Linux Foundation brengt bootbestanden voor secure boot uit
Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.
De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.
Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.
Reacties (88)
Dit klopt niet. Secure boot is een systeem wat in de bios (UEFI) zit, waar Microsoft support voor heeft ingebouwd in Windows 8.Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert.
Overigens kan Secure Boot op alle x86-apparaten in het UEFI worden uitgeschakeld zodat je ook je eigen kernel kan draaien bijv. (En kan je dan ook nog gewoon naar W8 booten)
[Reactie gewijzigd door Ramon op zondag 10 februari 2013 14:54]
Bij de Amiga spreek je direct de hardware aan. Ik poke de waarden voor de lijnen direct in de registers van de blitter. Komt geen kernel of video driver aan te pas.
En hoewel de Amiga-hardware dus nooit ontworpen is om subpixel-correct te renderen, heb ik dingen dusdanig getweakt dat dit wel lukt.
Verder is dit geen subpixel-antialiasing, dat is weer een iets ander ding.
Het is helemaal niet de bedoeling om constant dingen te recompilen en re-signen.
Het idee is dat je alleen de final release signt. En dingen als een bootloader zijn niet zo heel spannend, dus die hoeven echt niet iedere maand geupdate te worden.
Met kernel en module-singing heeft dit verder niets te maken. De bootloader zorgt immers voor de controle op die certificaten, en niet de UEFI. Dus zolang je maar een bootloader gebruikt die jouw certificaten accepteert, kun je signen tot je een ons weegt, zonder dat je daar MS voor nodig hebt.
Ik vind het nogal jammer dat 9 van de 10 reacties hier vooral op een gebrek aan kennis zijn gebaseerd, en rare onderbuikgevoelens richting Microsoft. En dat daarbij mensen dan ook nog eens als Microsoft-fan of non-tweaker afgeschilderd worden...
Ok, maar het punt is dat de overgrote meerderheid van PC gebruikers überhaupt zelf geen code wil (kan) schrijven, laat staan bootcode. Maar ze worden wel slachtoffer van virussen / trojans die een root kit installeren... Dus voor de overgrote meerderheid is dit geen probleem maar juist een oplossing.maar van zodra je zelf je eigen code wenst te booten heb je een probleem.
Mensen die echt zelf boot code willen schrijven moeten gewoon een moederbordje kiezen met een ander BIOS er op, of één waarbij het BIOS geflashed kan worden of zoiets. Als je echt van plan bent om zelf een OS te schrijven of zoiets waarvoor het zelf controleren van het hele boot proces belangrijk is, dan is dat ook niet zo'n barriere lijkt me.
"The board of directors includes representatives from eleven "Promoter" companies: AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies."
Oorspronkelijk komt de EFI-standaard bij Intel-HP vandaan: http://en.wikipedia.org/w...nsible_Firmware_Interface
2) Een probleem dat niet echt van toepassing was in de UNIX-wereld? Natuurlijk wel. Rootkits komen ook daar voor. Sterker nog, ze vinden hun oorsprong in de UNIX-wereld. Waar dacht je anders dat 'root' in de term rootkit vandaan kwam?
http://en.wikipedia.org/wiki/Rootkit
"The term rootkit or root kit originally referred to a maliciously modified set of administrative tools for a Unix-like operating system that granted "root" access."
[Reactie gewijzigd door Scalibq op zondag 10 februari 2013 15:55]
Microsoft geeft trouwens helemaal geen certificaten uit. Ik weet ook niet waar je dat vandaan haalt. Alleen certificate authorities geven certificaten uit, en dat is Microsoft niet. Zal Microsoft ook nooit worden waarschijnlijk, omdat het geen onafhankelijke instantie is.
Wat Microsoft hier doet, is met hun certificaat (verkregen via VeriSign of wie dan ook) de linux-bootloader signen (in feite markeren alsof het een Microsoft-product is). Het voordeel hiervan is dat het MS-certificaat door alle Windows 8-machines herkend zal worden, omdat het hetzelfde certificaat is als dat van Win8 zelf.
[Reactie gewijzigd door Scalibq op maandag 11 februari 2013 10:02]
Daarna is het de taak van de bootloader om van daaraf zelf te checken of de kernel, drivers etc betrouwbaar zijn. Microsoft had dit in eerdere versies van Windows al ingebouwd.
Bij linux doen sommige distro's wel aan signing van kernel en drivers, anderen niet.
Zie hier bijvoorbeeld: http://lwn.net/Articles/470906/
Door secure boot wordt nu de bootloader dus ook gecontroleerd. Dat houdt dus in dat het OS als geheel nog betrouwbaarder is.
En daardoor wordt het dus nog lastiger voor malware om ongemerkt een systeem te infecteren. Vroeger ging dat dus door de bootloader te infecteren, en zo de checks te omzeilen. Nu kan dus gedetecteerd worden dat er met de bootloader is gerommeld.
Je kunt wel op een systeem met secure boot een niet-secure OS booten, en met malware infecteren... maar dat kon sowieso al, want vroeger kon je dat OS sowieso alleen maar booten als secure boot uitstond. Dus, een niet-secure OS wordt er niet meer secure op. Maar dat is geen verrassing.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
