the moment."

Dus is dit wat Microsoft wil? De artikelen die je aanhaalt spreken je eerder tegen dan dat het bewijs zou zijn.

[Reactie gewijzigd door Scalibq op 10 februari 2013 19:24]

Begrijp ik het nu verkeerd of is SecureBoot hier nu in 1 klap niet meer secure door? Iedereen kan nu toch deze "gesignde" code implementeren?
Het doel van secure boot is het voorkomen dat een applicatie (bijvoorbeeld een virus of trojan) vanuit het draaiende OS de bootcode kan overschrijven zodat het actief kan worden voordat het OS alle beveiling heeft geactiveerd. Voor zover ik het begrijp is het zelfs met deze code niet mogelijk om dat te doen.
Het doel van secure boot is het voorkomen dat een applicatie (bijvoorbeeld een virus of trojan) vanuit het draaiende OS de bootcode kan overschrijven zodat het actief kan worden voordat het OS alle beveiling heeft geactiveerd. Voor zover ik het begrijp is het zelfs met deze code niet mogelijk om dat te doen.
Je zou de boot-code nog wel kunnen overschrijven, maar dan komt de data niet meer overeen met de hash/sleutel combinatie, en weigert het systeem te booten.

Malware die je computer brickt is dus nog wel mogelijk...
Als deze code door de Linux community gebruikt kan worden om ervoor te zorgen dat Linux kan booten op PC's waarop secure boot aanstaat, dan valt toch het hele secure boot in elkaar als een kaartenhuis? Dan kun je hier gewoon je eigen malafide Linux distro mee booten die alsnog je hele PC naar een of andere criminele organisatie doorstuurt of de boel formatteert of weet ik wat voor dingen je kunt verzinnen?

Of is het enige wat hier gebeurd is, dat de Linux Foundation nu ook zelf handtekeningen uit kan delen voor Linux kernels die door de verschillende distro's eerst ter controle aan Linux Foundation gestuurd moeten worden?

Het hele secure boot idee valt of staat met de eis dat álle onderdelen gecontroleerd en ondertekend zijn, of zie ik dit nu verkeerd?

Anyway, ik zie er sowieso al weinig in zodra Microsoft zelf in staat is om de boel te ondertekenen. Dit zou door een onafhankelijke organisatie gedaan moeten worden.

[Reactie gewijzigd door MadEgg op 11 februari 2013 08:18]

Dat klopt. Secure boot is puur en alleen bedoeld om te garanderen dat de code tot-en-met de bootloader betrouwbaar is.
Daarna is het de taak van de bootloader om van daaraf zelf te checken of de kernel, drivers etc betrouwbaar zijn. Microsoft had dit in eerdere versies van Windows al ingebouwd.
Bij linux doen sommige distro's wel aan signing van kernel en drivers, anderen niet.
Zie hier bijvoorbeeld: http://lwn.net/Articles/470906/
Het is niet omdat je nu een linux kan booten die niet getekend is, dat je dat ineens ook met bijv. windows kan. Bedoeling bij Windows is nog altijd dat de bootloader getekend is en dat de bootloader een correct ondertekende windows opstart zodat het hele windows bootprocess op een beveiligde manier blijft gebeuren.
maar nu kan er toch gewoon malware gemaakt worden die deze bestanden gebruikt?
Ja en nee. Vroeger kon de bootloader wel signatures van kernel, drivers etc checken, en zodoende kon je garanderen dat het hele OS betrouwbaar was, mits de bootloader zelf niet gehackt was.
Door secure boot wordt nu de bootloader dus ook gecontroleerd. Dat houdt dus in dat het OS als geheel nog betrouwbaarder is.
En daardoor wordt het dus nog lastiger voor malware om ongemerkt een systeem te infecteren. Vroeger ging dat dus door de bootloader te infecteren, en zo de checks te omzeilen. Nu kan dus gedetecteerd worden dat er met de bootloader is gerommeld.

Je kunt wel op een systeem met secure boot een niet-secure OS booten, en met malware infecteren... maar dat kon sowieso al, want vroeger kon je dat OS sowieso alleen maar booten als secure boot uitstond. Dus, een niet-secure OS wordt er niet meer secure op. Maar dat is geen verrassing.
Alleen kun je nu dus malware schrijven die naar deze gesignde files boot, vervolgens doorboot naar een bootloader die een rootkit laadt, en dan de rest van windows booten en aanpassingen doen on the fly om voor de rest de checks uit te zetten of te misleiden.

Een gesignde file die naar ongecheckte executables doorboot is sowieso een beveiligingsrisico.
Maar dat kan dus alleen als je deze bootloader gebruikt.
Windows gebruikt deze bootloader niet, en ik neem aan dat je op de een of andere manier kunt zien welke bootloader er gebruikt wordt, als het systeem uberhaupt toestaat om de bootloader te overschrijven op een partitie... en een gewijzigde bootloader zonder enige melding of confirmatie te booten).

En ja, ik zei al dat een niet-secure OS er niet meer secure op wordt. Maar dat is meer een probleem van linux distro's an sich, die niet integraal gebruik maken van secure boot en signing. Deze pre-bootloader is natuurlijk maar een lapmiddel en heeft niets met security te maken.
Hieperdepiep, HOERA!
zijn door Microsoft van een handtekening voorzien
Maar dat snap ik dan weer niet. UEFI is bedacht door Intel en ontwikkeld tot standaard door AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft en Phoenix Technologies.

Waarom in den lieve vrede moet Microsoft dan een handtekening zetten op Linux bootbestanden? MS is in feite geen partij in dezen, behalve dan dat MS een zetel heeft in het consortium...

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013