FSF start petitie tegen 'secure boot'-restricties

De Free Software Foundation is een petitie gestart tegen de mogelijke gevolgen van de 'secure boot'-mogelijkheid waar Windows 8 van gebruik gaat maken. De vrees is dat computerfabrikanten onder druk van Microsoft andere OS'en niet laten opstarten.

Secure boot-zorgen Hoewel Microsoft ontkent dat het gebruik van de secure boot-optie in uefi door Windows 8 de gebruiker zal beperken in zijn keuzevrijheid, stelt de Free Software Foundation dat zij ernstig bezorgd zijn over de nieuwe feature. De stichting verklaart dat gebruikers bij secure boot niet zelf kunnen aangeven welke software zij vertrouwen omdat het systeem gebruikmaakt van cryptografische sleutels die uitsluitend door softwarefabrikanten aangemaakt kunnen worden.

Ook bestaat volgens de organisatie de kans dat computerfabrikanten niet de mogelijkheid gaan geven om de secure boot-functie in bios-opvolger uefi uit te schakelen, waardoor een besturingssysteem als Linux niet gestart kan worden en de gebruiker dus alleen Windows kan booten. Linux krijgt waarschijnlijk geen ondersteuning voor de feature, beweerde Red Hat eerder, omdat dit in strijd met de gpl-voorwaarden zou zijn.

De FSF, die dit scenario restricted boot noemt, roept dan ook het publiek op om een petitie te tekenen. Daarin worden computerfabrikanten opgeroepen om in elke uefi-implementatie de mogelijkheid te bieden om het secure boot-mechanisme uit te schakelen of om een alternatieve methode te bieden waarmee niet-Windows-besturingssystemen gestart kunnen worden. Mochten hardwarefabrikanten dit nalaten, dan stelt de FSF dat zij hun volgers zullen adviseren om dergelijke pc's en laptops niet te kopen.

Reacties (188)

188

185

135

Wijzig sortering

The Zep Man

Besturingssystemen
Microsoft Windows
Microsoft

18 oktober 2011 14:47

De naam 'secure boot' is eigenlijk ongelukkig gekozen. 'Trusted boot' zou beter zijn, iets dat al kan met de Trusted Platform Module met normale BIOS en met UEFI implementaties.

De TPM werd na introductie in een slecht daglicht gezet door de techniek die Microsoft erop wilde implementeren genaamd Palladium. Veel tegenstanders hadden toen niet door dat een TPM altijd af fabriek uitgeschakeld is op een PC (tenzij anders in bulk besteld, zoals grote organisaties kunnen doen voor hun eigen computers) en altijd door de gebruiker is uit te schakelen vanuit het BIOS. Je bent niet verplicht om het te gebruiken. Overigens is de standaard volledig open en kan je het bijvoorbeeld ook gebruiken om Linux vertrouwd op te starten of om je eigen cryptografische sleutels te koppelen aan je computer.

Wat het nieuwsartikel presenteert lijkt een voorzetsel te zijn van Microsoft Next-Generation Secure Computing Base (voormalig Palladium). De belangrijkste vragen zijn nu of 'secure boot' verplicht zal worden voor toekomstige versies van Windows (in ieder geval wordt dat het niet voor Windows 8 ) en hoe de hardwarefabrikanten hiermee om zullen gaan.

Volgens mij zal het allemaal wel loslopen. Waar de FSF bang voor is, is dat secure boot op kant-en-klare systemen niet uit te schakelen is, waardoor een overschakeling naar bijvoorbeeld Linux niet meer mogelijk zou zijn. Ik denk niet dat computerfabrikanten deze optie gaan weglaten. Tijdens een herinstallatie van Windows kan bijvoorbeeld niet van secure boot gebruik gemaakt worden. Wel is het goed dat de FSF dit onder de aandacht brengt. Dat houdt iedereen scherp en alert.

Ik had eigenlijk liever gezien dat Microsoft met een de-facto standaard Cryptographic Service Provider zou komen om gebruik te maken van de functionaliteit van de TPM. Nu is dit afhankelijk van implementaties van derden, omdat een standaard CSP ontbreekt. Voorbeelden hiervan zijn Wave, maar ook computerfabrikanten zoals Lenovo met haar eigen Client Security Solution.

Het enige dat Microsoft nu aanbiedt is BitLocker ondersteuning (vertrouwd opstarten en volledige encryptie van de HDD). Voor ander gebruik is een CSP nodig, met als het kan daarbij een PKCS #11 library om op een open manier software van derden er gebruik van te laten maken.

Ik denk overigens dat vertrouwd opstarten belangrijk zal worden in de nabije toekomst. UEFI brengt een gestandaardiseerde manier om het BIOS te bewerken, waarvan malware ook misbruik van kan (en zal) maken. Detectie en preventie hiertegen is welkom om herhaling van de verspreiding van BIOS-gebaseerde virussen (vooral bekend uit de jaren 80 en 90) te voorkomen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:09]

roy-t @The Zep Man • 18 oktober 2011 15:26

Er zitten nogal wat haken en ogen aan TPM en TPM is nooit een succes geworden. Of iig niet in de consumenten wereld. Verder is me na veel lezen nog steeds niet duidelijk of TPM wel dezelfde beveiling bied als secure boot.

Wat haken en ogen zijn oa dat TPM in meerdere landen verboden is en dat TPM niet percee op elk moederbord zit en standaard altijd uit staat. Ook geeft TPM elke computer een uniek nummer wat mogelijk slecht kan zijn voor de privacy. En had TPM als nare bijsmaak voor consumenten dat het gebruikt zou gaan worden voor DRM (wat uiteindelijk wel mee viel).

Zover ik nu van secure boot begrijp is dit echt 1 techniek die maar op 1 ding gericht is, namelijk zorgen dat je niet boot als een virus low-level in je computer komt, dit is eigenlijk voor iedereen nuttig.

The Zep Man

Besturingssystemen
Microsoft Windows
Microsoft

@roy-t • 18 oktober 2011 15:34

Wat haken en ogen zijn oa dat TPM in meerdere landen verboden is en dat TPM niet percee op elk moederbord zit en standaard altijd uit staat.

Er valt over te discussiëren of dit onder 'haken en ogen' valt. Als het in verschillende landen verboden is, is dat een sterke indicatie dat de regeringen van die landen deze vorm van beveiliging vrezen omdat zij er geen controle over hebben. Dat het optioneel is en uit staat kan ook als voordeel gezien worden, omdat de eindgebruiker zo altijd de keuze blijft houden.

Ook geeft TPM elke computer een uniek nummer wat mogelijk slecht kan zijn voor de privacy.

Het is niet exact 'een nummer', maar er is inderdaad een vorm van unieke identificatie. Zoals eerder gezegd is dat optioneel. Bovendien wordt dit deels tenietgedaan door de implementatie van Direct Anonymous Attestation in de standaard.

En had TPM als nare bijsmaak voor consumenten dat het gebruikt zou gaan worden voor DRM (wat uiteindelijk wel mee viel).

De macht blijft bij de consument: die kan ook besluiten om geen media te kopen die voorzien is van DRM. En de TPM is geen ultieme beveiliging: net als met CCS (DVD), AACS (Blu-Ray en andere HD dragers) wordt elke vorm van DRM gekraakt, omdat de markt ervoor te groot is om het niet te kraken en omdat het principe achter DRM fout is vanuit een beveiligingsperspectief.

Zover ik nu van secure boot begrijp is dit echt 1 techniek die maar op 1 ding gericht is, namelijk zorgen dat je niet boot als een virus low-level in je computer komt, dit is eigenlijk voor iedereen nuttig.

En dit kan al jarenlang met de TPM door vertrouwd op te starten. Als een virus een deel van de 'boot ketting' wijzigt, zal dit gedetecteerd worden en de computer niet meer opstarten (omdat de correcte sleutel. Dit komt omdat de benodigde sleutel niet meer geconstrueerd kan worden omdat een daarvoor benodigde hash gewijzigd is. Enig verschil is dat de TPM hiernaast veel meer kan.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:09]

roy-t @The Zep Man • 18 oktober 2011 16:49

Bedankt voor deze echte informatie. Ik wist niet van DAA (het wiki artikel is helaas een beetje vaag en heeft het alleen over andere naieve implementaties). Verder ben ik het niet eens met je argument dat de macht bij de consument blijft. Als de consument de optie krijgt om secure boot uit te zetten heeft deze ook macht. Ook ben ik het niet eens met je verhaal dat DRM ondersteuning van TPM niet erg is omdat het toch gekraakt wordt.

Zelf zou ik toch liever iets hebben dat alleen de bootchain checked (net als TPM en mogelijk als secure boot) zonder de extra 'functies'. Maar ik ga er wel zeker even meer onderzoeken.

Verwijderd @roy-t • 18 oktober 2011 17:33

De "Endorsement Key" is uniek per TPM maar verlaat de TPM nooit. Zoals Zepman aangeeft is DAA een TPM functie die bewijst dat je een bepaald certificaat (en bijbehorende geheime sleutel) bezit zonder dat je je identiteit prijs geeft. Vergelijk de methode met de SSHA1 hash zoals die (o.a.) gebruikt wordt om wachtwoorden te versleutelen. Niks aan het handje dus.

Natuurlijk zijn veel leveranciers bezig om het boot proces veiliger te maken. Kijk maar eens naar Bitlocker of McAfee/Intel AMT. Alles gebaseerd op symmetrische en assymetrische encryptie. Ergens moet "iets" op read-only gezet worden om misbruik te voorkomen. En zie "DRM" komt om de hoek kijken. Hoe dan ook, DRM komt er aan, al is het sluipend...

androgeus @The Zep Man • 18 oktober 2011 15:38

De naam is niet ongelukkig gekozen. Het is even slim bedacht als DRM. De naam is helemaal niet bedoeld om de werkelijke functionaliteit weer te geven, maar om de functionaliteit te verkopen.

Wat zou je makkelijker kunnen verkopen aan de gemiddelde klant: "Secure Boot" (klinkt erg veilig) of "Runs only Windows Boot" ?

SunnieNL

Microsoft Windows

@androgeus • 18 oktober 2011 19:10

Mss omdat dat laatste niet klopt? het is niet iets wat Microsoft heeft bedacht. En zal me niet verbazen als Apple ook bezig is het te implementeren (om de Apple hardware volledig dicht te timmeren)

Neverwinterx 18 oktober 2011 14:56

Als er nog zijn die zich afvragen waarom het ondersteunen tegen de gpl zou zijn:

That said, the problem would be relatively easy to solve if it wasn’t for certain peculiarities in the way Linux software is typically licensed. Linux vendors could certify a key to be used with UEFI secure boot and include this key in Linux boot loaders so they can pass this security checkpoint. The important thing here is that this key needs to stay secret, and the only way to make sure it stays secret while distributing it as part of Linux boot loaders is for it to be in binary form (no source code).

This is where we get to the core of the issue. Most commonly used Linux boot loaders, GRUB and GRUB2 are licensed under GPL, a license which denies embedding proprietary code in it, and requiring a secret key to function. GRUB2 is licensed under GPLv3 which makes this explicitly denied, whereas it is a gray area in GPLv2. As gray as it may be, however, exploiting it would run against the spirit of the license which is what fueled the strictness in GPLv3 to begin with.

http://www.tech-faq.com/l...-secure-boot-support.html

Enigszins ironisch dat open source hier voor minder veiligheid zorgt. Ik snap wel niet dat om het even wat gesloten moet zijn. Als ze nu alleen de key ergens closed packagen, dan kun je toch moeilijk spreken over "source code" die gesloten is. Lijkt me dat de GPL wat te restrictief is als die zelfs verplicht om je keys vrij te geven.

[Reactie gewijzigd door Neverwinterx op 23 juli 2024 18:09]

Countess @Neverwinterx • 18 oktober 2011 15:12

het klopt wel wat er staat, maar daar is het verhaal is nog niet mee af.

door een binary mee te geven zou een linux distributie idd kunnen starten, maar als je dan je eigen kernel gaat compileren of een andere bootloader wil ect. dan klopt die binary niet meer en start je systeem als nog niet meer.
zeker eigen kernels compileren komt heel veel voor bij linux.

"Enigszins ironisch dat open source hier voor minder veiligheid zorgt."
tja. als je security af hangt van de verborgen maar op je eigen systeem opgeslagen key kan je vraagtekens zetten bij de daadwerkelijke veiligheid.

[Reactie gewijzigd door Countess op 23 juli 2024 18:09]

mashell @Countess • 18 oktober 2011 15:23

zeker eigen kernels compileren komt heel veel voor bij linux.

Voor ontwikkelaars is het normaal, voor eind gebruikers en servers is dat uiterst ongewenst.

MadEgg

Besturingssystemen

@mashell • 18 oktober 2011 16:17

Waarom uiterst ongewenst? Eigen kernel compilen betekent niet per se de broncode aanpassen... Ik draai een zelf gecompileerde kernel op mijn server om de performance te optimaliseren; de kernel zal echter wel alleen op deze hardware draaien. Verder geen probleem toch?

BeosBeing @mashell • 19 oktober 2011 14:51

Ook voor eindgebruikers die het uiterse uit hun systeem willen halen is het absoluut gewenst. Door zelf te compileren kun je ook optimaliseren, op een 32-bits systeem) bv Atom, Core Duo hoef je geen 64bits-compatibiliteit te implementeren. Ook kun je drivers voor hardware die niet in je systeem zit weglaten. Hierdoor krijg je kleinere en vooral snellere binaries en kan je systeem langer meegaan.

ronaldmathies @Neverwinterx • 18 oktober 2011 15:03

Ironisch maar niet minder waar... het licentie systeem van bijvoorbeeld de GPLv3 is opzich mooi maar hier staat het de ontwikkeling in de weg.

Omdat je een mooie techniek wilt toevoegen die waarde heeft voor de beveiliging van je systeem mag het niet omdat de licentie het verbied. Ik vindt eerder dat de FSF dat maar actie moet onderneming om de licentie zo aan te passen dat dit geen probleem meer is.

Wie weet wat je nogmeer tegenhoud door zo'n licentie..

hostname @ronaldmathies • 18 oktober 2011 15:08

De licentie verbied alleen maar om het gebruik van een bepaalde key forceren. Op het moment dat je het mogelijk maakt een key te gebruiken die de gebruiker zelf in bezit heeft is dat geen probleem voor de licentie. Het probleem daarmee is echter dat je die key dan onmogelijk in de firmware van het moederbord kan bakken.

Wat deze licentie op deze manier tegen houdt - het intrekken van controle over je eigen systeem - vind ik juist een goed punt.

Tijger @hostname • 18 oktober 2011 15:27

Eh, ik zou het eerder als het tegenovergestelde zien, secure boot geeft jou als gebruiker controle en zekerheid, dat Linux niet in staat is om keys af te geven is eerder een manco van Linux dan wel de Linux licentie.

hostname @Tijger • 18 oktober 2011 15:31

Het geeft je de zekerheid dat Microsoft's code onvoorwaardelijk vertrouwd wordt ja. Of dat een zekerheid is die ik wil hebben? nee.

Ik wil geen keys van een 3rd party die vertrouwd worden hebben. Ik wil alleen mijn eigen keys als vertrouwd aanmerken.

MadEgg

Besturingssystemen

@hostname • 18 oktober 2011 16:13

Eens.

Wat mij betreft vraagt het OS in kwestie, als die zichzelf wil installeren, aan de UEFI op de een of andere manier om de eigen key als vertrouwd aan te merken, zodat deze in het vervolg netjes gestart kan worden. Dit zou dan voor zowel Windows als Linux moeten gelden. Hierbij zou eventueel een of andere code uit het de te laden kernel gedestilleerd kunnen worden, een MD5-sum bijvoorbeeld, waarmee gecontroleerd kan worden of het de verwachtte versie betreft, mocht de gebruiker erg inzitten over beveiliging. Zodra de gebruiker zegt: sta dit operating system toe te booten zou de key opgeslagen moeten worden en in het vervolg, zo lang de kernel niet verandert, vertrouwd moeten blijven.

Zodra er een nieuwe versie geinstalleerd wordt zou opnieuw deze toestemming aan de gebruiker gevraagd moeten worden.

Maar ja, Microsoft ziet dit soort systemen waarschijnlijk niet zitten omdat ze willen dat fabrikanten/gebruikers een onverdeeld vertrouwen in MS moeten hebben en dus willen dat elke nieuwe versie van Windows automatisch vertrouwd moet worden; kortom; dat iemand anders zijn vertrouwen uitspreekt. Dit staat mij persoonlijk niet aan, laat me dat maar lekker zelf doen.

[Reactie gewijzigd door MadEgg op 23 juli 2024 18:09]

Tijger @hostname • 18 oktober 2011 19:14

Nogal onzinnig verhaal, dan zou je ook geen PGP of zelfs maar een bankkaart vertrouwen.

MadEgg

Besturingssystemen

@Tijger • 18 oktober 2011 19:41

Ik zie niet helemaal wat bankkaarten hiermee te maken hebben. Het gaat hier om het draaien van software die IK wil op hardware die IK gekocht/betaald heb; niet over pinautomaten of internetbankieren.

Bij PGP kies ik er toch ook voor wie ik wel of niet vertrouw? Een cryptografie methode heeft hier ook weer weinig mee te maken.

Een betere vergelijking is met het certificaatsysteem van websites e.d., en ook daar ben ik geen fan van. Afhankelijk van hoeveel geld je neerlegt kun je een soort van schijnveiligheid kopen waardoor je gebruikers je vertrouwen terwijl de basis waarop dat vertrouwen gebaseerd is redelijk wankel is.

BeosBeing @Tijger • 19 oktober 2011 14:45

...dat Linux niet in staat is om keys af te geven is eerder een manco van Linux dan wel de Linux licentie.

De licentie is zo restrictief om ervoor te zorgen dat de code vrij blijft. Dit heet copyleft.
De BSD-licenties zijn ook vrije open source licenties, maar het staat iedereen vrij om die code aan te passen en in zijn eigen gesloten en onvrije product te gebruiken, zoals Microsoft gedaan heeft met de BSD TCP/IP-stack.

Verbeterde versies worden daardoor gesloten en onvrij en dat is ongunstig voor de gebruiker. Daarom is is dat in de GPL v3.0 onmogelijk gemaakt. Verbeterde code moet ook onder GPL v3.0 vrijgegeven worden. GPL v3.0 is sterker copyleft als GPL v2.0 en de meeste andere vrije en open source software licenties.

Verwijderd @ronaldmathies • 18 oktober 2011 15:51

Sterker nog, GPLv3 is expliciet ontworpen om deze "innovatie" onmogelijk te maken.

Het restrictief koppelen van hardware aan software wordt ook wel http://en.wikipedia.org/wiki/Tivoization genoemd, en dat is hetgene wat de gpl3, imo terecht, wil vermijden.

Deze koppeling beperkt de gebruiker immers sterk in welke software hij kan installeren.

GPL2 is in de geest ook tegen dergelijke restricties, maar kon niet verkomen dat apparaten zoals de TiVo op de markt kwamen.

Let wel : Linus zelf ziet geen probleem met de gpl-omzeiling door TiVo. Dus als hij consequent is, ziet hij ook geen problemen met secure boot van windows 8+

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

Tijger @Verwijderd • 18 oktober 2011 19:15

Linus heeft dan ook niets van doen met de FSF.

roy-t @Neverwinterx • 18 oktober 2011 15:31

Ja helemaal mee eens. Ik gebruik bijna dagelijks Linux tegenwoordig (even de trollen voor zijn

). Maar met GPLv3 hebben ze een grote fout gemaakt. In plaats van dichter bij de echte wereld komen hebben ze met die licentie zo hard mogelijk geprobeerd om zich af te sluiten van alles wat niet exact aan hun idee van software voldoet. Beveiliging is 1 van die aspecten. Je moet bij beveiliging geen security through obscurity aanhouden maar een key zal toch echt geheim moeten blijven.

Ample Energy 18 oktober 2011 14:40

Ik ben blij dat ze dit doen. Stel de worst case scenario wordt waarheid: je mag alleen Windows op je pc draaien. Dat zou voor mij een reden zijn om Windows 8 lekker links te laten liggen.

De server van die petitie is voor mij totaal onbereikbaar. Populaire link?

Edit: www.fsf.org/campaigns/tal-patents/petition

[Reactie gewijzigd door Ample Energy op 23 juli 2024 18:09]

roy-t @Ample Energy • 18 oktober 2011 15:13

Wat een onzin die petitie. De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit. De lui achter Red-Hat hebben dit zelf geconcludeerd: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet Verder is het ook niet MS die secure boot zodadelijk gaat implementeren. MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.

Tot nu toe is secure boot niet meer dan een optie (zie link boven) die de binaries die gebruikt worden bij opstarten controleert om zo low-level attacks tegen te houden. Dit kan ondersteund worden door veel meer OS makers dan MS. Het enige probleem bij Linux is dat er niet 1 duidelijk orgaan is die een certificaat aan kan vragen om wat binaries te signen, hoewel voor grote distributies als Ubuntu dit geen probleem zal zijn. Ook zal het lastig zijn voor mensen die zelf hun kernel compilen (hoeveel zijn dat er). Maar voor dit soort 'probleem' gevallen zal er mogelijk slechts maar een melding verschijnen met 'could not boot securely' (zie tekst attempt secure boot') en verder kan de optie gewoon uit.

Wat de FSF nu doet is precies waar ze MS al jaren van betichten: paniek zaaien en de ander zwart maken. Juist terwijl MS steeds opener is gaan staan ten opzichte van Open-Source software. Misschien voelen ze zich obsolete en bedreigt omdat ze niet meer 1 grote vijand hebben.

Ja ik maak hier een paar assumpties maar die zijn een stuk minder wild dan die van de FSF die denkt dat MS zomaar even alle OS bouwers behalve zichzelf de wereld uit gaat helpen, I mean wtf!

Verwijderd @roy-t • 18 oktober 2011 16:02

Wat een onzin die petitie. De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit.

Microsoft stuurde ook geen locatie gegevens.

nieuws: 'Windows Phone verstuurt toch ongewild locatiedata'

Of Microsoft integer is of niet, het is het beste om direct actie te ondernemen om te voorkomen dat secureboot wel misbruikt gaat worden. Achteraf zijn gedane zaken heel moeilijk terug te draaien.

Ik sta helemaal achter deze actie.

Tijger @Verwijderd • 18 oktober 2011 17:41

Een petitie van de FSF met als dreiging dat ze hun aanhang zullen adviseren geen Microsoft Windows te installeren noem jij directe actie? *proest*

Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.

Verwijderd @Tijger • 18 oktober 2011 19:13

Een petitie van de FSF met als dreiging dat ze hun aanhang zullen adviseren geen Microsoft Windows te installeren noem jij directe actie? *proest*

Als je post had gelezen dan had je geweten dat ze niet oproepen tot het niet installeren van Windows.

De FSF, die dit scenario restricted boot noemt, roept dan ook het publiek op om een petitie te tekenen. Daarin worden computerfabrikanten opgeroepen om in elke uefi-implementatie de mogelijkheid te bieden om het secure boot-mechanisme uit te schakelen of om een alternatieve methode te bieden waarmee niet-Windows-besturingssystemen gestart kunnen worden. Mochten hardwarefabrikanten dit nalaten, dan stelt de FSF dat zij hun volgers zullen adviseren om dergelijke pc's en laptops niet te kopen.

Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.

Het zullen niet alleen Linux gebruikers zijn die deze petitie ondertekenen.
Er zullen ook Windows gebruikers zijn die vinden dat zij de baas van hun eigen hardware zijn deze petitie ondertekenen. Secureboot kan mogelijk je keuzevrijheid beperken.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

tuXzero @Tijger • 18 oktober 2011 20:37

Moet de eerste FSF aanhanger die Windows vrijwillig draait nog tegenkomen.

Hier is ie dan. Hallo!

(alleen om te gamen dan)

[Reactie gewijzigd door tuXzero op 23 juli 2024 18:09]

Relief2009 @Verwijderd • 18 oktober 2011 16:10

Welke al gefixt is in de Mango update.

Kortom, zaak gesloten.

Roland684 @Relief2009 • 18 oktober 2011 16:34

Maar het vertrouwen is daarmee niet terug.

cornedor @Relief2009 • 18 oktober 2011 18:59

Zeggen ze...

lezzmeister @Relief2009 • 18 oktober 2011 20:43

Oef, vol met fanboys van links en rechts, draadjes als deze.

QQ2 @roy-t • 18 oktober 2011 15:29

Opzich ben ik met je eens dat Microsoft hier niet noodzakelijk de grote boe-man hoeft te zijn. Maar waar ik me druk om maak is dat OEM's als DELL zo iets gaan hebben van geen andere bootmogelijkheden = goedkoper in ondersteuning + mogelijkheid tot verkoop van duurdere gespecialiseerde systemen waar het wel op kan.

Die argumenten mogen misschien onzinnig zijn maar dat heeft bedrijven nog nooit eerder weerhouden van het nemen van besluiten. Vooral als er toch nagenoeg geen pijn tegenover staat. Liever nu herrie maken en ze dwingen toe te zeggen dat 'open' (niet niet secure booten, want dan winnen ze de beeldvorming en doen ze het later als nog) altijd kan als je wil.

roy-t @QQ2 • 18 oktober 2011 16:41

geen andere bootmogelijkheden = goedkoper in ondersteuning

Volgens mij is er geen enkele OEM die je kunt bellen als je Linux (probeert) te installeren. Ze zeggen dan allemaal dat ze alleen support voor Windows ondersteunen dus dat argument klopt niet.

Tijger @roy-t • 18 oktober 2011 17:35

Daarom is het dus goedkoper, ze hoeven geen mensen in dienst te nemen die meer beheersen dan hun gamma in combinatie met Windows.

QQ2 @roy-t • 19 oktober 2011 14:55

Vriend van me werkt voor een call center van een grote OEM. Het gebeurt regelmatig dat ze worden gebeld door mensen die (perongeluk) Linux hebben geinstalleerd. Hoewel het niet officieel wordt ondersteund moet je daar toch tijd aan spenderen.

*met perongeluk bedoel ik zaken als zoon die livedisk in cd laat zitten en ouders die dan in Linux desktop terecht komen. Elke keer als een PC blad een livedisk mee levert regent het dat soort klachten. Ik ben overigens van mening dat dit moet kunnen en OEM's ten alle tijden de mogelijkheid moeten bieden dit via de BIO eenvoudig mogelijk te maken maar ik begrijp de verleiding

Verwijderd @QQ2 • 18 oktober 2011 16:46

Er is helemaal niets mis mee wanneer OEM's dat zouden doen. Immers, het gros koopt hun systeem bij een dergelijke OEM, omdat ze ondersteuning krijgen. Dergelijke klanten zijn er veel meer bij gebaat dat secure-boot allerlei low-level attacks tegen houdt, dan dat zij geen multi-boot kunnen doen... want dat deden ze toch niet!

cornedor @Verwijderd • 18 oktober 2011 18:57

Maar wat als ik op mijn laptopje GNU/Linux wil draaien. Dan gaat dat dus niet op. Want je kunt niet ff een laptopje in elkaar zetten.

Pietervs @roy-t • 18 oktober 2011 15:50

Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot
Zo heeft Microsoft destijds ook ontkend dat SP3 voor Windows NT4.0 netwerken via Novell nagenoeg onmogelijk maakte. Pas na veel gedonder kwam er een week later een patch uit.
Zo heeft Microsoft ook ontkend dat ze Netscape geprobeerd hebben te weren van de desktop. Tot ze jaren later veroordeeld werden tot het betalen van een boete...

Sorry, maar dat soort verklaringen van Microsoft hecht ik geen enkele waarde aan. Microsoft is een commercieel bedrijf, en net als ieder goed werkende commerciële organisatie zullen ze hun concurrentie het leven zuur maken waar ze maar kunnen.

roy-t @Pietervs • 18 oktober 2011 16:43

Is het niet tekenend dat al je voorbeelden van meer dan 10 jaar terug zijn?

stresstak @roy-t • 18 oktober 2011 17:12

Is het niet tekenend dat al je voorbeelden van meer dan 10 jaar terug zijn?

en is het niet aan te bevelen dat we dat zo willen houden.?

Tijger @stresstak • 18 oktober 2011 17:40

Daar hebben we dan ook wetgeving voor. Die hadden we toen blijkbaar ook al en ook toen werkte die wetgeving. Your point?

dj.verhulst @Tijger • 18 oktober 2011 18:10

Dat het eerst (gruwelijk) fout moet gaan en een bepaald gewicht in de schaal gelegd moet worden en men dan pas ''bereid" is om het een en ander aan te passen.....

Waarom deze nog al verwerpelijke manier van doen ???

Een vos verliest wel zijn haren maar niet zijn streken..........

Verwijderd @Tijger • 18 oktober 2011 19:47

Daar hebben we dan ook wetgeving voor. Die hadden we toen blijkbaar ook al en ook toen werkte die wetgeving. Your point?

Lees jij geen nieuws ofzo? MS heeft ondanks jouw mooie wetgeving er gewoon schijt aan gehad, en heeft het nog steeds als je de geschiedenis van jouw mooie MS erbij haalt.....

M.a.w...your point?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

Madrox @Tijger • 19 oktober 2011 08:47

Wat zijn die bedrijven ermee opgeschoten, dat ze jaren later "hun gelijk" hebben gehaald ?
Ach ja, niets! Niets meer dan ellende, failliete bedrijven etc.

LollieStick @roy-t • 18 oktober 2011 17:06

wtf?

Zoals je weet gebruikt MS een certificeringsprogramma voor "capable/compatible pc's". In dit certificeringsprogramma wil men secure boot verplicht stellen.

Dat wil uiteraard niet zeggen dat ze andere OSen buiten sluiten, maar hiermee zou het wel kunnen omdat praktisch alle pc's Windows-certified zijn.....

tuXzero @roy-t • 18 oktober 2011 20:32

Het is juist geen onzin. Petities zijn nooit onzin zolang er mensen zijn die ze tekenen. En dat heb ik zojuist gedaan.

MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.

Denk je dat echt?

Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot...

Moet mij dat gerust stellen? Ongewenst gedrag wordt meestal niet toegegeven. Net als de intentie van veel bedrijven. Of geloof jij dat hun hoogste doel de klant bedienen is, als ze dat beweren?

Kom op, kapitalisme werkt omdat mensen alleen voor zichzelf werken. Het systeem gebruikt dat om de maatschappij in zijn geheel daarvan te laten profiteren. Maar maak je a.u.b. niet wijs dat bedrijven het voor jou doen. Uitzonderingen daargelaten.

Microsoft heeft een reputatie, kun je het mensen kwalijk nemen dat ze een veelpleger niet vertrouwen?

BeosBeing @roy-t • 19 oktober 2011 13:59

De FSF is compleet doorgeslagen. Microsoft heeft nog geen enkele keer gezegd dat ze andere OS-en willen uitsluiten met secure boot en secure boot als techniek sluit ook absoluut geen andere OS-en uit.

Als ze dat willen zullen ze dat zeker niet zeggen en ze zullen het aan de OEM's en de bios UEFI-makers overlaten om het kunnen uitzetten van die optie al dan niet te blokkeren. En als Microsoft dat doet met heel stille hints aan de makers, dan doet Microsoft het niet zelf, en kunnen ze die ook niet aanklagen. Bewijzen ervoor dat Microsoft dat oplegt zijn er dan immers niet. Met de illegale kortingen is dat al moeilijk maar met dit is het helemaal niet aan te tonen.

De lui achter Red-Hat hebben dit zelf geconcludeerd: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet

Nee, bij Red Hat hebben ze het zich ook afgevraagd en een Microsoft medewerker heeft vervolgens ontkent dat dit het geval zou zijn. Dat is echter een standpunt dat
- niet officiëel is (al is het natuurlijk voor Microsoft ook niet interessant als Windows niet meer geïnstalleerd kan worden op systemen zonder secire boot, in ieder geval in een overgangsperiode. Vanaf Win8sp1 of Win9, als inmiddels voldoende fabrikanten overgegaan zijn op UEFI met secure-boot-optie kunnen ze dat altijd veranderen)
- Microsoft kan altijd, publiekelijk of onaangekondigd dat standpunt veranderen.

Verder is het ook niet MS die secure boot zodadelijk gaat implementeren. MS schrijft namelijk geen BIOS software en MS heeft ook weinig macht over de bedrijven die dat wel doen.

Nee, maar ze kunnen wel blokkeren dat Windows opstart als deze optie niet aanwezig is in het BiosUEFI of als deze aanwezig is maar uit is gezet.
Dat doen ze nu nog niet omdat de meeste consumenten-merken nog een bios hebben, geen UEFI en dus secureboot niet ondersteunen.

Tot nu toe is secure boot niet meer dan een optie (zie link boven) die de binaries die gebruikt worden bij opstarten controleert om zo low-level attacks tegen te houden. Dit kan ondersteund worden door veel meer OS makers dan MS.

Klopt, Apple kan dat ook, en Oracle Solaris (is immers geen FLOSS).

Bij linux distributies, ook de grote zoals Ubuntu, Red Hat en Suse zal het in strijd zijn met de GPL-licenties.

Het enige probleem bij Linux is dat er niet 1 duidelijk orgaan is die een certificaat aan kan vragen om wat binaries te signen, hoewel voor grote distributies als Ubuntu dit geen probleem zal zijn. Ook zal het lastig zijn voor mensen die zelf hun kernel compilen (hoeveel zijn dat er). Maar voor dit soort 'probleem' gevallen zal er mogelijk slechts maar een melding verschijnen met 'could not boot securely' (zie tekst attempt secure boot') en verder kan de optie gewoon uit.

Financiëel is het voor grote distributies misschien geen probleem, echter licentietechnisch dus wel. Je moet bij GPL-gelicentieerde software dan ook de signature meeleveren zodat de gebruiker zijn eigen binaries kan signeren. Daarmee is het stukje veiligheid gelijk weg want dan kunnen malware-makers dat ook met die signature.

Wat de FSF nu doet is precies waar ze MS al jaren van betichten: paniek zaaien en de ander zwart maken. Juist terwijl MS steeds opener is gaan staan ten opzichte van Open-Source software. Misschien voelen ze zich obsolete en bedreigt omdat ze niet meer 1 grote vijand hebben.

Één grote vijand hebben ze al heel lang niet, Apple wordt ook steeds geslotener en Oracle is zeker geen vriend.

Waat de FSF voor waarschuwd is iets dat zou kunnen gebeuren, als je de tekst leest blijkt dat ook. Ze beschuldigen nog niemand, ze waarschuwen er alleen voor.

Ja ik maak hier een paar assumpties maar die zijn een stuk minder wild dan die van de FSF die denkt dat MS zomaar even alle OS bouwers behalve zichzelf de wereld uit gaat helpen, I mean wtf!

Kijk daarmee geef je jezelf prijs: I mean wtf je maalt er niet om, zou het alleen maar fijn vinden als het inderdaad gebeurd. Dan ben je in één klap af van iedereen een FLOSS-OS gebruikt en dus komen die hier niet meer zeuren, er valt dan immers toch niets meer aan te veranderen.

[Reactie gewijzigd door BeosBeing op 23 juli 2024 18:09]

Wolfos @roy-t • 18 oktober 2011 16:19

Nee, dat hebben ze ook niet gezegd, alleen is het wel toevallig een mooie fucking bijzaak voor Microsoft!

roy-t @Wolfos • 18 oktober 2011 16:42

Recht uit het artikel: nieuws: Microsoft: 'secure boot' blokkeert andere besturingssystemen niet ze zeggen zelfs expliciet dat het niet zo is.

Wolfos @roy-t • 18 oktober 2011 16:49

Nee, het maakt het niet onmogelijk, alleen moet er in het EFI wat verandert worden. De gemiddelde gebruiker zou dat niet lukken.

freaky @roy-t • 18 oktober 2011 16:42

OMG wat een fan-boy argument.

Waar staat dat de petitie tegen MS is? Het is tegen secureboot in de huidige vorm...

detheavn @freaky • 18 oktober 2011 16:50

Ja, waar waarschijnlijk lang niet zo'n ophef over zou zijn als MS hier met Win 8 geen gebruik van zou willen maken.

freaky @detheavn • 18 oktober 2011 17:09

Ja inderdaad want dan staat het waarschijnlijk niet standaard aan. Dat is dan ook de grootste veroorzaker van de angst want OEMs kijken meestal niet verder dan wat ze zelf leveren en die zullen dus ook weinig zien in een optie in de BIOS (UEFI) om secureboot uit te schakelen.

Zoals hier boven al vermeld is dat geen fout van MS (wellicht wel aangewakkerd door MS), maar het ligt bij de OEM, niet bij MS.

Xubby @Ample Energy • 18 oktober 2011 15:10

Zelf vermoed ik dat dit een opstapje is naar een beveiligde "keten" van luispreker en beeldscherm tot het af te spelen bestand:
- secure boot via certificaat
- secure OS via certificaat
- hdcp kabels met encryptie voor beeld en geluid
- secure / van certificaat / rechten voorzien af te spelen bestand
- mis ik nog wat?

Als dat zo is, kan er wellicht hiermee voor gezorgd worden dat beschermd materiaal alleen daar kan worden weergegeven, waar de maker van het afgespeelde bestand toestemming voor heeft gegeven.
Dan wordt het verkopen van dat soort bestanden eindelijk zinvol, als dit lukt.

donny007 @Xubby • 18 oktober 2011 16:14

Alles moet uiteindelijk door een analog hole, de plek waar het superbeveiligde digitale prutje omgezet wordt in een voor ons begrijpbaar formaat. Bij een beeldscherm is dat alles achter de HDCP-chip (de kabel naar het panel bijv.). Alles is op die manier alsnog op te nemen, te kopiëren en te descramblen.....

[Reactie gewijzigd door donny007 op 23 juli 2024 18:09]

Verwijderd @donny007 • 18 oktober 2011 16:46

Ja, je kunt dan nog wel een analoge opname maken van je beeldscherm. Maar... in een film kunnen weer onuitwisbare watermerken worden verwerkt die een mechanisme in de camera of video-player triggeren. Gebeurt nu al in kopieermachines met bankbiljetten, heb ik me wel eens laten vertellen.

Niet dat ik erop zit te wachten, overigens, laat dat ff duidelijk zijn.
En ik wil ook niemand tips geven, maar bovenstaande ideeen zijn niet nieuw ofzo.

donny007 @Verwijderd • 18 oktober 2011 20:29

Voordat zulke systemen werken moeten wel ALLE fabrikanten van opnamehardware detectiefuncties implementeren, er hoeft maar één camera/kopieermachinefabrikant te zijn die dat niet doet, en het hele systeem is lek.

Wie ziet er nou op een camera te wachten die bepaald wat er wel of niet gefilmd mag worden?

[Reactie gewijzigd door donny007 op 23 juli 2024 18:09]

Gunirus @Verwijderd • 18 oktober 2011 18:14

Gebeurt nu al in kopieermachines met bankbiljetten, heb ik me wel eens laten vertellen.

Alstu:

http://en.wikipedia.org/wiki/EURion_constellation

encryped @Gunirus • 18 oktober 2011 18:29

Ik ken het wel maar is soms verselijk irritant.
Want toen ik voor een actie een 25 euro biljet wou fotoshoppen.
En dus een 20 euro biljet wou aanpassen. Kon dit niet

Zunflappie @encryped • 18 oktober 2011 20:12

Ha, dan neem je een foto of pak je een andere driver voor je scanner.

Verwijderd @Ample Energy • 18 oktober 2011 14:44

Veel te populair, ik kom er hier ook niet op. Dan maar even in de to-do lijst zetten....

SunnieNL

Microsoft Windows

@Ample Energy • 18 oktober 2011 18:58

Het zou geen reden moeten zijn om Windows links te laten liggen. Het zou de reden moeten zijn om die betreffende OEM die Secure Boot zo beveiligd dat je het niet uit kan zetten, links te laten liggen.

Microsoft verplicht nergens dat je het niet uit kan zetten in het bios. Alleen dat het aan staat voor het booten van Win8 op OEM's.

Egocentrix 18 oktober 2011 14:44

Ik zie op zich het probleem niet zo. Als Microsoft zegt dat het geen probleem gaat zijn, waarom zou je daar dan aan twijfelen. Begrijp me niet verkeerd, ik gebruik ook liever linux dan windows, maar ik geloof niet dat microsoft hierover zal liegen. Als ze dat toch blijken te doen, voorspel ik een boel schreeuwende linuxgebruikers op de stoep in redmond.

hostname @Egocentrix • 18 oktober 2011 14:56

Omdat het wel het domste is wat Microsoft kan doen om toe te geven dat ze het onmogelijk willen maken om Linux te booten.

Microsoft bekijkt het puur vanuit de technische hoek en daar klopt hun uitleg. Het is helemaal niet hun probleem dat moederbordfabrikanten waarschijnlijk alleen maar de Microsoft-keys gaan integreren. Zij dwingen alleen maar af dat secure boot aanstaat, en met welke keys maakt Microsoft niet uit. Het resultaat is echter dat de Linux-key er niet bij komt, simpelweg omdat die er niet is.

Het punt van open source is namelijk dat je het zelf aan moet kunnen passen, en met secure boot moet je je code dan signen wil je het uitvoeren. Dat is technisch geen probleem, maar met welke key moet je dat doen? Dan zijn er 2 opties: of je geeft de private key van Linux vrij (maar dan gaat natuurlijk niemand die in het moederbord-firmware zetten omdat je zo de weg vrijmaakt voor malware) of je laat de gebruiker zelf zijn keys invoeren (maar dat is waarschijnlijk te ingewikkeld voor 99% van de gebruikers en wordt dus ook niet geimplementeerd).

Tijger @hostname • 18 oktober 2011 15:21

Kortom, dezelfde 1% die Linux gebruikt op de desktop zal ook wel in staat zijn om zijn eigen key in te voeren. Geen probleem dus.

MadEgg

Besturingssystemen

@Tijger • 18 oktober 2011 16:32

En dat werkt dus de groei van Linux tegen... Langzaamaan zie ik in mijn omgeving steeds meer mensen die eens een keer Ubuntu proberen en daar best enthousiast over zijn. Lang niet allemaal tweakers. Op het moment dat dergelijke aanpassingen in UEFI nodig zijn zullen veel daarvan ook weer afhaken.

Tijger @MadEgg • 18 oktober 2011 17:45

Dus dan benader je Canonical en verzoek je ze om hun key in het UEFI te laten zetten.

MadEgg

Besturingssystemen

@Tijger • 18 oktober 2011 19:35

En dat zou dus helemaal niet nodig moeten zijn. De gebruiker moet bepalen wat wel of niet draait op zijn PC, niet de hardwareboeren, Microsoft of wat voor ander bedrijf dan ook...

Dan zie ik eerder nog iets in een blacklist systeem dan dit whitelist systeem.

Tijger @MadEgg • 19 oktober 2011 11:41

De meeste OEM's zetten booten vanaf optische drives ook uit, dat is net zo beperkend als een Secure boot setting aan of uit zetten.

MadEgg

Besturingssystemen

@Tijger • 19 oktober 2011 12:40

Met het verschil dat dat alle OS'en tegenwerkt. Ook om Windows te installeren zal je moeten booten van een installatiemedium waarbij je dus tegen dezelfde problemen oploopt.

Bovendien kun je over het algemeen door op F12 oid te drukken tijdens het booten aangeven van iets anders dan de harde schijf te willen starten.

Komt er ook een optie die bij het booten aangeeft: 'hee, dit OS ken ik niet; weet je zeker dat je dit wilt opstarten'? En die het antwoord op die vraag vervolgens ook onthoudt? Want in dat geval is er niet zoveel aan de hand natuurlijk.

hostname @Tijger • 18 oktober 2011 15:22

Dan moeten de OEMs die mogelijkheid wel maken, en waarom zouden zij die mogelijkheid maken als toch bijna niemand het gebruikt?

Verwijderd @hostname • 18 oktober 2011 15:31

Dan moeten de OEMs die mogelijkheid wel maken, en waarom zouden zij die mogelijkheid maken als toch bijna niemand het gebruikt?

Omdat het een hele kleine moeite is om een BIOS optie in te bouwen. Voor zover ik het heb kunnen volgen hebben veel BIOS makers al gezegd dit te zullen doen. Allemaal nog voorbarig dus.

SirBlade @Verwijderd • 18 oktober 2011 19:04

Als OEM wil je alleen de absoluut noodzakelijke opties in de bios hebben. Iedere extra optie kan potentieel problemen veroorzaken als een gebruiker er mee gaat spelen. En meer problemen betekent meer calls voor de helpdesk.

Bovendien zijn de mensen die deze optie willen vaak ook de mensen die de standaard windows licentie willen retouneren, wat alleen maar lastig voor OEM's is. Dus als die mensen geen klant meer willen worden. perfect.

BeosBeing @Verwijderd • 19 oktober 2011 14:33

Die optie komt er niet omdat sommige gebruikers, met name Amerikaanse, zonder dat ze weten wat ze aan het doen zijn deze zullen aanpassen en vervolgens de helpdesk gaan bellen omdat hun PC het niet doet en ze ondersteuning eisen.

Dat kost de OEM dus geld.

cyberstalker @Egocentrix • 18 oktober 2011 14:50

Ik denk dat je de issues niet helemaal begrijpt. Microsoft stelt dat het fabrikanten niet verboden is om een mogelijkheid in te bouwen om restricted boot uit te zetten.

Ze stellen echter ook niet de eis dat die optie er in moet zitten. Fabrikanten zijn dus vrij om te kiezen. Het is goedkoper om de feature niet te maken, dus is de angst dat veel fabrikanten dit links zullen laten liggen.

.oisyn Moderator Devschuur® @cyberstalker • 18 oktober 2011 16:30

Ik denk dat je de issues niet helemaal begrijpt

Wat niet zo vreemd is als je de inleiding leest:

De vrees is dat computerfabrikanten onder druk van Microsoft andere OS'en niet laten opstarten.

Dat OEMs eventueel geen optie inbouwen lijkt me een gegronde angst. Wat dan wel weer pure FUD is is dat er weer gezegd moet worden dat het onder druk van MS uit gebeurt. Een dergelijke stelling is op niets gebaseerd en hadden ze beter achterwege kunnen laten. Het is voor deze petitie ook helemaal niet relevant of MS eventueel druk uit zou oefenen of niet. Want ook zonder die druk kun je de optie niet hebben om het uit te zetten.

[Reactie gewijzigd door .oisyn op 23 juli 2024 18:09]

zeduude @Egocentrix • 18 oktober 2011 14:53

maar het probleem is als ze het inderdaad doen, is het al te laat..
en erger nog krijgen we "uefi" hackers met waarschijnlijk tchernobyl-achtige virii om te bevestigen dat een secure boot zo ontzettend nodig is.....

ik heb liever een switch op me mobo die de eeprom in read only zet.
als t dan toch beveiligd moet zijn, ipv " new super 'secure-boot' sponsored by MS, small prints "only runs windows... even though we promised""
als Microsoft dit wel doorvoerd, zullen ze ontzettend veel meer verkopen... als iig de EU t door de vingers ziet. Ze hebben er dus wel heeeeeeel veeeeeeel baat bij om een *n*x lockout door te zetten...

LOTG @zeduude • 18 oktober 2011 15:18

new super 'secure-boot' sponsored by MS, small prints "only runs windows... even though we promised""

Een beetje aanstellerig is het wel, kijk eens naar de lijst bedrijven in het uefi forum, ik zie daar ook Apple staan die al jaar en dag EFI aan bied, en die heeft momenteel het meest restrictieve bootproces. Ik zou mij eerder zorgen maken dat je geen linux meer op een Apple kunt draaien. Plus je staat helemaal vrij geen OEM PC te kopen.

Ik zie niet in waarom er geen "Uit" optie zal komen behalve luie OEMs.

Aphax @Egocentrix • 18 oktober 2011 15:07

Als Microsoft zegt dat het geen probleem gaat zijn, waarom zou je daar dan aan twijfelen.

Goede vraag, ik denk echter dat MS dit met alle beste bedoelingen kan laten doorvoeren, maar het door 'luie' OEMs alsnog mis kan gaan.

ACPI is hier een best aardig voorbeeld van, het was bedoeld als een OS-neutrale interface voor power management en het initializeren van apparaten, maar er zitten zoveel Windows-isms in de implementaties van veel OEMs in dat Linux genoodzaakt wordt zich voor te doen als Windows en zich ook zo te gedragen.

OEMs hebben gewoon geen interesse om dit soort dingen werkend te maken voor het kleine percentage dat niet Windows draait. Server en 'enhousiast' hardware zal het vast wel toe staan (om die secure mode uit te zetten), maar ik denk dat het best wel eens zo kan gaan lopen dat kant en klare PCs waar Windows 8 standaard op zit het je erg moeilijk gaan maken om er eventjes Ubuntu op te zetten ofzo.

Prut 18 oktober 2011 14:50

Microsoft legt de keuze bij de OEM aanbieders, maar zolang die secure boot een vereiste is om een windows 8 compatible logo te mogen voeren, zullen de meesten daar niet zo lang over nadenken lijkt me.
Zelfs wanneer je het eenvoudig uit kunt schakelen, zou het nog problemen kunnen geven met dual boot. Linux zou dan alleen met de optie uit opgestart kunnen worden terwijl het voor windows 8 juist weer aan moet staan. Ik denk dat dat voor veel mensen de lol van een dual boot toch wel zal doen verminderen.

Maniakje @Prut • 18 oktober 2011 15:11

Linux zou dan alleen met de optie uit opgestart kunnen worden terwijl het voor windows 8 juist weer aan moet staan.

Dat laatste klopt niet. Microsoft heeft reeds gezegd dat Windows 8 ook prima zonder secure boot kan starten. Wat ze echter wel eisen, is dat de secure boot optie bestaat (en standaard aan staat) om mee te doen met het "Windows 8 certified" programma.

Prut @Maniakje • 18 oktober 2011 15:28

Aha, dan gaat het minder ver dan ik dacht.

Cambion Daystar @Prut • 18 oktober 2011 15:17

Het moet niet aan staan om Win8 te kunnen booten!
MS wilt dat het standaard ingeschakeld staat.

roy-t @Prut • 18 oktober 2011 15:27

Windows 8 zal ook booten met secure boot uit, maar dan mis je alleen een stukje beveiliging. Ook computers zonder het W8 compatible logo en oudere computers zullen gewoon W8 draaien, anders schiet MS zich echt wel in de voet.

MMaster23 18 oktober 2011 14:46

Beetje een kant van het verhaal. Microsoft biedt de mogelijkheid aan OEMs die zelf weer mogen kiezen of ze het gebruiken en of het uit te schakelen is.

Niet een OEM zal zo dom zijn om zijn secure boot te forceren.

Verwijderd @MMaster23 • 18 oktober 2011 14:54

Niet een OEM zal zo dom zijn om zijn secure boot te forceren.

Een OEM die Windows PC's verkoopt heeft meer belang om de gebruikers van hun product te beschermen dan om hun PC te laten ombouwen naar een linux PC.
Als de beveiligde boot bijvoorbeeld het aantal support verzoeken zal doen afnemen is het voor een OEM niet dom maar eerder slim om de secure boot te forceren.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

Buggle @Verwijderd • 18 oktober 2011 17:55

Dan nog zou het niet onlogisch zijn om ergens verstopt (bijvoorbeeld d.m.v. een jumper ergens, een undocumented shortcut of een BIOS update tool ofzo) toch de mogelijkheid in te voegen om dit te overriden. Want je wilt toch zoveel mogelijk potentiele klanten aanspreken. Daar vallen ook mensen onder die iets anders dan Windows willen draaien. Je kunt dan een uitdrukkelijke optie toevoegen dat de (software)support vervalt bij gebruik van die optie, bijvoorbeeld.

SunnieNL

Microsoft Windows

@Verwijderd • 18 oktober 2011 19:05

Pardon, ze hebben er alle belang bij dat je een ander OS erop zet.
De OEM geeft alleen support op het meegeleverde OS. Zet jij er een ander OS op dan zijn ze gelijk van hun support af.

Daarnaast wil een OEM zoveel mogelijk verkopen. Op het moment dat je secure boot niet uit kunt zetten in hun bios, zal de hele linux community die OEM links laten liggen en dat zien ze dan wel weer in hun verkopen. Daarnaast gaat er vervolgens mond-op-mond van tweakers naar niet tweakers, dat je dat merk beter niet kan kopen, waardoor ze nog minder verkopen....

hostname @MMaster23 • 18 oktober 2011 14:58

Microsoft vereist voor PCs om aan het 'Windows 8 certified' programma o.i.d. mee te mogen doen dat ze secure boot aan hebben staan. Aangezien dat certificaat goed verkoopt zullen veel OEMs het dus wel aanzetten.

Countess @hostname • 18 oktober 2011 15:06

klopt, maar dat certificaat eist niet dat het niet uit te zetten is.
van de andere kant dwingt het OEMs ook niet om uit zetten mogelijk te maken.

Verwijderd @Countess • 18 oktober 2011 16:14

van de andere kant dwingt het OEMs ook niet om uit zetten mogelijk te maken

Dat zou ook een onredelijke eis zijn die de keuze vrijheid van OEMs zou aantasten.

Verwijderd 18 oktober 2011 14:52

Wat een onzin zeg. Dit systeem is alleen bedoeld om te zorgen dat niet zomaar iedereen een virus kan laten draaien. Je kunt het uitzetten in de bios en Linux kan prima draaien door gewoon geen gebruik te maken van secure boot.

Daarnaast zie ik het punt niet als een fabrikant een bepaald OS aan de hardware locked. Dit is bij telefoons, tablets, spelconsoles, wasmachines, auto's etc... toch ook het geval?

Je zou kunnen zeggen dat de PC juist een uitzondering is hierop. Ik denk dat hooguit 1% hier de moeite voor neemt. Als je bij die 1% hoort dan kun je altijd nog een bios uitkiezen die wel toelaat om secure boot uit te zetten. Verder valt er niets tegen in te brengen dat de fabrikant bepaalt welk OS er draait, het is immers zijn eigen product. Er zullen altijd genoeg alternatieven zijn die dit wel toelaten.

Ik denk dan ook dat deze petitie weinig effect zal hebben. In het beste geval zal het biosmakers overhalen om deze functie configureerbaar te laten al twijfel ik of ze al van plan waren deze feature vast te zetten.

Aphax @Verwijderd • 18 oktober 2011 16:13

Wat een onzin zeg. Dit systeem is alleen bedoeld om te zorgen dat niet zomaar iedereen een virus kan laten draaien. Je kunt het uitzetten in de bios en Linux kan prima draaien door gewoon geen gebruik te maken van secure boot.

Ik vind het geen onzin. Een distro als Ubuntu is relatief populair geworden onder leken omdat het aan de praat krijgen er van in veel gevallen een kwestie is van 'CDtje erin, en installen maar'. Hoe ga je 'normale' mensen (niet tweakers

) uitleggen dat ze misschien in een van de vele verschillende soorten BIOS/UEFI menu's een (niet altijd hetzelfde genaamde) optie moeten gaan vinden en uit te zetten? Om het nog maar niet te hebben over hoe je de BIOS/UEFI instellingen zelf tevoorschijn tevert (DEL? F2?).

Ik snap wel waarom de FSF zich hier zorgen over maakt. Dat minder dan 1% * van alle PC gebruikers hier last van gaat ondervinden lijkt me geen reden voor de FSF om het maar lekker te laten zitten. Vooral aangezien een van de doelen van FSF is om free software te promoten (m.a.w: die 1% groter maken).

* Ik heb geen idee wat het werkelijk percentage niet-Windows PC gebruikers is, dus ik zuig hier maar even wat uit m'n duim

MadEgg

Besturingssystemen

@Verwijderd • 18 oktober 2011 15:11

Is niet waar natuurlijk. Voor complete systemen is er nog wat voor je argument te zeggen: bijvoorbeeld Dell levert een complete PC en levert daar support op. Daarmee zouden ze wellicht nog enige motivatie hebben om er een OS aan te koppelen, mede omdat dat bij de prijs in zit.

Koop je echter een moederbord, krijg je er echt geen OS bij; dat zul je zelf nog moeten kopen. Door nu een OS (Window) een bepaalde 'afwijking' te laten vereisen, blokkeer je de mogelijkheid om daar een ander OS (bv GNU/Linux) op te draaien. Als ik een nieuw moederbord koop wil ik echt niet rekening moeten houden met of het BIOS/UEFI wel compatible is met Linux. Anders is er echt sprake van koppelverkoop wat gewoon verboden is.

Helemaal als het zo is zoals Prut hierboven zegt; dat je bij een dualboot situatie iedere keer de instelling zou moeten aanpassen om te schakelen tussen Linux en Windows. Dan is het dus gewoon een vuile steek onder water om mensen te demotiveren Linux te gebruiken, omdat het dan, volledig buiten de schuld van de Linux community om, al gecompliceerd wordt om het OS op te starten.

SunnieNL

Microsoft Windows

@MadEgg • 18 oktober 2011 19:13

En in de 2de alinea ga je direct op het punt in waarom dit hele verhaal geen punt is. De versie die in de winkels komen te liggen is geen OEM versie en zal secure boot dan ook niet vereisen.
Dus als jij losse onderdelen en een los cdtje van Windows koopt, is er niets meer aan de hand.

MadEgg

Besturingssystemen

@SunnieNL • 18 oktober 2011 19:35

Ik heb anders genoeg moederborden gezien die het Works with Windows 7 logo of iets in die trant hebben... En om die sticker te mogen dragen moet er dus standaard Secure Boot aanstaan.

Tijger @MadEgg • 19 oktober 2011 11:44

Nee dus. Het certificatie programma voor OEM's is totaal anders dan die voor componenten, maar goed, jouw kristallen bol is uiteraard veel beter dan de werkelijkheid, voorlopig heb ik nog geen enkel feit gezien hier, alleen maar FUD.

nutty 18 oktober 2011 15:28

Ik heb nog niet iemand hier over zien schrijven in dit topic maar het lijkt we wel belangrijk als zijnde eerste stap om een verdere boycot succesvol te doen zijn,namelijk::
Hoe zit het met de overeenkomst wanneer je een windowslicentie koopt (oem of retail),weet iemand dat de eula expliciet geldt voor wanneer ALLEEN Windows er op mag staan?,en is een ander OS niet toegestaan?
Weet iemand hier iets FEITELIJKS van?
Wanneer dat in de eula van Win8 staat lijkt me het allemaal heel duidelijk.
OF win8 en geen ander OS ,en niet zaniken,en anders heeft MS wel een probleem.
Mensen lijken meer en meer te gaan klagen waneer iets niet mag,maar (en ik ben zeker geen MSboy) lees EERST maar eens de voorwaarden waarmee je akkoord gaat (of niet) wanneer je een OS installeert!

zwippie @nutty • 18 oktober 2011 15:41

Ik vind je bericht nogal warrig opgesteld, maar je bedoelt dus te zeggen:

Als er in de EULA van Windows 8 staat dat je geen ander OS naast Windows 8 mag installeren op je computer, dan moet je niet zeuren.

Nou, volgens mij mag/kan dat dus niet. Ik koop de hardware immers niet bij Microsoft, dus ik neem de hardware ook niet van MS in licentie.

strikey 18 oktober 2011 14:44

Dit artikel is niet geheel eerlijk over de werkelijke daad van microsoft.
Zei willen dit als eis toevoegen bij OEM systemen.
Dit raakt dus eigenlijk geen enkele tweaker, aangezien iedereen zijn eigen OS het liefst instaleerd.

Paniek om niks dus.....

hostname @strikey • 18 oktober 2011 14:57

Er zijn zat mensen die op een OEM systeem hun OS opnieuw willen installeren. Bijvoorbeeld om van al die troep af te komen die <fabrikant> standaard meelevert.

Of mensen die niet zelf hun PC bouwen maar wel Linux willen gebruiken, bijvoorbeeld op een laptop.

[Reactie gewijzigd door hostname op 23 juli 2024 18:09]

Cambion Daystar @hostname • 18 oktober 2011 15:15

Dan moet je als je secure boot niet kunt uitschakelen wel niet gaan klagen bij Microsoft, maar bij de OEM die te lui is om een fatsoenlijke implementatie hiervan te voorzien

roy-t @strikey • 18 oktober 2011 15:15

Is het een OEM eis of alleen een eis voor het stikkertje 'designed for Windows 8'?

Verwijderd @strikey • 18 oktober 2011 15:39

En zelfs al zou ik een OEM systeem aanschaffen, dan heb ik nog steeds het recht om een ander OS te installeren. Het is zelfs mogelijk om geld terug te krijgen van Microsoft wanneer je de Windows installatie niet wilt.

Daarnaast is een laptop altijd een OEM systeem, dus dat zou betekenen dat zelfs tweakers geen laptops meer kunnen gebruiken vanwege een stom iets als een 'secure boot restriction'...

Siyara 18 oktober 2011 14:40

Goede zaak om hier tegen te protesteren. Altijd vervelend om maar aan één OS gebonden te zijn, en ondanks dat de meeste tweakers zelf bouwen, zou dit wel een doodsteek voor Linux kunnen zijn.

Aham brahmasmi @Siyara • 18 oktober 2011 14:44

Goede zaak om hier tegen te protesteren. Altijd vervelend om maar aan één OS gebonden te zijn, en ondanks dat de meeste tweakers zelf bouwen, zou dit wel een doodsteek voor Linux kunnen zijn.

Doodsteek voor Linux op OEM desktops en laptops misschien, maar voor servers (waar Linux het grootst is) nooit lijkt mij.

Dreeke fixed @Aham brahmasmi • 18 oktober 2011 15:07

Misschien dat dit beleid nog wel eens zou kunnen backfiren. Als iemand nu een pc heeft en er kan alleen windows op dan wordt deze gedownload en nooit geupdate.
Zelf plemp ik altijd Linux naast windows of Linux standalone, en als dat niet kan, dan maar "illegaal" en zonder updates.

@Tijger: Voor mij geen probleem, ik heb alleen een firewall nodig

, maar voor sommigen is een pc met alle updates nog niet veilig genoeg!

[Reactie gewijzigd door Dreeke fixed op 23 juli 2024 18:09]

TDeK @Dreeke fixed • 18 oktober 2011 15:23

Wat ik me afvraag: in hoeverre heeft dit gevolgen voor mensen die een illegale Windows draaien? Zeg dat je nu een PC koopt met Windows 7, kun je er dan later geen illegale Windows 8 meer op zetten? Ik ben voor deze petitie (ben zelf Linux user), maar ik denk dat 'het grote publiek' meer geïnteresseerd is in bovenstaande vraag.

freaky @TDeK • 18 oktober 2011 16:37

Dat zal er aan liggen of het omzeilen van de activatie een aanpassing in de bootbestanden (die ondertekend zijn en de ondertekening klopt dan niet meer) nodig heeft.

Als die wel gewijzigd moeten worden zul je iig ook niet op kunnen starten met secure boot.

Zit persoonlijk niet op secure boot te wachten, tenzij ik mijn eigen certificaten toe kan voegen. Het is dan ook MIJN computer, niet die van de leverancier.

stresstak @freaky • 18 oktober 2011 17:09

Het is dan ook MIJN computer, niet die van de leverancier.

Dat dachten we bij cd-spelers en dvd-apparaten ook, totdat drm en rootkits en andere restricties uitgevonden werden.

BeosBeing @TDeK • 18 oktober 2011 17:06

Nee, als iemand zijn Windows-installatie verziekt heeft en er is een herinstall nodig, koopt daarom een nieuwe en hij verkoopt de oude dan kan de koper er straks niets mee.

SunnieNL

Microsoft Windows

@TDeK • 18 oktober 2011 18:57

Ja, je kunt altijd een versie van Windows in de winkel kopen. Secure Boot is alleen verplicht voor OEM versies van Windows.
Dus als je je spullen gewoon legaal koopt in de winkel is er niets aan de hand

Jachra @TDeK • 18 oktober 2011 20:05

@Rick2910

Met SecureBoot actief zijn er weinig mogelijkheden om illegaal Windows 8 te kunnen draaien. Men vindt een productkey die werkt en kan gebruiken of men stapt over op een KMS-achtige oplossing. Uiteraard heb je dan waarschijnlijk geen Windows 8 Ultimate illegaal tot je beschikking.

Bauknecht @Jachra • 19 oktober 2011 10:07

Heeft er niets mee te maken. Die handtekening is uniek over alle PC's en kopijen van een bepaalde Windows versie heen en staat los van de product key, die uniek is per exemplaar. Die handtekening wordt bepaald op basis van de codebase. Dat is ook één van de problemen die Linux ondervindt: die codebase is niet constant, mensen kunnen hun eigen versies builden waar ze een handtekening voor moeten kunnen genereren. Natuurlijk, als je aan de interne code hebt liggen prullen met cracks om je WGA te disablen, kan je secure boot moeilijk doen natuurlijk.

De enige reden van die handtekening is zoals hierboven gezegd is: een soort 'kwaliteitscertificaat' waarmee kan nagekeken worden of hetgeen opgestart wordt, effectief hetgeen is wat het zegt dat het is om te vermijden dat er vuiligheid ingeladen wordt samen met Windows.

Los daarvan: dat de FSF eens stopt met blèten.
- Ten eerste, er is nog niks gebeurd, er is niks toegezet of wat dan ook.
-Ten tweede, nonkel Pol die een OEM PC koopt in de Fnac gaat meestal geen Ubuntu installeren. Ja vrijheid van keuze bla bla bla, dat zeggen die mannen al 20 jaar, werkelijkheid is dat 99% van de gebruikers geen Linux wil op zijn desktop en die overige 1% wel omwegen vindt om het er toch op te installeren. En dat brengt ons bij:
- Ten derde, als nonkel Pol dan toch per sé Ubuntu wil en zijn nerdneefje belt, kan dat nerdneefje als een grote meneer gewoon de stock BIOS - excuseer: stock UEFI - flashen van de moederbordfabrikant en de OEM BIOS flashen die wss alle features - en dus ook het uitschakelen van secure boot - enablet.

Roland684 @TDeK • 18 oktober 2011 16:32

Stel je koopt een PC met windows 7, kun je er dan later nog een legale Windows 8 op zetten?

Tijger @Dreeke fixed • 18 oktober 2011 15:16

Nou, lijkt mij toch dat jij daar meer last van gaat hebben als Microsoft.

BeosBeing @Dreeke fixed • 19 oktober 2011 09:39

Er is slechts één oplossing, een PC eisen met Linux of FreeDOS er op (FreeBSD of andere vrij OSsen zijn helemaal niet beschikbaar) en als je toch Windows er op wilt, al dan niet dual-boot, die los kopen en dan meteen de Business of Ultimate versie.

Ik doe trouwens niet aan dual-boot, bij mij is het altijd triple of quadruple.
Vroeger had ik W98 met daarnaast Debian, BeOS en RedHat 9, daarna XP met Ubuntu en BeOS, en de laatste desktop draaide W2K, Edubuntu, BeOS en WattOS.

Het volgende systeem zal een Ubuntu-derivaat met LXDE, Debian met LXDE of XFCE, Arch of Gentoo draaien of van deze een lightweight derivaat, en daarnaast mogelijk FreeBSD, Debian/kFreeBSD of een OpenSolaris-Fork.

varkenspester @Dreeke fixed • 18 oktober 2011 17:04

In welke zin is dit backfire voor windows?
Zij hebben liever een illegale windows gebruiker dan een linux gebruiker (allebei nul inkomsten maar bij illegale windows gebruikers stijgt wel hun marktaandeel en mogelijke verkoop van windows software zoals office) dus voor hen is het zowiezo een stap vooruit

[Reactie gewijzigd door varkenspester op 23 juli 2024 18:09]

Verwijderd @Tijger • 18 oktober 2011 20:09

Altijd weer lachen dit soort opmerkingen, die horen we nu al een decennium bij de komst van iedere nieuwe Windows versie zonder dat het aandeel van Linux op de desktop ook maar iets toeneemt.

het punt is duidelijk en zit wat in. gebruikers van een illegale windows geven inderdaad een kans dat er een product voor windows later gekocht word (dat hoeft niet eens van microsoft perse te zijn, ook niet microsoft spullen die gekocht worden heeft een effect omdat het voor windows gemaakt is en dus de meest gangbare os voor gebruikers is). dit betekend niet dat de computer industrie niet zou toenemen en dus ook voor linux.
als er geen nieuwe gebruikers meer bij komen zou dat inderdaad een merkbare effect hebben voor linux.

daarnaast denk ik dat het een backfire kan zijn omdat er ook bewuste gebruikers zijn die van te voren al weten om zo een computer niet te kopen met deze limitatie (denk aan doorverkopen of de mogelijkheid om later iets anders to installeren). tot hoeverre dat echt een impact heeft weet ik niet, omdat microsoft een monopolie heeft en je dus niet veel keus heb. de normale/leek zal toch wel zo een computer kopen (ik weet niet of dat veel is vergeleken met de mensen die wat verstand ervan hebben)

ik las eerder over dat de restrictie uitgeschakeld kan worden en later lees ik dat die functie er misschien uitgehaald word in nieuwe bios-sezes (biossen?). daar kan je ook weer aan twijfelen of dat geen verlies aan klanten veroorzaakt (en of het een impact heeft door de monopolie).

en nog een niets bevestigende persoonlijke situatie (omdat ik op google niets meer van terug kan vinden) :
ik heb ooit snel een Acer laptop moeten herinstalleren. ik pakte windows 7 ultimate (voorheen stond er windows 7 home edition op). de installatie ging goed maar toen voor de eerste keer werd opgestart werkte het gewoon niet (ik weet niet meer welke melding het was maar de melding werd al gegeven voordat het windows startup scherm weergegeven werd). toen ik in de bios keek stond er duidelijk iets over windows "windows home en premium geloof ik). toen ik erna windows premium installeerde was er niets aan de hand.... wat ik hiermee wil zeggen is, bestaat die limiet niet al langer? het is best een tijd geleden al. en nee het was geen sata probleem of iets.

_{dit is mijn mening. natuurlijk kan het niet correct zijn, ik doe een poging en leer nog steeds.}

Verwijderd @Tijger • 18 oktober 2011 19:10

altijd weer lache die enorm slimme opmerkingen van je....

Als je nou 's ff iets opzoekt ipv je onderbuik laat spreken....

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

Bauknecht @Verwijderd • 19 oktober 2011 10:09

Als jij nou even kritisch bent over je bronnen.

Dat zijn gebruikersgegevens van de W3Schools-site. Waar IT'ers naar toe gaan. Het feit dat zelfs 80% van alle nerds en IT'ers blijkbaar nog steeds onder Windows werken en slechts 5% van de IT'ers Linux gebruikt, zegt genoeg over het belang van Linux op de desktop.

Ohja. Al eens gezien hoe dichtgetimmerd W7 is? Je moet al serieus wat zoeken om W7 'wit te wassen' hoor. Deze extra beveiliging gaat daar niet veel aan veranderen.
En de meeste mensen kopen trouwens een laptop met een legale W7 preinstalled en daar doen ze het mee tot die laptop de geest geeft. En doen in hun broek als er één popupje verschijnt met 'We weten dat je Windows illegaal is'.

[Reactie gewijzigd door Bauknecht op 23 juli 2024 18:09]

Verwijderd @Bauknecht • 21 oktober 2011 12:59

Als jij nou even kritisch bent over je bronnen.

...als jij nu 's aantoont wat er mis zou zijn met die bron......

Dat zijn gebruikersgegevens van de W3Schools-site. Waar IT'ers naar toe gaan. Het feit dat zelfs 80% van alle nerds en IT'ers blijkbaar nog steeds onder Windows werken en slechts 5% van de IT'ers Linux gebruikt, zegt genoeg over het belang van Linux op de desktop.

Leuk zelfverzonnen verhaaltje, maar wat heeft dat met de echte cijfers te maken?

Ohja. Al eens gezien hoe dichtgetimmerd W7 is? Je moet al serieus wat zoeken om W7 'wit te wassen' hoor. Deze extra beveiliging gaat daar niet veel aan veranderen.
En de meeste mensen kopen trouwens een laptop met een legale W7 preinstalled en daar doen ze het mee tot die laptop de geest geeft. En doen in hun broek als er één popupje verschijnt met 'We weten dat je Windows illegaal is'.

uh..ik weet niet waarop of op wie je reageerd, maar lees het nog is, en hopelijk kom je ook tot de conclusie dat je tekst kant nog wal raakt als reactie op mijn reactie....

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:09]

SunnieNL

Microsoft Windows

@Wolfos • 18 oktober 2011 18:55

Let op, als je het verhaal goed leest is het niets tegen Microsoft. Ze zijn tegen OEM's die hun pc's gaan afschermen waardoor er alleen nog Windows op kan draaien.

Microsoft bepaalt dat niet. Die bepaald alleen dat voor Windows op een OEM secure boot aan moet staan en dat de Windows certificaten er standaard in meegeleverd moeten worden. Microsoft zegt nergens dat OEM's vervolgens Secure Boot zo moeten beveiligen dat je het niet meer uit kan zetten of geen andere certificaten mag inlezen of dat de optie onzichtbaar moet zijn in het 'bios'. Dat is allemaal zaak van de OEM.

FSF moet dus wel zorgen dat ze protesteren tegen de juiste mensen. En daarnaast is het een protest dat je voert tegen iets waarvan je niet weet of de OEM's dit ook gaan doen.

Verwijderd @SunnieNL • 18 oktober 2011 19:05

MS heeft in het verleden heel veel gezegd en beweerd, maar deden (illegaal en meerdere malen al veroordeeld daarvoor) compleet anders.....

Dat ze publiekelijk iets ontkennen heeft in het verleden al aangetoond dat ze averechts handelen.....

MS heeft in het verleden ALTIJD onder druk dingen bij OEM verkopers voor elkaar gekregen, dus waarom zou dat nu anders zijn?

Niemand_Anders @SunnieNL • 19 oktober 2011 08:57

Maar er blijft altijd de kans bestaan bestaan dat als Windows detecteert dat Secure Boot uitstaat, het weigert te starten. Technisch gezien houd het dan Linux niet tegen, maar ook groot deel van de Linux gebruikers hebben vaak ook nog een Windows partitie.

Voor Microsoft zit er trouwens ook nog een zeer geniepig voordeeltje aan. Zij kunnen als zij SecureBoot niet mogelijk implementeren claimen dat zij Windows wel veiliger wouden maken, maar de FSF tegen was.

De FSF zou er heel erg goed aan doen om de juiste toon aan te houden. Zo zouden ze beter de petitie kunnen aanpassen zodat het OEM fabrikanten verplicht om de SecureBoot optie uit te zetten.. Dat bewerkstelligt hetzelfde, maar het legt de focus minder op Microsoft en meer op de fabrikanten.

Aangezien Windows nog steeds een 85+% marktaandeel heeft wil jij als stichting later niet te boek staan welke een goede verbetering tegenhield. Dat kan namelijk als een boemerang heel erg hard terug komen..

JCG @Wolfos • 18 oktober 2011 17:44

tja je kan ook zelf onderzoek doen naar wat je koopt. je had makkelijk van XP naar windows 7 kunnen overstappen. En bovendien was er niet echt iets mis met Vista, behalve de drivers, en daar moeten Linux gebruikers kunnen meeleven.

Maar ik vraag me af waarvoor de secure boot dient bij windows 8. Helpt het tegen rootkits of andere nare spullen? Of is het een gevalletje concurentie pesten?

Aegir81 @JCG • 18 oktober 2011 17:50

Het voorkomt dat malafide code nog kan gestart worden.

Microsoft zei toch zelf al dat hardwaremakers zelf kunnen bepalen of ze het in- of uitschakelen? Al lijkt het me wel netjes mocht je dat als gebruiker gewoon zelf kunnen bepalen.

To_Tall

@Aegir81 • 18 oktober 2011 20:17

Daarom vraag ik me af of dit wel en legitieme actie is. natuurlijk zou het mogelijk kunnen zijn in de toekomst om.......

Maar voor zover ik weet van UEFI is secure-boot een optie. die mogelijk standaard aan zal staan op OEM systemen. laat het niet zo zijn dat een optie altijd uitgezet kan worden..

Daarnaast snap ik niet waarom GPL niet kan en mag werken met de secure-Boot feature? Je kan toch jouw broncode voor het verkrijgen van een lock vrijgeven? Op windows draaid ook software gebaseerd op GPL licentie. (Open Office Foundation) en zo zijn er nog duizendende apps. Die gebruik maken van Microsoft DDL's om te kunnen draaien. Ik zie Dit ook met de secure Boot optie in UEFI.

Volgens mij moeten juristen toch eens opnieuw gaan kijken naar GPL. Om toch gebruik te kunnen maken van secure-Boot waardoor software wel gedraaid zou kunnen worden..

robvanwijk @To_Tall • 18 oktober 2011 23:31

Het officiële doel van Secure Boot is om de gebruiker te beschermen tegen allerlei soorten malware. In principe is het zo dat als component X eerder actief wordt dan component Y, dat het voor X dan mogelijk is om Y zo'n beetje alles te laten geloven wat het wil (inclusief het verbergen van zijn eigen bestaan). Als je een virus in je bootsector hebt zitten (die dus eerder opstart dan het OS / virusscanner) dan kan dat virus alles doen wat het wil; als je virusscanner de bootsector wil bekijken dan kan het virus dat immers afvangen en een "schone" kopie van de bootsector teruggeven (en zo zijn bestaan verhullen). Lang leve de root kits...

Als Windows zeker wil weten dat het op een goed beveiligd systeem draait, dan moet het dus een seintje krijgen van de allereerste code die actief wordt (het BIOS / UEFI), dat Windows belooft dat alle code die tussentijds heeft gedraaid (zoals bijvoorbeeld een bootloader) herkent en veilig bevonden is. Daar is niks aan te doen: Windows heeft geen controle over wat er gebeurt voor het actief wordt en kan achteraf niet meer betrouwbaar controleren wat er gebeurd is. (Overigens, Windows gaat er daarbij wel impliciet vanuit dat het BIOS / UEFI te vertrouwen is; als je die flashed met iets waar malware in zit dan is het sowieso einde verhaal.)

En daarmee komen we dus bij het probleem: als je secure boot uitzet en er wordt malware actief voordat Windows initialiseert, dan kan de malware botweg tegen Windows zeggen dat er een secure boot heeft plaatsgevonden. Dus ook al zegt Microsoft dat ze moederbordfabrikanten niet zullen verplichten om Secure Boot een feature te maken in plaats van een optie (lees: het kan niet uit), eigenlijk zouden ze dat wel moeten doen, anders heeft het nog geen zin! Met andere woorden: als er voor jouw moederbord een versie van het BIOS / UEFI bestaat waarin Secure Boot niet verplicht is (of het er helemaal niet inzit, of dat je het zelf uit kunt zetten maakt weinig uit), dan heeft Secure Boot op dat model moederbord eigenlijk al geen zin meer.

Het probleem met GPL is niet zozeer de code die met Secure Boot werkt (het stukje van de kernel dat met het BIOS / UEFI praat), maar de handtekening zelf. Stel dat het voor iedereen mogelijk wordt gemaakt om zijn eigen Linux-kernel te ondertekenen (zodat Secure Boot het herkent en laat starten), dan kunnen malware makers hun code ook ondertekenen; niets houdt ze tegen om een stuk code te schrijven dat tegenover BIOS / UEFI doet alsof het een OS is en dat, wanneer het geboot wordt, eerst een backdoor / keylogger / whatever opstart (en een rootkit natuurlijk) en daarna (net als een bootloader) door te chainen naar Windows. Daarom is het onmogelijk om de signing keys "voor het grote publiek" beschikbaar te maken. In principe zouden de grote distro's nog wel ondertekend kunnen worden, maar zelf je eigen kernel compilen is er met Secure Boot niet meer bij.

Mogelijke oplossing:
- Secure Boot wordt verplicht (laten we eerlijk wezen, het idee erachter is lang niet slecht; het zijn de "bijwerkingen" waar we een probleem mee hebben).
- Moederborden hebben twee sleutels: de "algemene" waarmee Windows (en de grote Linux distro's...??) ondertekend worden, en een specifieke, die voor elk bord verschillend is. Als je een manier weet te bedenken om die specifieke keys alleen ter beschikking te stellen aan de mensen die ze willen hebben (en die er dan dus verder zelf voor verantwoordelijk zijn hoe ze daar veilig mee omgaan), dan zouden we het beste van twee werelden hebben: Secure Boot voor "de grote massa" en zelf-gecompilede kernels (én de voordelen van Secure Boot, zolang je voorzichtig bent met je persoonlijke key!) voor de liefhebbers. Misschien kan op elke BIOS / UEFI-chip een uniek ID worden geprint dat je op de website van je moederbordfabrikant kunt laten omrekenen (niet "opzoeken"; dan zou de database een veel te interessant doelwit voor hackers worden) naar een unieke key voor jouw bord...?

Luuk1983

@Aham brahmasmi • 18 oktober 2011 16:53

De meeste mensen die OEM desktops kopen zetten daar geen Linux op. Mensen die met Linux bezig zijn bouwen hun computer vaak zelf. Ik zie er niet zoveel problemen mee.

Reinstein @Luuk1983 • 18 oktober 2011 17:00

Met desktops is het probleem idd minder groot, maar met laptops is het wel vervelend. Bij de grote jongens kun je nog niet een laptop kopen zonder OS.

cornedor @Reinstein • 18 oktober 2011 18:50

Laat staan ff in elkaar zetten.

thegve @Luuk1983 • 18 oktober 2011 19:13

Zolang ze dit niet ook willen inzetten bij Windows server althans... En sowieso is Linux(Android) ook al aardig populair/relevant bij bijvoorbeeld tablets.

Xubby @Aham brahmasmi • 18 oktober 2011 14:54

[...]
Doodsteek voor Linux op OEM desktops en laptops misschien, maar voor servers (waar Linux het grootst is) nooit lijkt mij.

Dus even FSF.org checken ... om de petitie te tekenen ...
"We're currently experiencing technical problems."
Servertje boot niet?

toegevoegd: om de petitie te tekenen ...

[Reactie gewijzigd door Xubby op 23 juli 2024 18:09]

thegve @Xubby • 18 oktober 2011 19:08

LOL, ik denk dat het enthousiasme om deze petitie te tekenen behoorlijk groot is

WPN @El_Bartholomew • 18 oktober 2011 19:05

dan boot ie dus juist wel

SuperDre @Siyara • 18 oktober 2011 20:33

Tja, je kunt het ook anders zien, secureboot is juist een goede zaak om te zorgen dat je systeem nog veiliger is. Ik ga er sowieso van uit dat er geen fabrikant zal zijn die het niet mogelijk zal laten zijn om dit uit te zetten, hooguit de Apple/Sony bedrijven, en zoals altijd, je hebt dan alsnog de keuze om een ander merk te kopen waarbij dit wel kan.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (188)

Sorteer op:

Weergave: