Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 88, views: 19.890 •

Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.

De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.

Reacties (88)

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert.
Dit klopt niet. Secure boot is een systeem wat in de bios (UEFI) zit, waar Microsoft support voor heeft ingebouwd in Windows 8.

Overigens kan Secure Boot op alle x86-apparaten in het UEFI worden uitgeschakeld zodat je ook je eigen kernel kan draaien bijv. (En kan je dan ook nog gewoon naar W8 booten)

[Reactie gewijzigd door Ramon op 10 februari 2013 14:54]

Uhhh... blijkbaar snap je er niet veel van :)
Bij de Amiga spreek je direct de hardware aan. Ik poke de waarden voor de lijnen direct in de registers van de blitter. Komt geen kernel of video driver aan te pas.
En hoewel de Amiga-hardware dus nooit ontworpen is om subpixel-correct te renderen, heb ik dingen dusdanig getweakt dat dit wel lukt.

Verder is dit geen subpixel-antialiasing, dat is weer een iets ander ding.

Het is helemaal niet de bedoeling om constant dingen te recompilen en re-signen.
Het idee is dat je alleen de final release signt. En dingen als een bootloader zijn niet zo heel spannend, dus die hoeven echt niet iedere maand geupdate te worden.
Met kernel en module-singing heeft dit verder niets te maken. De bootloader zorgt immers voor de controle op die certificaten, en niet de UEFI. Dus zolang je maar een bootloader gebruikt die jouw certificaten accepteert, kun je signen tot je een ons weegt, zonder dat je daar MS voor nodig hebt.

Ik vind het nogal jammer dat 9 van de 10 reacties hier vooral op een gebrek aan kennis zijn gebaseerd, en rare onderbuikgevoelens richting Microsoft. En dat daarbij mensen dan ook nog eens als Microsoft-fan of non-tweaker afgeschilderd worden...
maar van zodra je zelf je eigen code wenst te booten heb je een probleem.
Ok, maar het punt is dat de overgrote meerderheid van PC gebruikers überhaupt zelf geen code wil (kan) schrijven, laat staan bootcode. Maar ze worden wel slachtoffer van virussen / trojans die een root kit installeren... Dus voor de overgrote meerderheid is dit geen probleem maar juist een oplossing.

Mensen die echt zelf boot code willen schrijven moeten gewoon een moederbordje kiezen met een ander BIOS er op, of één waarbij het BIOS geflashed kan worden of zoiets. Als je echt van plan bent om zelf een OS te schrijven of zoiets waarvoor het zelf controleren van het hele boot proces belangrijk is, dan is dat ook niet zo'n barriere lijkt me.
1) Microsoft heeft het opgelost? Er zitten wel wat meer bedrijven in het UEFI-committee dan alleen Microsoft: http://en.wikipedia.org/wiki/Unified_EFI_Forum
"The board of directors includes representatives from eleven "Promoter" companies: AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies."

Oorspronkelijk komt de EFI-standaard bij Intel-HP vandaan: http://en.wikipedia.org/w...nsible_Firmware_Interface


2) Een probleem dat niet echt van toepassing was in de UNIX-wereld? Natuurlijk wel. Rootkits komen ook daar voor. Sterker nog, ze vinden hun oorsprong in de UNIX-wereld. Waar dacht je anders dat 'root' in de term rootkit vandaan kwam?
http://en.wikipedia.org/wiki/Rootkit
"The term rootkit or root kit originally referred to a maliciously modified set of administrative tools for a Unix-like operating system that granted "root" access."

[Reactie gewijzigd door Scalibq op 10 februari 2013 15:55]

In de UNIX-wereld heeft men dit probleem helemaal niet opgelost. Ik weet niet waar je dat vandaan haalt. Even googlen en je hebt voorbeelden genoeg.

Microsoft geeft trouwens helemaal geen certificaten uit. Ik weet ook niet waar je dat vandaan haalt. Alleen certificate authorities geven certificaten uit, en dat is Microsoft niet. Zal Microsoft ook nooit worden waarschijnlijk, omdat het geen onafhankelijke instantie is.
Wat Microsoft hier doet, is met hun certificaat (verkregen via VeriSign of wie dan ook) de linux-bootloader signen (in feite markeren alsof het een Microsoft-product is). Het voordeel hiervan is dat het MS-certificaat door alle Windows 8-machines herkend zal worden, omdat het hetzelfde certificaat is als dat van Win8 zelf.

[Reactie gewijzigd door Scalibq op 11 februari 2013 10:02]

Dat klopt. Secure boot is puur en alleen bedoeld om te garanderen dat de code tot-en-met de bootloader betrouwbaar is.
Daarna is het de taak van de bootloader om van daaraf zelf te checken of de kernel, drivers etc betrouwbaar zijn. Microsoft had dit in eerdere versies van Windows al ingebouwd.
Bij linux doen sommige distro's wel aan signing van kernel en drivers, anderen niet.
Zie hier bijvoorbeeld: http://lwn.net/Articles/470906/
Ja en nee. Vroeger kon de bootloader wel signatures van kernel, drivers etc checken, en zodoende kon je garanderen dat het hele OS betrouwbaar was, mits de bootloader zelf niet gehackt was.
Door secure boot wordt nu de bootloader dus ook gecontroleerd. Dat houdt dus in dat het OS als geheel nog betrouwbaarder is.
En daardoor wordt het dus nog lastiger voor malware om ongemerkt een systeem te infecteren. Vroeger ging dat dus door de bootloader te infecteren, en zo de checks te omzeilen. Nu kan dus gedetecteerd worden dat er met de bootloader is gerommeld.

Je kunt wel op een systeem met secure boot een niet-secure OS booten, en met malware infecteren... maar dat kon sowieso al, want vroeger kon je dat OS sowieso alleen maar booten als secure boot uitstond. Dus, een niet-secure OS wordt er niet meer secure op. Maar dat is geen verrassing.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013