Linux Foundation publiceert voorstel rondom 'secure boot'

De Linux Foundation heeft een voorstel gepubliceerd waarin staat beschreven hoe computerfabrikanten het secure boot-mechanisme op een 'eerlijke' en 'open' manier in systemen met een uefi kunnen implementeren.

Net als diverse andere organisaties die opensourcesoftware promoten, maakt de Linux Foundation zich zorgen over de mogelijke restricties die het secure boot-mechanisme aan computergebruikers zouden kunnen opleggen, zoals het installeren van een ander besturingssysteem. Onder andere Windows 8 zal secure boot gaan ondersteunen op systemen die uitgerust zijn met bios-vervanger uefi.

In een poging oem's te beïnvloeden, heeft de Linux Foundation een richtlijn gepubliceerd waarin voorstellen worden gedaan hoe een systeem met secure boot ook andere besturingssystemen kan laten booten. Volgens de opstellers is secure boot weliswaar een nuttige methode om systemen beter te beveiligen, maar het moet voor gebruikers mogelijk zijn om eigen sleutels te installeren zodat andere OS'en niet worden buitengesloten. De organisatie stelt dat Microsoft in zijn huidige plannen voor het secure boot-mechanisme van Windows 8 poogt om als enige partij zogenaamde platform keys in uefi's te krijgen.

Evenals de Free Software Foundation meent de Linux Foundation dat computerfabrikanten een setup-modus in de uefi moeten aanbieden waarin het secure boot-mechanisme uitgeschakeld kan worden door de opgeslagen sleutels te resetten. Een andere, meer complexe, oplossing is het opzetten van een nieuw trust model in de uefi-specificatie die het toestaat dat systemen andere OS'en kunnen booten, al dan niet van externe media. Dit nieuwe beveiligingsmodel zou echter door de gehele industrie omarmd moeten worden, waardoor het de vraag is of het voorstel enige kans maakt.

De Linux Foundation is niet de enige organisatie die met nieuwe voorstellen rondom het secure boot-vraagstuk komt. Zo hebben twee ontwikkelaars van Canonical en Red Hat in een rapport met de titel 'Secure boot impact on Linux' soortgelijke voorstellen opgesteld. De Free Software Foundation is ondertussen een petitie gestart waarin computerfabrikanten wordt gevraagd om in hun uefi-implementaties de gebruiker de mogelijkheid te geven secure boot uit te schakelen.

IT-banen

Reacties (206)

jan-sloep 30 oktober 2011 14:03

Als je het rapport van Canonical en Red Hat goed leest slaat je de schrik pas echt om het hart. De werkelijkheid is nog veel erger dan op het eerste gezicht lijkt.

De meeste mensen denken dat secure boot alleen maar vervelend is voor niet Windows gebruikers, maar secure boot raakt alle computergebruikers wereldwijd net zo hard, ongeacht welke hard- en software zij ook gebruiken.

Mogelijk raakt het Windows gebruikers zelfs nog veel harder. Immers als je Linux eenmaal hebt kunnen starten ben je daarna vrij ieder hard- en software te gebruiken die je wil.
Met secure boot kan MS echter exact bepalen welke hard- en software de gebruiker van MS mag gebruiken.

Het is immers bijzonder verleiderlijk voor de grote hard- en software fabrikanten van secure boot, restricted boot te maken. Met secure boot kunnen hard- en software fabrikanten namelijke exact bepalen welke hard- en software op de computer nog kan worden geinstalleerd.

Dat houdt in dat bijvoorbeeld Microsoft of Acer niet alleen kan controleren of je wel een legitieme Windows versie of de Acer versie van Windows gebruikt, maar ook dat je bijvoorbeeld alleen Microsoft Word of een Acer tekstverwerker kan gebruiken.
In principe geldt dit voor alle hard- en software die je op je eigen computer wil laten draaien, zelfs ook voor een beelscherm of printer.

Het moge duidelijk zijn dat dit bijzonder aantrekkelijk is voor de grote hard- en software bedrijven omdat ze hiermee de complete IT-industrie onder controle krijgen en voor elke aanpassing, hoe klein ook, geld kunnen en ook zullen gaan vragen, met als gevolg dat je alleen nog hun ongetwijfeld veel duurdere hard- en software kan gebruiken.

Voor onafhankelijke hard- en software leveranciers is dan geen plaats meer, zelfs een programma dat je zelf hebt gemaakt werkt dan niet meer. Ook de meeste computer gerelateerde webshops kunnen de boel wel inpakken.

Alleen een secure boot versie waarbij de eigenaar van de computer, jijzelf dus, bepaalt welke hard- en software je op je computer wil draaien kan dit nog voorkomen. En dat is precies wat het Linux Foundation voorstel behelst.

Voor informatie over secure boot lees http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf en teken de petitie ter ondersteuning van het voorstel hier: http://www.fsf.org/campai...restricted-boot/statement

[Reactie gewijzigd door jan-sloep op 25 juli 2024 03:11]

Dreamvoid

Microsoft Windows 8

@jan-sloep • 30 oktober 2011 14:39

Wat is jouw mening dan over SSL verbindingen? Precies hetzelfde principe.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

Stoney3K @Dreamvoid • 30 oktober 2011 16:05

Wat is jouw mening dan over SSL verbindingen? Precies hetzelfde principe.

Dan gaat het nog altijd over communicatie met een derde partij waar ik iets van zou willen.

In het geval van 'trusted computing', waar dit hele verhaal over gaat, is het een derde partij die wil gaan bepalen wat ik met mijn hardware, waar ik geld voor heb neergelegd, mag doen.

Feitelijk is het dan geen koop van hardware meer, maar een bruikleencontract voor onbepaalde tijd, die een fabrikant dus eventjes te pas en te onpas op afstand kan intrekken als je een misstapje maakt of een printer aansluit die niet van hardwarefabrikant X, Y of Z is.

Het enige platform dat op dit moment het dichtste bij het trusted computing-concept komt is de Sony Playstation 3. En daar is al een hoop ophef ontstaan over Sony die achteraf features intrekt die op de doos van de PS3 geadverteerd stonden, omdat ze zelf van mening waren dat het hun portemonnee de consument goed zou doen.

Als het hele Trusted Computing doorgaat dan zou het straks zo kunnen zijn dat jouw ATI videokaart geen 3D-versnelling meer doet omdat Intel vindt dat je maar een nVidia kaart in hun bord moet steken, en anders mag je ophoepelen.

Gebeurt hetzelfde in de telecom- of kabelmarkt, dan wordt er gelijk moord en brand geschreeuwd over vendor lock-in, concurrentievervalsing en onterechte prijsafspraken. Tijd voor een mededingings-autoriteit om aan de bel te trekken.

Dreamvoid

Microsoft Windows 8

@Stoney3K • 30 oktober 2011 16:40

Gebeurt hetzelfde in de telecom- of kabelmarkt, dan wordt er gelijk moord en brand geschreeuwd over vendor lock-in, concurrentievervalsing en onterechte prijsafspraken/

Hoe kom je daar bij, Apple doet dit al twintig jaar en niemand schreeuwt moord en brand. Sterker nog, mensen staan meer dan ooit in de rij om grof geld eraan uit te geven.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

Stoney3K @Dreamvoid • 30 oktober 2011 18:00

[...]

Hoe kom je daar bij, Apple doet dit al twintig jaar en niemand schreeuwt moord en brand. Sterker nog, mensen staan meer dan ooit in de rij om grof geld eraan uit te geven.

Mag je mij even vertellen hoe Apple zoiets al twintig jaar doet?

Apple verhindert mij vooralsnog niet bewust om andermans hard- en software op een Mac te installeren. Hooguit dat ze geen ondersteuning geven en je dus niet bij hun aan moet kloppen omdat het niet helemaal 100% werkt, maar ik heb nog nooit een schermpje in beeld gezien met "Wij van Apple vinden dat U dit niet-goedgekeurde apparaat niet mag gebruiken. De installatie is om deze reden geblokkeerd".

Bij iOS devices is het een ander verhaal: Daar controleert Apple actief het software-aanbod en dat is in mijn visie ook fout. Als ik per sé een programma wil installeren dat X of Y doet, dan moet ik dat gewoon kunnen doen en niet het programma niet kunnen starten omdat Apple van mening is dat het gevaarlijk is.

Een goed voorbeeld: Zijn er ooit andere muziekwinkels in de App Store gekomen naast iTunes? Volgens mij niet, omdat Apple ze weigert om de simpele reden dat ze 'ingebouwde functionaliteit vervangen', met andere woorden, mogelijk concurreren.

Verwijderd @Dreamvoid • 30 oktober 2011 23:44

[...]

Hoe kom je daar bij, Apple doet dit al twintig jaar en niemand schreeuwt moord en brand. Sterker nog, mensen staan meer dan ooit in de rij om grof geld eraan uit te geven.

Apple maakt zijn eigen hardware, microsoft is software boer die onderhandeld met de moederborden fabrikanten en zo 3rd party wil uischakelen.. dat is het verschil

kimborntobewild @Verwijderd • 31 oktober 2011 04:04

Microsoft is zeer zeker NIET alleen een softwareboer!! Hoe kom je daar in vredesnaam bij? Ook heeft Windows langdurige vriendschappen zoals met Intel, waardoor andere hardwareconcurrenten ook zwaar in het nadeel zijn (lees: ze gaan gewoon failliet) zodra deze UEFI-shit op de markt verschijnt. Uiteraard in het begin niet alteveel, dat zou opvallen en personen zoals Smit Kroes zouden kunnen ingrijpen. Maar als 't eenmaal een paar jaar de standaard is, dan komen de grote klappen.

kimborntobewild @Dreamvoid • 31 oktober 2011 04:09

...niemand schreeuwt moord en brand.

Dat klopt dus voor geen meter, want er zijn wel degelijk mensen die moord en brand roepen. En zolang Apple zo'n relatief kleine speler is, kan ze ook veel minder misbruik toepassen.

jan-sloep @Dreamvoid • 30 oktober 2011 15:05

Wat bedoel je daar mee? SSL stelt geen restricties aan de hard- of software die je op je computer draait! Het enige wat SSL (Secure Socket Layer) doet is je data over de lijn versleutelen. Op zijn hoogst zou je met tweezijdig SSL toegang door een niet geautoriseerd gebruiker tot je website kunnen voorkomen.

Spider.007 30 oktober 2011 12:10

Volgens mij gaat het belang van deze UEFI kwestie aan heel veel mensen voorbij, maar Secure Boot is een belangrijke feature van deze BIOS vervanger, als er nu niets wordt geregeld zit iedereen straks met Windows only PCs. Dit is eigenlijk Microsoft's Palladium, en fabrikanten lijken zich weinig aan te trekken van het feit dat Microsoft echt niet het enige OS op onze HDD's is.

Meer informatie over de foutjes die tijdens het implementeren van UEFI gemaakt worden is te vinden op het blog van Matthew Garrett

[Reactie gewijzigd door Spider.007 op 25 juli 2024 03:11]

Wim-Bart @Spider.007 • 30 oktober 2011 23:34

Wanneer je de UEFI Secure boot specificatie er bij neemt dan staat daar heel duidelijk in dat een fabrikant o.a. de mogelijkheid moet geven om dit uit te schakelen. Daarnaast is Secure boot binnen UEFI een optionele toevoeging van de fabrikant en geen verplicht onderdeel. Dat Microsoft de wens heeft uitgesproken dat ze graag zien dat fabrikanten het "ondersteunen" is iets anders, daarnaast ondersteund Microsoft het straks in Windows 8 en de opvolger van 2008 R2. Echter hoeft het niet aanwezig te zijn en niet aan te staan.

Waar mensen zich wel zorgen over moeten maken is het volgende uit de UEFI 2.3 specificatie:

Processor compatibility
As of version 2.3, processor bindings exist for Itanium, x86, x86_64 and ARM.

The BIOS is limited to a 16-bit processor mode and 1 MB of addressable space due to the design being based on the IBM 5150 which used the 16-bit Intel 8088.[4][13] In comparison, the UEFI processor mode can be either 32-bit (x86-32, ARM) or 64-bit (x86-64 and Itanium).[4][14] 64-bit UEFI understands long mode which allows applications in the pre-boot execution environment to have direct access to all of the memory using 64-bit addressing.[15]

UEFI requires the firmware and operating system to be size-matched; i.e. a 64-bit UEFI implementation can only boot a 64-bit UEFI operating system.

Dat wil zeggen: Wanneer je een 64 bit systeem hebt en je hebt UEFI op het systeem, dan ben je verplicht om van iedere OS versie de 64-bit tegenhanger te draaien. Op Windows is dat niet zo een probleem omdat Windows OS 64-bit alles draait wat maar 64 of 32 bits is. Maar ik ken software die het vertikt om op 32-bit linux te draaien, of beperkt op 32-bit Linux draait.

Gomez12 @Spider.007 • 30 oktober 2011 12:41

Dat zijn geen "foutjes" hoor, dar zijn doelbewuste keuzes van MS om het probleem van pre-OS malware tegen te gaan.

Vanuit MS zijn standpunt is er ook geen probleem. Als er een sticker op een systeem staat dat het geschikt is voor windows dan is er geen probleem meer met pre-OS malware op dat systeem.

Er is geen enkele regel die een fabrikant verbied om systemen zonder stickers met :geschikt voor windows te leveren.

Oftewel voor Linux is er ook geen enkel probleem als die met wat fabrikanten een aparte lijn ontwerpen.

Er is enkel een probleem als je als linux zijnde mee wilt liften met de goedkope windows-pc's...

Spider.007 @Gomez12 • 30 oktober 2011 12:52

Neen, dan begrijp je het verkeerd. Iedere Linux distro die zijn broncode openbaar wil maken (iedere distro dus) kan niet opgenomen worden in UEFI, omdat iedereen van die (open source) sleutel gebruik kan maken.

Vooral als je je realiseert dat er honderden distributies zijn (en tientallen 'grote distros') die allemaal open source zijn zou je moeten begrijpen dat Secure Boot en Linux nooit samen zullen kunnen werken.

Uit mijn eerdere link kun je ook lezen dat de huidige moederbord/UEFI bouwers al shortcuts nemen met als uitgangspunt dat er alleen Windows op een computer zal staan.

ari3 @Spider.007 • 30 oktober 2011 13:52

Volgens mij begrijp je het principe van de sleutel niet. UEFI zou moeten toestaan dat gebruikers zelf sleutels installeert voor de partijen die hij vertrouwt.

Microsoft wil zijn sleutels voorgeïnstalleerd hebben (omdat dit het handmatig installeren onnodig maakt).

Desondanks denk ik dat ook Microsoft er belang bij heeft als iedereen de Microsoft-sleutel kan uitschakelen en vervangen in UEFI. Immers, mocht de voorgeïnstalleerde sleutel gecomprimeerd zijn dan kan de gebruiker een nieuwe installeren.

Spider.007 @ari3 • 30 oktober 2011 14:13

Ik weet niet of je op mij reageert, maar users worden juist niet vertrouwt om sleutelbeheer te doen. Immers, als de user het kan; kan malware dit ook.

Lees voor meer info dit even door: http://mjg59.dreamwidth.org/5552.html

2playgames @Spider.007 • 30 oktober 2011 15:09

Immers, als de user het kan; kan malware dit ook.

Als het installeren van sleutels alleen kan via het BIOS-menu en niet vanuit een draaiend OS, is dit niet het geval.

BeosBeing

Open source

@2playgames • 2 november 2011 12:55

Gebruikers worden niet vertrouwd omdat ze dan ook software kunnen installeren/draaien die zich niets aantrekt van o.a. DRM-beveiligingen. Gebruikers mogen niet per ongeluk malware kunnen installeren, niet per ongeluk of expres films kijken of muziek luisteren die ze niet gekocht hebben en zakelijke gebruikers mogen de data van hun werkgever niet zomaar kunnen kopiëren, bv naar de HDD van hun notebook, naar hun thuiscomputer of naar het systeem van een (toekomstige) concurrent.

Het Trusted Computing Platform is een veelomvattend begrip. Zet je secure-boot uit dan is je systeem van de ene moment op het andere niet meer vertrouwd en dan zal je Windows misschien nog (beperkt) werken, echter Mediaplayer bijvoorbeeld niet meer.

Sterker nog, in de licentievoorwaarden van Microsoft staat al sinds die tijd dat je Microsoft toestemming geeft om ongewenste software en media-bestanden te verwijderen en het installeren van ongewenste software te verhinderen. Ongewenste software volgens de Microsoft definitie is dus niet alleen malware, maar ook software die acties uit kunnen voeren buiten het security-systeem van Microsoft ook, mogelijk zelfs alle FLOSS waaronder alles wat onder GPL valt. Microsoft bepaalt immers wat onder de definitie ongewenste software valt.

Stoney3K @Spider.007 • 30 oktober 2011 15:21

Ik weet niet of je op mij reageert, maar users worden juist niet vertrouwt om sleutelbeheer te doen. Immers, als de user het kan; kan malware dit ook.

Lees voor meer info dit even door: http://mjg59.dreamwidth.org/5552.html

En ik hoop dat je kan begrijpen dat wij al gebruikers een derde partij niet zomaar zonder pardon vertrouwen? Toevallig het nieuws gelezen en gehoord wat er allemaal met Sony is gebeurd? Dat is het resultaat van gebruikers die (onwetend) een derde partij vertrouwen en die derde partij ineens een berg features uit 'jouw' apparaat sloopt.

Microsoft kan er zelfs voor kiezen om met 'secure boot' in eerste instantie wel third-party OS'en toe te laten en dan spontaan alle keys behalve die van Windows 8 vereisen in te trekken, of iedereen faalt ineens zijn WGA validatie en mag voor een nieuwe Windows gaan betalen.

Vervang 'malware-makers' maar door 'software-piraten' en uiteindelijk door lui die voor de hobby of omdat hun hardware dat vereist hun eigen OS schrijven. Want boeven en hobbyisten zijn toch niet van elkaar te onderscheiden, en alleen de partijen met het grote geld zijn de goeien, toch?

ppl

Open source
Beveiliging

@Spider.007 • 30 oktober 2011 15:50

Grappig gezien het feit dat sinds het Diginotar schandaal de gebruikers die grote giganten en het complete systeem niet meer vertrouwen. Men brulde op een complete herziening van het systeem en vervolgens gaat men hetzelfde doen met Secure Boot

Wat Diginotar vooral heeft laten zien is dat het nogal een zwak systeem is, je moet altijd maar een ander op z'n blauwe ogen vertrouwen. Dat dat niet werkt hebben we ook gezien aan al die berichten waarbij men in de fabriek dingen als harde schijven en mp3 spelers van malware voorzien omdat ze besmet waren en dat niet doorhadden.

Secure Boot an sich is dus eigenlijk een heel erg slecht systeem. Voor de gewone gebruiker werkt het niet vanwege het Digitnotar en die malware-in-de-fabriek verhalen. Voor power users die met een ander OS willen werken ook niet omdat zij de keys niet kunnen wijzigen en daardoor een heleboel dingen niet kunnen doen. Virtualisatie is dan weliswaar een uitkomst maar dat is het vaak ook niet helemaal omdat non-Windows systemen nou niet bepaald goed worden ondersteund (VMware is nog altijd de beste daarin).

PBloem @Spider.007 • 30 oktober 2011 12:20

Extra beveiliging is nooit erg maar iedereen moet dan wel gelijke kansen hebben.
Ik denk dat als Microsoft hier alleen profijt van heeft het toch weer gaat uitdraaien op een langdurende rechtszaak wegens een monopoly positie en het bedoeld/onbedoeld uit de markt drukken van alternatieven.

Dit is niet iets waar een consument over zou moeten nadenken bij het aanschaffen van een pc. (lock in van alleen Microsoft producten op een pc)

Gomez12 @PBloem • 30 oktober 2011 12:45

Dus malware makers moeten ook gelijke kansen hebben?

De grotere linux-distributies kunnen gewoon een key kopen, enkel de thuis-linuxen en de malware makers kunnen geen key kopen.

Dit voorstel blokkeert helemaal geen linux, het blokkeert de hobbyisten omdat daar geen onderscheid meer is tussen malware makers en eigen OS makers.

TunefulDJ_Mike @Gomez12 • 30 oktober 2011 12:59

linux is opensource, keys zijn niet opensource. dat komt er dus op neer dat linux standaard geleverd moet worden met niet opensource software en dan mag niet onder de gpl licentie.

Dreamvoid

Microsoft Windows 8

@TunefulDJ_Mike • 30 oktober 2011 14:02

Klok, klepel? Een signed binary kan prima open source zijn. Een key is een key en geen programmacode, dat kan nooit "open source" of "closed source" zijn.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Dreamvoid • 30 oktober 2011 14:54

Er zit een beperking in het GPL die je kan uitleggen als dat je de prive-sleutel moet publiceren wanneer je een gesignede (GPL) binary verspreidt. Als je de prive-sleutel verspreidt heeft de hele beveiliging natuurlijk geen zin meer.

Titan_Fox

Microsoft Windows 8

@TunefulDJ_Mike • 31 oktober 2011 02:17

Daarbij; malware bij Linux ? Het zal er wel zijn maar door het schaarse Linux-gebruik is het voor kwaadwillenden niet heel interessant om er malware voor te schrijven. Daarbij heeft malware geen root-toegang en worden er voor Linux in veel hoger tempo patches en updates uitgebracht.

Je zou de keys wel kunnen leveren door deze bijvoorbeeld toe te voegen aan "ubuntu-restricted-extras", alleen heb je daar niet zo veel aan als de keys al vóór de installatie geladen en geverifieerd moeten zijn.

Wat mogelijk zou zijn is dat je met een Linux-disk opstart en je eerst een dialoog moet bevestigen omtrent het gebruik van Secure-Boot keys. Goed, ik ben er verder geen expert in; ik denk simpelweg hardop. Geen idee of de GPL een dergelijke optie toestaat.

Titan_Fox

Microsoft Windows 8

@Gomez12 • 31 oktober 2011 02:13

Malwaremakers stelen ergens wel een key. Geen enkele beveiliging is 100% waterdicht. Kijk maar naar de PS3; het meeste dataverkeer had een encryptie. Toch is de beveiliging na 5 jaar ingestort.

Hackers willen juist dat je het moeilijk voor ze maakt. Hoe moeilijker; des te groter de uitdaging. In dat wereldje draait het om onderling respect. Ik geloof namelijk niet dat er vandaag de dag nog veel idealisten onder de hackers zijn. Wat mij betreft maakt het allemaal niet uit; zolang het resultaat er maar naar is.

Onthoud ook dat dit "SecureBoot" een schaduwzijde heeft; zodra deze beveiliging gekraakt wordt heeft een kwaadwillende direct toegang tot de UEFI en kan je hele BIOS-configuratie overhoop gooien (met alle gevolgen van dien). Dit "patch" je dan niet even gemakkelijk. De kans dat je dan een ander moederbord (zonder UEFI) moet aanschaffen is dan wel reëel.

Wolfos @Gomez12 • 30 oktober 2011 12:56

En jij compileert nooit een kernel? Als je een beetje exotische hardware hebt moet je wel je eigen kernel compilen.

Alex3 @Gomez12 • 30 oktober 2011 14:15

Als je geen exotische hardware kunt gebruiken is dat een rem op de innovatie.

arjankoole

Beveiliging

@Gomez12 • 30 oktober 2011 16:06

Moet je geen exotische hardware kopen...

mag ik dat even lekker zelf bepalen?

Sissors @arjankoole • 30 oktober 2011 21:35

Dan koop je toch een focking moederboord waarop je secure boot kan uitschakelen? (Lees: elk willekeurig mobo).

Serieus zeg, MS wil dat als je een stickertje van windows op een computer geplakt wordt dat secure boot standaard aan staat. Redelijk logisch gezien dat het gewoon veiliger is. Thats it, niks anders. En allemaal mensen gaan over hun nek met zelfverzonnen doemscenarios die nergens op slaan.

Foamy @PBloem • 30 oktober 2011 12:47

dat verwacht ik niet... de beperkingen worden namelijk niet door Microsoft zelf toegevoegd/aangebracht. Dat doen de pc bouwers.

SuperDre @Spider.007 • 30 oktober 2011 18:27

Hoezo? Linux distro's kan ook gebruik maken van Secure boot als ze dat zouden willen en dus zelf die sleutels willen gaan uitbrengen.

Het lijkt erop dat mensen zich hier helemaal niet eens een beetje verdiepen in wat er nu in werkelijkheid gaande is en wat het werkelijke standpunt van Microsoft is ten aanzien van Secure boot (ofwel dat ze helemaal niets verplichten (oa mbt uitsluiten van het kunnen uit zetten van de optie) aan de hardwaremakers).

Secure boot is NIET verplicht voor Windows 8, Secure boot is beschikbaar voor ALLE OSsen die dit willen ondersteunen.

Dreamvoid

Microsoft Windows 8

30 oktober 2011 12:18

Secure Boot zorgt toch alleen voor dat alleen bepaalde bootloaders gestart kunnen worden? Als in die bootloaders gewoon support voor meerdere OSsen zit, is er niet echt een probleem. In feite krijg je dan dezelfde situatie als met Boot Camp op de Mac, waar je meerdere OSsen (Linux, Windows) kan draaien, maar alleen via Apple's bootloader.

Volgens de opstellers is secure boot weliswaar een nuttige methode om systemen beter te beveiligen...

Het hele security model achter Secure Boot is dan ook best logisch: een ketting aan 'trusted' software van UEFI, bootloader, OS zodat je niet meer onzichtbare rootkits kan injecteren in een pre-OS stadium. Ik snap heel goed dat de Linux wereld niet buitengesloten wil worden - mits netjes geimplementeerd kan het een behoorlijk effectieve security boost zijn. Ik verwacht eigenlijk dat vooral bedrijven dit graag omarmen om te voorkomen dat via werknemers allerlei rootkits binnenkomen.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

Alex3 @Dreamvoid • 30 oktober 2011 14:20

Als een bootloader meerdere systemen kan starten, inclusief zelf gecompileerde, is er geen sprake van een ketting aan 'trusted' software, dus zo'n bootloader zal nooit een certificaat kunnen krijgen.

Dreamvoid

Microsoft Windows 8

@Alex3 • 30 oktober 2011 14:29

Dat kan prima. Stel je krijgt bootloader X, die Linux en Windows kan starten - maar alleen bij Windows checkt op de integriteit van het OS. Dan is op zo'n systeem Windows een secure OS (immers UEFI-bootloader-Windows ketting is nog heel), terwijl Linux "potentieel onveilig" is (UEFI-bootloader is secure, maar de bootloader-Linux handoff is zonder controle).

Wat je wel heel erg goed moet communiceren aan de gebruiker (met rode schermen, waarschuwingen, etc) is dat deze bootloader-Linux handoff niet secure is, op eigen risico, etc.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

hiostu @Dreamvoid • 30 oktober 2011 12:29

Microsoft heeft ook aangegeven er helemaal niet op uit te zijn om linux hiermee te blokkeren en dat het installeren ook gewoon mogelijk blijft. Om te beginnen kan het secure boot ook uitgezet worden. Ik denk dat het deels bedoeld is om totaal paketten (bv tablets), waar hardware en OS zijn gebundeld en strak op elkaar zijn aangepast te koppelen. Je kunt ook geen windows installeren op een iPad, daar hoor je niemand over.

Blokker_1999

Besturingssystemen
Microsoft Windows
Linux
Microsoft
Netwerk en systeembeheer
Open source
Microsoft Windows 8

@hiostu • 30 oktober 2011 12:57

Microsoft heeft ook aangegeven er helemaal niet op uit te zijn om linux hiermee te blokkeren

Het is alleen een mooi neveneffect

Om te beginnen kan het secure boot ook uitgezet worden.

Niets kan MS tegen houden om net dat te gaan verbieden bij de grote OEMs, het is net dat waarvoor veel mensen schrik hebben.

Vandaag kan Windows nog booten zonder secure boot, maar in de toekomst kan en zal daar verandering inkomen. Dan moet je al telkens de isntelling gaan aanpassen telkens je tussen de OSen wilt wisselen, bijkomend heeft MS de mogelijkheden om OEMs te dwingen secure boot niet uitschakelbaar te maken, ze kunnen gewoon in de korting snijden die ze uitdelen aan deze OEMs.

Dreamvoid

Microsoft Windows 8

@Blokker_1999 • 30 oktober 2011 13:39

Niets kan MS tegen houden om net dat te gaan verbieden bij de grote OEMs,

Uh, iedereen kan MS daarin tegenhouden. Van de OEMs zelf, tot aan de Linux community tot aan Google en de bakker op de hoek toe.

Loller1

Microsoft Windows
Besturingssystemen
Microsoft Windows 8
Microsoft

@hiostu • 30 oktober 2011 13:39

Inderdaad, de iPad is momenteel de meest gebruikte tablet, maar klaagt de Linux Foundation of het FSF daar over? Nee. Ze richten zich gewoon op Microsoft om MS zo ver mogelijk in het zwart dag licht te stellen. Dit is een zeer goed voorbeeld om de reden die jij noemt en: Microsoft heeft nooit gezegt dat Secure Boot niet uitschakelbaar mag zijn, dat licht in de hand van de fabrikanten en bij wie licht dan het probleem? Ja, de fabrikanten. Maar bij wie legt het FSF en de Linux community het probleem? Ja, bij Microsoft, die enkel en alleen willen doen waar de Linux community al jaren over klagen om Windows: veiligheid.

liberque @Dreamvoid • 30 oktober 2011 12:43

Als secureboot enkel 'bepaalde' bootloaders toestaat dan heeft de functie an sich weinig nut. Immers, na het draaien van die bootloader is alles daarna kwetsbaar voor enge zooi en het is voor rootkit-ontwikkelaars dan ook een koud kunstje hun meuk op te starten direct nadat de bootloader is opgestart.

Wat een oplossing zou kunnen zijn is door een universele bootloader te ontwikkelen waarin nieuwe bootoptie's automatisch gesandboxed worden. Dus stel je hebt een bootloader die gecertificeerd is voor enkel Windows dan zouden Linux installaties eenvoudigweg geinstalleerd kunnen worden a la Grub. Het enige dat zo'n sandboxed OS dan niet kan is het benaderen van andere sandboxed OS'en en dat hoeft eigenlijk ook niet want zo'n OS heeft niets bij het andere OS te zoeken.

Is er dan toch een rootkit die de bootloader wilt aanpassen dan lijkt dat te gaan, maar het haalt niets uit omdat deze niet bij het OS kan omdat het een extra entry wordt en dus automatisch gesandboxxed.

Verwijderd 30 oktober 2011 12:31

Ik zou zelf het liefste een ouderwetse jumper op het moederbord zien die je moet omzetten om je uefi te updaten of een nieuwe sleutel voor een nieuw OS the accepteren.
Als er namelijk een optie komt om dit uit te zetten via software dan schrijft er iemand wel weer een exploit voor en is de hele secure-boot functie waardeloos.
Een jumper moet je zelf handmatig omzetten en geeft dan de mogelijkheid om iets anders te installeren terwijl de 90% van de bevolking die geen flauw idee hebben wat linux is toch optimaal beveiligd worden door de secure-boot functie (niet vergeten dat deze functie niet alleen nadelen heeft maar ook voordelen vooral voor de normale niet-tweaker Windows gebruiker).

deze optie is wel wat moeilijk te doen in het geval van laptop's of tablet's maar hier is ook wel een goede veilige optie voor te vinden denk ik zo.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 03:11]

Dreamvoid

Microsoft Windows 8

@Verwijderd • 30 oktober 2011 13:14

Probleem is dat je die "er is een jumper nodig" beveiliging tegen flashen ook weer kan hacken in de software.

Wim-Bart @Dreamvoid • 31 oktober 2011 00:04

Misschien is het concept UEFI niet helemaal duidelijk, maar een jumper is totaal niet nodig. UEFI bestaat er in twee soorten implementatie welke afhankelijk van hoe veel geld je wilt uitgeven is geïmplementeerd.

Mogelijkheid 1: Op eigen CPU/memory/Flash. Deze mogelijkheid start het systeem, start UEFI en laad daarna het boot image vanaf het boot path in het geheugen van het systeem waarna 1 core gestart wordt met het boot image. De UEFI blijft op de achtergrond gewoon draaien en is veelal te benaderen via een eigen netwerk kaart of seriële poort. Aangezien UEFI op eigen flash staat inclusief code en boot parameters en er geen toegang is vanuit het systeem zelf kan het OS hier niet bij. Firmware updates en dergelijke zijn ook niet vanuit het "gast" OS uit te voeren. Daarnaast is toegang afgeschermd door user authenticatie. Voorbeelden van deze implementatie zijn o.a. HP Itanium systemen.

Mogelijkeid 2: Deze methode werkt eigenlijk exact het zelfde. Het systeem boot UEFI vanuit een beschermde omgeving vanaf een flash device, echter gewoon met de aanwezige CPU en geheugen. UEFI leest de boot config en laad na de nodige controles het boot image van het "gast" OS waarna deze wordt uitgevoerd. Echter schakeld UEFI voordat controle wordt gegeven de toegang uit tot een aantal onderdelen waardoor deze niet vanuit het "gast" OS zijn te benaderen/beschrijven. Het enige wat een gast OS kan doen is een "boot path" toevoegen (niet eens aanpassen volgens de specificaties). Firmware flashen etc, kan alleen vanaf een boot cd/usb disk en niet default vanuit het OS, om toch vanuit het OS te kunnen flashen is er speciale software nodig van de fabrikant die de flash mogelijk maakt, hierbij wordt er meer gedaan dan alleen een bitje ergens gezet maar gaat dit op basis van sleutels.

Daarnaast, een FULL UEFI systeem heeft geen BIOS instellingen maar laad een speciale module om systeemparameters te wijzigen.

Een goed voorbeeld zijn IBM Servers welke al een aantal jaren UEFI ondersteunen.

TunefulDJ_Mike @Dreamvoid • 30 oktober 2011 13:41

ja en als je nou via die jumper een circuit onderbreekt waardoor je niet kan schrijven?, dan kan je ook niet hacken omdat je niet kan schrijven

Dreamvoid

Microsoft Windows 8

@TunefulDJ_Mike • 30 oktober 2011 14:32

Klopt, maar die circuits zitten tegenwoordig diep ergens in een chip, daar valt niet meer zo makkelijk even een grote fysieke schakelaar aan te hangen.

iMispel @Dreamvoid • 30 oktober 2011 17:19

Nee hoor, de meeste flash chips hebben wel een write enable pin, Is echt zo moeilijk niet. Wat mij betreft is het probleem hierbij wel de drempel verhoging: Waar vroeger Jan met de ICT-pet* Ubuntu eens kon uitproberen, moet hij nu al zijn computer openmaken. Ik heb het gevoel dat het uitproberen hierbij zal stoppen. Ook keys toevoegen (overtypen) in je UEFI lijkt mij niet echt iets dat de meeste mensen als gebruiksvriendelijk ervaren, terwijl de huidige Ubuntu installatie dit wel is. Ik ken anders wel wat mensen die Ubuntu gebruiken maar verder echt geen hackers/tweakers zijn.

Wat mij betreft is het eigenlijk een bijzonder lepe manier van Microsoft om mogelijke concurrentie zoveel mogelijk aan de kant te zetten: Je kan immers niet zeggen: "Evil Microsoft: ze belemmeren alle concurrentie. Neelie doe hier iets aan!!!" Nee hoor: MS houdt alle deuren open, alleen weet niemand zonder grondige kennis die deuren zijn.

*jan met de ICT-pet = Jan met de pet, maar dan met een bovengemiddelde computerkennis.

Eloy @Verwijderd • 30 oktober 2011 14:40

En als nou eens je garantie vervalt als je je pc open maakt?!

Dreamvoid

Microsoft Windows 8

@Sfynx • 30 oktober 2011 13:46

Waar haal je dat vandaan?

logion 30 oktober 2011 12:12

Voor iedereen die op zoek is naar die petitie: kijk eens op de site van FSF, meer bepaald hier: http://www.fsf.org/campai...restricted-boot/statement

!nFerNo 30 oktober 2011 13:24

Ik lees het hier verschillende malen dat bepaalde (kleine) distro's geen keys kunnen aankopen en daarmee dus uit de boot vallen. Er wordt ook gezegd dat het probleem kan voorvallen bij grote distro's wanneer je zelf de kernel gaat bakken. Hier ga ik dus van uit dat de keys niet gekoppeld worden aan de distro's maar wel aan de kernel. Kan de Linux foundation dan geen keys aankopen per kernel die ze uitgeven? Ze zullen hier nmi wel genoeg geld voor kunnen ophalen om bij de stable releases telkens een nieuwe key bij aan te kopen. Dan kan iedereen die die kernel gebruikt in eender welke distro er gelijk mee aan de slag. Ik weet trouwens niet hoe zo'n UEFI zo'n key gaat controleren met een geinstalleerde kernel. Hoe wordt dit gecheckt? Als het toch op eoa manier de versie kan controleren, is het dan niet mogelijk om enkel naar de major versie te kijken zodat mensen die zelf aanpassingen aan de kernel doen toch nog de major key kunnen gebruiken op hun minor changes?

Ik kan het mij vast ook voorstellen dat er wel iets zal komen dat een kernel zich identificeerd als Windows, waardoor je gewoon een key van Microsoft kan gebruiken.

Stoney3K @!nFerNo • 30 oktober 2011 15:57

Ik lees het hier verschillende malen dat bepaalde (kleine) distro's geen keys kunnen aankopen en daarmee dus uit de boot vallen. Er wordt ook gezegd dat het probleem kan voorvallen bij grote distro's wanneer je zelf de kernel gaat bakken. Hier ga ik dus van uit dat de keys niet gekoppeld worden aan de distro's maar wel aan de kernel. Kan de Linux foundation dan geen keys aankopen per kernel die ze uitgeven? Ze zullen hier nmi wel genoeg geld voor kunnen ophalen om bij de stable releases telkens een nieuwe key bij aan te kopen. Dan kan iedereen die die kernel gebruikt in eender welke distro er gelijk mee aan de slag. Ik weet trouwens niet hoe zo'n UEFI zo'n key gaat controleren met een geinstalleerde kernel. Hoe wordt dit gecheckt? Als het toch op eoa manier de versie kan controleren, is het dan niet mogelijk om enkel naar de major versie te kijken zodat mensen die zelf aanpassingen aan de kernel doen toch nog de major key kunnen gebruiken op hun minor changes?

Die keys zijn afhankelijk van de (hash van) de binary de je wil starten. Als je daar één byte van verandert dan is de hash anders, en zal de sleutel dus niet meer geldig zijn.

Het probleem met Linux is dat veel drivers en low-level spul wat hardware-afhankelijk is, wel in de binary van de kernel zit gebakken. Een 'standaard-kernel' bestaat er voor Linux in veel mindere mate dan dat ie er voor Windows is.

Sterker nog, de enige binary die gecontroleerd zal worden in het geval van Windows is de bootloader (NTLDR), die op zijn beurt weer de kernel (%SystemRoot%\SysWOW64\NTKRNLPA.EXE) zal controleren, maar dit is alweer 100% in handen van de lokale code van Microsoft. Bovendien is die kernel voor alle Windows-installaties hetzelfde, en worden alle stuurprogramma's apart geladen.

Met Linux zijn ze nog altijd hard bezig om van één monolithische kernel naar een modulair systeem te gaan, ook omdat er steeds meer hot-swappable hardware komt en omdat mensen sneller hun systeem upgraden. Waarschijnlijk dat Secure Boot dit proces nog wel eens kan versnellen.

Wat ze ook kunnen doen is een bootstrap-truc waardoor je (net als in Windows) één key kan gebruiken voor je bootloader die dan weer elke willekeurige Linux-kernel kan starten. Die kun je op zijn beurt weer met eigen tools signen die door de Linux Kernel Foundation worden uitgegeven, zo kan iedereen wel een (gesignde) kernel compilen maar heeft malware van een derde partij nog altijd geen kans.

Een ander idee is zoals ze in GNU/Hurd gebruiken: Een zo klein mogelijke kernel maken en bijna alle hardware-sturing afhandelen in de userspace die het nodig heeft, of via een set programma's (servers) in system-space. Dit is een stuk vergelijkbaarder met het driver-model zoals Windows het ook hanteert.

MadEgg

Besturingssystemen

@Stoney3K • 31 oktober 2011 09:05

Wat ze ook kunnen doen is een bootstrap-truc waardoor je (net als in Windows) één key kan gebruiken voor je bootloader die dan weer elke willekeurige Linux-kernel kan starten. Die kun je op zijn beurt weer met eigen tools signen die door de Linux Kernel Foundation worden uitgegeven, zo kan iedereen wel een (gesignde) kernel compilen maar heeft malware van een derde partij nog altijd geen kans.

Maar doet het dat niet nu ook al? Er wordt toch eerst een bootloder als grub of lilo geladen die vervolgens een geselecteerde kernel uit de lijst start? Zou je er dan mee wegkomen om alleen grub te laten signen? Maar dan gaat het idee van secure boot een beetje verloren; NTLDR kan je ook instellen om bv van een andere partitie te booten die je zojuist hebt geinfecteerd met malware...

Dreamvoid

Microsoft Windows 8

@!nFerNo • 30 oktober 2011 13:33

Dat zou betekenen dat zo'n kernel is gesigned met een (gestolen) certificaat van Microsoft. Dat zie ik niet snel gebeuren.

roy-t @Dreamvoid • 30 oktober 2011 14:14

Lees alsjeblieft wat Secure Boot is. MS is niet de ontwikkelaar van de UEFI standaard, niet de enige ontwikkelaar van de secure-boot in UEFI en MS maakt geen BIOS-en. MS zal helemaal niets met de uitgifte van certificaten te maken hebben.

Dreamvoid

Microsoft Windows 8

@roy-t • 30 oktober 2011 14:38

O jawel - UEFI en SB zijn allemaal open standaarden die door de mobo maker worden geimplementeerd. Maar om een bepaald OS te laden moet de certificaat geinstalleerd waarmee dat OS ook is gesigned - en voor een MS OS dus ook een MS certificaat. Voor Google ChromeOS moet Google's certificaat erin, etc.

Een Linux kernel signen alsof het Windows is, dat zal alleen maar met een Microsoft certificaat kunnen.

TunefulDJ_Mike @!nFerNo • 30 oktober 2011 13:50

De Keys kunnen niet in de open-source code gezet worden omdat ze niet bekend mogen worden, oftewel dan moet je de kernel closed-source gaan maken maar dat gaat niet onder de GPL Licentie.

Dreamvoid

Microsoft Windows 8

@TunefulDJ_Mike • 30 oktober 2011 14:13

Je kan gewoon GPL code signen met een (geheime) key. Sterker nog, signen met een geheime key gebeurt bij elke SSL verbinding, het is de basis van vrijwel alle beveiliging op computergebied. Dat heeft verder niks met open of closed source software te maken.

Er zijn al jaren discussies over geweest, Linus himself heeft geen problemen met code signing en het verbod erop is inmiddels ook al uit de GPLv3 draft gehaald.

[Stallman] calls it "tivoization", but that's a word he has made up, and a term I find offensive, so I don't choose to use it. It's offensive because Tivo never did anything wrong, and the FSF even acknowledged that. The fact that they do their hardware and have some DRM issues with the content producers and thus want to protect the integrity of that hardware.
The kernel license covers the *kernel*. It does not cover boot loaders and hardware, and as far as I'm concerned, people who make their own hardware can design them any which way they want. Whether that means "booting only a specific kernel" or "sharks with lasers", I don't care.

De Linux kernel zit op v2 en valt er dus sowieso niet onder. Grub daarentegen - dat weet ik niet zo zeker.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 03:11]

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Dreamvoid • 30 oktober 2011 16:50

"tivoization" is wat specifieker dan gesignde code, en is hier wel enigzins van toepassing.
Het gaat om een apparaat (de Tivo) dat alleen werkt met code die gesigned is en in dit geval gaat het dan om GPL code. Tivo biedt netjes de broncode aan en die kan je bekijken en aanpassen. Maar je kan je eigen aanpassing niet gebruiken, want daar is een digitale handtekening voor nodig. Ondanks dat je de code hebt, het recht om die code te gebruiken en de juiste hardware, kun je er nog niks mee.

Tijger @CAPSLOCK2000 • 30 oktober 2011 23:42

Leuk maar Linus Torvalds is het niet met je eens, zullen we wedden dat Linus het wint als het om toepassing gaat?

latka @!nFerNo • 30 oktober 2011 13:42

1) Waarom zouden ze?
2) De kernel is tailor-made (er zijn miljarden mogelijkheden, driver in de kernel of als loadable module): dure hobby
3) Naar wie gaat dat geld toe dan? Beetje zinloze investering.

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@!nFerNo • 30 oktober 2011 15:01

1. Voor zover ik weet kun je geen key kopen. Er is geen centrale authoriteit. Je moet alle mobo-fabrikanten overtuigen om jouw key op te nemen.

2. Zo'n key heb je nodig voor ieder stuk software op je computer dat je veilig wil draaien. Dus op z'n minst je bootloader en de overige onderdelen van je OS.

3. Als de Linux Foundation zo'n key zou weten te regelen, dan kan alleen de Linux Foundation die key gebruiken. Iedereen zou z'n software dus naar de L.F. moeten opsturen om te laten tekenen. Dat is een onrealistische (en onwenselijke) beperking.

thepercival 30 oktober 2011 12:53

Microsoft zal uiteindelijk ten onder gaan door hun eigen keuzes met betrekking tot interoperabiliteit, standaardisatie, houding ten opzichte van concurrentie( o.a. op rechtsgebied) etc. Software is een gemeengoed en kan niet overleven op een andere manier. Commerciele bedrijven zullen zich vooral moeten richten op service, beheer, adverteren, etc.

De software wereld staat nog in de kinderschoenen en zal waarschijnlijk nooit stoppen met innoveren.

roy-t @thepercival • 30 oktober 2011 14:12

Ik weet niet waar je dit idee vandaan hebt maar zonder onderbouwing geloof ik op dit moment toch meer in de feiten (dat voor beide plek is). Zowel SaaS, als open-source als off-the-shelve heeft allemaal nut en verschillende voor en nadelen.

Wat betreft MS keuzes specifiek

-interoperabiliteit: programma's meer dan 15 jaar geleden geschreven werken vaak nog goed
-standaardisatie: Windows heeft een uitgebreid gedocumenteerde en gestandaardiseerde API en is voor thuisgebruikers de de-facto standaard wat betreft OS-en
-Houding t.o.v. concurrentie, die was erg slecht maar MS omarmt nu ook een deel de open-source gemeenschap. Natuurlijk voor eigen profeit (MS gaat niet mensen geld betalen om de concurrentie te laten winnen) maar met Hyper-V ondersteuning in Linux en grote open-source gemeenschappen als codeplex, ondersteuning voor ODT in MS Office en het browserkeuze scherm in Windows 7 (ok dat was deels verplicht) zijn ze toch goed bezig.

computerjunky 30 oktober 2011 13:11

waar maken we ons druk over als ik niet kan instaleren wat ik wil op de door mij gekochte hardware stuur ik het regelrecht terug als het niet expliciet vermeld is, garantietermijn of niet.
iets wat je koopt moet werken zoals je mag verwachten en daar hoord software keuze dus bij tenzij anders vermeld (en dan kopen we het gewoon niet)

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@computerjunky • 30 oktober 2011 15:17

Wij Tweakers kopen het niet, maar de rest van de bevolking wel en voor je het weet heb je niks meer te kiezen.

De DVD-speler hebben we ook massaal gekocht, ondanks de beveiliging. Het Apple-spul wordt ook als zoete koek geslikt, ondanks de enorme technologische beperkingen. HDMI en BlueRay zijn ook nog niet geflopt.
Als je deze technieken niet koopt, wat voor alternatieven heb je dan nog (en kom niet met videobanden aan)?

Stoney3K @CAPSLOCK2000 • 30 oktober 2011 16:26

Wij Tweakers kopen het niet, maar de rest van de bevolking wel en voor je het weet heb je niks meer te kiezen.

De DVD-speler hebben we ook massaal gekocht, ondanks de beveiliging. Het Apple-spul wordt ook als zoete koek geslikt, ondanks de enorme technologische beperkingen. HDMI en BlueRay zijn ook nog niet geflopt.

Het verschil is dat DVD, HDMI en BluRay niet weigeren af te spelen als je er onbeveiligde content in stopt. Daar wordt (gelukkig!) nog niet van te voren ervanuit gegaan dat het om een gekopieerde film gaat en niet om jouw prachtige nieuwe home-video, die je natuurlijk nooit zou kunnen beveiligen met een 'goedgekeurde' sleutel.

Dat zou straks wel het geval zijn met het hele Secure Boot-verhaal. Als je dan een binary wil starten die onbeveiligd is (en dus door de fabrikant van jouw BIOS niet vertrouwd wordt) dan kun je inpakken.

Het is dus zo dat er straks iemand anders gaat bepalen welke programma's jij wel en niet zou mogen starten op je eigen PC -- en vraag je dan eens af hoe betrouwbaar zo iemand anders uiteindelijk is? Heeft die 100% het beste met iedereen voor of zal ie toch nadruk leggen op zijn eigen (commerciële) belangen?

Zou zoiets met elk ander platform gebeuren, zeg bijvoorbeeld een auto, dan is ineens de wereld te klein als BMW zou bepalen dat je er alleen originele BMW velgen onder mag monteren en geen BBS lichtmetalen velgen die je zelf mooier vindt, of de autoradio vervangen omdat jouw exemplaar mooier klinkt, waarna de wagen dus doodleuk weigert nog te starten.

Als ik er zelf als gebruiker controle over hou, dan is er niets aan de hand. Met dien verstande dat gebruikers moeten weten wat ze aan het doen zijn, wat er nog al eens aan scheelt en blind op 'Installeer maar, ik wil gewoon dat het werkt!' geklikt wordt, met soms catastrofale gevolgen van dien. Maar die controle uit handen geven aan grote commerciële partijen is niet de oplossing, dan kun je namelijk net zo makkelijk een domme Citrix-terminal naar een grote mainframe huren.

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Stoney3K • 30 oktober 2011 16:39

In theorie heb je gelijk, deze techniek ontneemt je nog meer zeggenschap, maar in praktijk zie ik het anders. De beveiliging op DVD enzo is tegen kopieren gericht. Mensen willen kopieren, het is iets dat ze vaak doen, een film kunnen kopieren wordt door consumenten als voordeel gezien. Toch kopen consumenten dit soort apparatuur.
Secureboot heeft (op korte termijn) veel minder invloed op wat consumenten met hun apparatuur kopen, Windows doet het toch wel. Daarom verwacht ik eigenlijk geen enkele weerstand van consumenten. Het kan ze niks schelen.

computerjunky @CAPSLOCK2000 • 31 oktober 2011 18:23

het kan geen kwaad als de rest van de bevolking ook eens gaan onderzoeken wat ze nou precies kopen zodat er een vooruitgang komt ipv valse voorlichtingen en trendhoppen naar minderwaardige producten en ga zo maar door.

als iedereen wat beter onderzoek doet naar de prestatie enzovoort van wat ze kopen verdwijnen minderwaardige producten van de markt of worden ze een stuk goedkoper waardoor prijs weer een meetgraat is voor kwalitijd van het product wat nu helaas niet meer het geval is.

10+ jaar geleden was iets duurders vaak beter nu kan je iets duurders kopen en iets slechters krijgen.
dis is mogelijk gemaakt foor mensen die liever met de meute meehollen dan te weten wat ze kopen wat het voor de rest van de consumenten slechter gemaakt heefd.

[Reactie gewijzigd door computerjunky op 25 juli 2024 03:11]

mutley69 30 oktober 2011 20:13

Voor hen die denken dat het niet iets vreselijks is - het is iets vreselijks. Nl. de volgende stap gaat zijn dat er een ID zich in de chipset ipv. de CPU - en dan men daaraan vb. het OS zal koppelen. Combineer dat met secure UEFI - en u weet het wel zeker?

Maw. er zijn teveel tekenen die wijzen naar een terugkeer van de mini's en de mainframes - supergesloten werelden - duur om aan elkaar te koppelen - en toch wordt de consument niet wakker! Tijd om ze een geweten te schoppen lijkt me!

Stoney3K @lappro • 30 oktober 2011 23:45

Zal ik het dan even voor je vertalen in iets wat leesbaarder is?

Het uiteindelijke doel van "Trusted" computing is dat de fabrikant volledige controle heeft over wat jij, als end-user, op je machine installeert en er aan vast knoopt.

In de jaren 70 en 80 hadden we enorme machinekamers vol met mainframes staan, waar terminals aan hingen waarop de gebruikers relatief weinig konden doen, behalve de software (die er al op stond) gebruiken. Installeren en upgraden was geen sprake van, dat werd allemaal geregeld door de automatiseringsafdeling en een legertje systeembeheerders.

Nu is het hele idee van 'Trusted' een beetje een wassen neus. Want voor de gebruiker (consument) die zijn zuur verdiende geld in een nnieuwe PC heeft gestoken heeft het bijna geen voordeel -- als het aan de Trusted Computing aanhangers ligt gaat de fabrikant voor jou bepalen welke software je p je PC mag zetten, welke add-on kaarten je er bij mag steken en straks zelfs welke muziek, films en games er wel of niet op de HDD mogen.

"Trusted" slaat dus, in de vertaling van het woord, ook alleen op het feit dat we verwacht worden de fabrikanten blind te vertrouwen. Van de andere kant is er geen enkel vertrouwen in de gebruikers vanuit de fabrikanten toe. Waar er in de jaren 90 nog aardig wat hobbyisten serieus werden genomen omdat ze bol stonden van de achtergrondkennis, is de houding nu weer aan het verschuiven naar grote beheerders (de fabrikanten) en domme gebruikers.

Van de ene kant valt het te beargumenteren. Computers zijn dusdanig toegankelijk geworden dat Henk en Ingrid zelf programma's kunnen installeren en er iemand de rommel op moet ruimen als het de soep in draait. Wie gaan ze in zo'n geval bellen? De technische ondersteuning van de fabrikant natuurlijk, die alleen maar kan zeggen 'eigen schuld, dan had je maar niet zoveel meuk erop moeten zetten'.

Vergeet alleen niet dat je PC volbouwen met meuk nog altijd je eigen keus is. Je hebt het ding immers gekocht en niet gehuurd van Dell, die over 2 jaar denkt dat je die tekstverwerker toch niet meer nodig hebt. ("We are currently conducting maintenance on your computer. Please be patient.")

Ik heb zelf de instelling dat als er iemand verkondigt "Geen paniek, vertrouw mij maar, ik heb alles onder controle!" er bij mij juist alle nekharen overeind gaan staan.

tinoz 30 oktober 2011 12:08

Het zou toch wat wezen dat Microsoft bepaald welk besturingssysteem je kan installeren...

weggemod???

[Reactie gewijzigd door tinoz op 25 juli 2024 03:11]

Dannisi @tinoz • 30 oktober 2011 12:14

Maar het is toch helemaal niet de schuld van MS? De UEFI specs zeggen hoe de certificaten werken. Als de moederbord bouwers de optie om secure-boot uit te schakelen niet in de 'bios settings' opnemen, is dat toch niet de schuld van MS?

WCas @Dannisi • 30 oktober 2011 12:59

Maar MS heeft de OEMs gezegd, dat secure boot aan moet staan willen ze er standaard Windows 8 op mogen zetten, en ook nog een meetellende factor is dat ze vervolgens niets hebben gezegd over een mogelijkheid het weer uit te zetten, waardoor sommige fabrikanten het uitzetten niet in de EFI gaan programmeren (minder werk), en je dus geen Linux kan booten.

Loller1

Microsoft Windows
Besturingssystemen
Microsoft Windows 8
Microsoft

@WCas • 30 oktober 2011 13:27

Maar dat is niet de schuld van Microsoft maar de luiheid van die fabrikanten.

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Loller1 • 30 oktober 2011 14:53

Het is niet hun schuld, maar ze zijn wel mede-verantwoordelijk. Hun invloed is zo groot dat ze zich daar niet aan kunnen onttrekken.

De olie-industrie krijgt ook niet de schuld van milieuvervuiling, het is niet hun doel om olie in zee te lekken en CO2 de lucht in te pompen, maar ze zijn wel degelijk mede verantwoordelijk.

Tijger @CAPSLOCK2000 • 30 oktober 2011 23:35

Leg eens uit waarom het enige product tot op heden getoond met Windows 8 dan een UEFI bios had waar op secure boot gewoon uitgezet kon worden?

Of past dat niet in het FUD plaatje?

roy-t @WCas • 30 oktober 2011 14:01

Dus MS vraagt om een bepaalde beveiligingmaatregel aan te zetten (goh) en dus is het MS schuld als OEMs daarna vergeten om die ook te kunnen laten zetten?

Blokker_1999

Besturingssystemen
Microsoft Windows
Linux
Microsoft
Netwerk en systeembeheer
Open source
Microsoft Windows 8

@Dannisi • 30 oktober 2011 12:53

Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten om secure boot niet uitschakelbaar te maken. De korting die OEMs krijgen van MS is immens, zij betalen slechts enkele tientallen dollars per licentie, nog niet de helft van wat U en ik moeten betalen voor een OEM licentie. MS kan beslissen om de prijs aanzienlijk te verhogen indien secure boot kan uitgeschakeld worden.

Ook de logo programmas kan MS gebruiken om OEMs te dwingen. Geen niet-uitschakelbare secure boot betekend geen erkenning van de PC als Windows compatible/certified. Voor de thuisgebruiker minder belangrijk, in de bedrijfswereld wel.

En hoe komen deze specs in UEFI? Zeker van dat het idee niet uit de MS hoek komt? Vergeet niet dat MS al in de jaren 90 bezig was om, samen met Intel, de illegale Windows installaties op een hardwarematige manier tegen te gaan. 1 van de mogelijkheden toen was om de PC eerst via internet te laten vragen of Windows wel gestart mag worden.

Dreamvoid

Microsoft Windows 8

@Blokker_1999 • 30 oktober 2011 14:22

Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten om secure boot niet uitschakelbaar te maken.

Hoe kunnen ze dat verplichten? Hooguit kunnen ze weigeren om hun "Microsoft approved" stickertje op een mobo te laten zetten, maar verder mogen OEMs doen wat ze willen.

Stoney3K @Dreamvoid • 30 oktober 2011 17:48

[...]

Hoe kunnen ze dat verplichten? Hooguit kunnen ze weigeren om hun "Microsoft approved" stickertje op een mobo te laten zetten, maar verder mogen OEMs doen wat ze willen.

Nog simpeler: Als jullie als OEM-bouwers Secure Boot niet uitschakelbaar maken, krijg je 50% korting op je OEM-licenties.

In het opstarttraject zullen ze misschien zelfs licenties kado gaan geven aan OEMs die Secure Boot adopteren en gelijk alléén Windows als toegestane binary opnemen. Begint het al als vendor lock-in te ruiken?

Tijger @Stoney3K • 31 oktober 2011 01:06

In jouw fantasie wereld, ja.

Ten eerste downgraden veel bedrijven hun pc's naar eigen images en geen enkele oem wil die kwijt en ten tweede, het levert Microsoft geen ruk op, de oem licenties worden toch wel verkocht.

[Reactie gewijzigd door Tijger op 25 juli 2024 03:11]

Zer0 @Blokker_1999 • 30 oktober 2011 16:00

Neen, maar het is wel MS dat onder meer OEMS kan gaan verplichten

Dat zouden ze misschien wel kunnen, maar doen ze het werkelijk?
Ik kan je ook in je gezicht slaan, maar je kunt daar pas over gaan klagen als ik er mee dreig of het daadwerkelijk doe.

roy-t @Blokker_1999 • 30 oktober 2011 14:00

Ehm, ja en OEMs krijgen ook geld om een virusscanner te installeren die 30 dagen werkt. Toch kan je deze er nog steeds af halen en vervangen door een gratis variant

Wolfos @Dannisi • 30 oktober 2011 12:18

Nou ja... Het is een leuke bijkomst voor Microsoft, dus het zou niet heel onwaarschijnlijk zijn dat dat ook hun bedoeling is geweest.
Ik weet het niet hoor, maar het komt wel leuk voor ze uit...

Microsoft kan gewoon niet eerlijk concurrentie voeren door een beter OS te maken, Microsofts producten zijn meestal "goed genoeg", maar nooit goed.

"Het is niet Microsofts schuld"? Nee, als ik met een voorstel komt die 2 dingen doet:
1. de computers beter beveiligen
2. de concurrent volledig verpletteren
dan is nummer 2 niet mijn schuld?

[Reactie gewijzigd door Wolfos op 25 juli 2024 03:11]

Gomez12 @Wolfos • 30 oktober 2011 12:47

Welke concurrentie wordt er dan compleet verpletterd?

Linux-distro's kunnen gewoon keys kopen als ze dat zouden willen.
Enkel thuis-distro's / hobbyisten distro's kunnen waarschijnlijk geen key kopen, maar dat is omdat ze niet te onderscheiden zijn van malware makers.

farlane @Gomez12 • 30 oktober 2011 13:07

En waarom zou eender welke organisatie het recht hebben om mij het onmogelijk te maken om met mijn PC te gaan hobbyen? Elk greintje recht dat je nu weggeeft aan welke organisatie dan ook heb je nog lang niet terug.

Zer0 @farlane • 30 oktober 2011 15:58

En waarom zou eender welke organisatie het recht hebben om mij het onmogelijk te maken

En welke organisatie doet dat werkelijk. Microsoft heeft al aangegeven dat ze daar geen interesse in hebben.

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Gomez12 • 30 oktober 2011 14:45

Nee, dat kan niet. Je kan geen key kopen. Je moet moederbord fabrikanten vragen om jouw key op te nemen. En je zal dus alle mobo fabrikanten in de wereld moeten gaan overtuigen.

i-chat

Open source
Linux

@CAPSLOCK2000 • 30 oktober 2011 16:37

en jij denkt dat dat feitelijk veschillend is dan een key komen... lees:

conical: dell wilt u ook ubuntu ondersteunen, -
dell: ja hoor, dat is dan 20.000 euro per toegevoegde key - deze key voegen we dan toebij alle volgende bios uitgaven... tussen tijds patchen kan ook maar dat kost dan 5000euro per key per bios versie extra en kan alsnog alleen voor moederborden die niet EOL zijn... wil u ook eol mobo's key updates geven... dan doen we dat voor 1m per key per bios...

(bedragen zijn fictief)...

maar nee hoor, je zult keys niet hoeven 'komen' je moet alleen met een hele smak geld dell overtuigen... en denk maar niet dat het bij hp, acer, msi, sony, toshiba of lenovo anders zal gaan...

Wolfos @Gomez12 • 30 oktober 2011 12:57

Zoals ik hieronder zei, het is nogal eens nodig om je kernel te recompilen, en dan is de key niet meer geldig. Moet je dan ook een key gaan kopen?
Als je voor Linux meer moet betalen dan voor Windows dan vrees ik dat voor veel mensen de keuze snel gemaakt is.

[Reactie gewijzigd door Wolfos op 25 juli 2024 03:11]

Xenan @Wolfos • 30 oktober 2011 19:21

het is nogal eens nodig om je kernel te recompilen

Volgens mij blijven hierom de meeste mensen bij Windows.

erikdenv @Xenan • 30 oktober 2011 21:46

Als je een binary distro (Ubuntu, Suse) gebruikt hoef je eigenlijk nooit zelf een kernel te compilen.
Ik gebruik zelf Gentoo en daar moet je je eigen kernel compilen maar dat is een distro waar je (net als bij arch) er zelf voor kiest om dit soort handelingen te doen.

Stoney3K @Gomez12 • 30 oktober 2011 15:06

Welke concurrentie wordt er dan compleet verpletterd?

Linux-distro's kunnen gewoon keys kopen als ze dat zouden willen.
Enkel thuis-distro's / hobbyisten distro's kunnen waarschijnlijk geen key kopen, maar dat is omdat ze niet te onderscheiden zijn van malware makers.

Dus met andere woorden: Omdat je zelf software schrijft en er geen geld tegenaan kan gooien om één of ander bedrijf te sponsoren zodat ze je binaries 'goedkeuren' ben je zonder pardon maar een hackertje dat virussen schrijft.

Een beetje een hypocriete instelling van de Secure Boot Foundation en het doet me denken aan de 'tests' van de Windows Hardware Quality Labs, die niks anders inhouden dan een berg geld aan Microsoft betalen zodat je driver in Windows geladen mag worden en je een stickertje op de doos mag plakken.

Het gaat totaal niet om afdwingen van kwaliteit van software, maar puur om één ding: geld. De Secure Boot Foundation verdient er bakken met geld mee als moederbord-fabrikanten 'vergeten' om de optie in het BIOS-scherm te zetten die Secure Boot uitschakelt.

albatross @Gomez12 • 30 oktober 2011 19:14

Welke concurrentie wordt er dan compleet verpletterd?

Linux is gratis, Windows beslist niet. Met andere woorden, alleen MS heeft het geld om grote moederbord fabrikanten te paaien om hun keys op te nemen in de BIOS. Daarmee, onder het mom van 'security', vormt MS direct een grote bedreiging voor alle gratis open source OS'en.

LollieStick @Gomez12 • 30 oktober 2011 14:07

Ze kunnen een key kopen ja, maar het mag niet.

Dannisi @Wolfos • 30 oktober 2011 12:26

Ach..iedereen gaat nu helemaal los, maar het gaat alleen voor OEMS die een mooie MS sticker willen. Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?

TunefulDJ_Mike @Dannisi • 30 oktober 2011 12:57

dus als ik een laptop koop, vaak een OEM Systeem kan ik geen linux meer installeren, dat is toch redelijke vorm van concurrentie vervalsing.

roy-t @TunefulDJ_Mike • 30 oktober 2011 13:59

FFS dit is het derde artikel over secure boot en nog steeds posten er mensen die zich er totaal niet in verdiept hebben.

Secure boot bied de mogelijkheid om alleen software te starten die signed is. Dit staat in de UEFI specificatie en heeft niets met MS te maken. MS wil met Windows 8 deze security standaard ook ondersteunen en dus krijgt Window 8 een key en kan er secure geboot worden naar Windows 8.

Grote Linux distributies als Red Hat en Ubuntu kunnen ook prima zo'n key aanvragen, niets aan de hand. Het enige probleem is dat jij je eigen hercompilatie niet zelf kan signen en dat niet elke distributie groot genoeg zal zijn om telkens zo'n key te krijgen dus dan is het een probleem. De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.

De Linux Foundation heeft in het begin zoveel paniek veroorzaakt hierover (en dat vooral gericht tegen aardsvijand MS) dat iedereen denkt dat er wat vreselijks aan de hand is. In het rapport van oa Red Hat werd veel minder gepaniekerd. de Linux Foundation is op dit moment ook tot inkeer gekomen en nu willen ze alleen dat secure boot in de bios van OEM pcs uit kan, that's it!

Dus het hele verhaal is een storm in een glas water en een vinger de verkeerde richting op! Even controleren of OEMS wel zo'n uit setting willen implementeren was alles dat nodig was geweest.

albatross @roy-t • 30 oktober 2011 18:41

De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.

(...)

De Linux Foundation is op dit moment ook tot inkeer gekomen en nu willen ze alleen dat secure boot in de bios van OEM pcs uit kan, that's it!

Je hele argumentatie berust op een tegenstrijdigheid: aan de ene kant zeg je dat 'de oplossing heel simpel is', want Windows 8 zal ook wel booten zonder secure boot, en aan de andere kant geef je toe dat de mogelijkheid tot het uitzetten van secure boot nog helemaal geen uitgemaakte zaak is. Met andere woorden: de Linux Foundation doet er dus wel degelijk goed aan, rechtsom of linksom, om er voor te pleiten dat hetzij secure boot uitgezet kan worden, hetzij er een transparante en eerlijk toegankelijke manier komt voor alle spelers in de OS markt om een key bij de fabrikant van moederborden te krijgen.

trogdor @albatross • 30 oktober 2011 22:37

MS zegt dat windows8 zal booten als secure boot uitstaat.
Maar a: voor hoe lang blijft dat zo
b: is dat de volledige windows 8 of een soort safe-mode

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@roy-t • 30 oktober 2011 14:44

Grote Linux distributies als Red Hat en Ubuntu kunnen ook prima zo'n key aanvragen, niets aan de hand. Het enige probleem is dat jij je eigen hercompilatie niet zelf kan signen en dat niet elke distributie groot genoeg zal zijn om telkens zo'n key te krijgen dus dan is het een probleem.

Hoe? Waar? Bij wie? Er is geen centraal punt om je keys te laten registreren. Je zal iedere moederbord fabrikant moeten gaan vragen om jouw keys op te nemen. Zelfs RedHat en Ubuntu zie ik niet in staat om alle moederbord-fabrikanten te overtuigen. Een paar fabrikanten zal wel lukken maar nooit allemaal. Daarmee wordt de keuzevrijheid voor gebruikers van andere OS'en een stukje kleiner.

De oplossing is ontzettend simpel. Je gaat naar de bios en je zet de optie force secure-boot uit. Zelfs met een dual-boot opstelling gaat dit werken aangezien MS al aangegeven heeft dat Windows 8 ook zal booten als secure boot uit staat.

Maar ik wil secure boot helemaal niet uit zetten. Het is een ontzettend nuttige feature. Ik wil alleen zelf kunnen bepalen welke keys worden goedgekeurd en welke niet.

Sterker nog, ik verwacht (nee, hoop) dat bedrijven zoals banken gaan eisen dat het gebruikt wordt. Bij het telebankieren wil ik graag (alleen) gesignde binaries draaien. Als ik daarvoor steeds eerst naar m'n BIOS moet gaat de lol er snel af. In praktijk is dat voor de meeste mensen een te grote drempel.

Overigens oefent MS wel degelijk druk uit om Secure Boot aan te zetten. Als het by default uit staat mag je niet zeggen dat je computer Windows-compatible is.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 03:11]

Gomez12 @CAPSLOCK2000 • 30 oktober 2011 14:52

[...]
Hoe? Waar? Bij wie? Er is geen centraal punt om je keys te laten registreren. Je zal iedere moederbord fabrikant moeten gaan vragen om jouw keys op te nemen. Zelfs RedHat en Ubuntu zie ik niet in staat om alle moederbord-fabrikanten te overtuigen. Een paar fabrikanten zal wel lukken maar nooit allemaal. Daarmee wordt de keuzevrijheid voor gebruikers van andere OS'en een stukje kleiner.

Ehm, MS kan ze wel allemaal vinden, maar Red Hat / Ubuntu niet?
Sterk verhaal...

[...]
Sterker nog, ik verwacht (nee, hoop) dat bedrijven zoals banken gaan eisen dat het gebruikt wordt. Bij het telebankieren wil ik graag (alleen) gesignde binaries draaien.

Dan is er toch geen probleem? Oh nee, wacht je wilt een wassen neus hebben doordat je zelf keys wilt kunnen toevoegen... Waar denk je dat malware makers zich in 1e instantie op gaan richten, juist op dat mensen hun keys gaan toevoegen waardoor het hele idee een wassen neus geworden is.

Overigens oefent MS wel degelijk druk uit om Secure Boot aan te zetten. Als het by default uit staat mag je niet zeggen dat je computer Windows-compatible is.

Dat is toch geen probleem voor een computer die enkel voor linux gebruikt gaat worden...

CAPSLOCK2000

Linux
Netwerk en systeembeheer
Open source
Besturingssystemen
Microsoft Windows

@Gomez12 • 30 oktober 2011 15:10

Ehm, MS kan ze wel allemaal vinden, maar Red Hat / Ubuntu niet?
Sterk verhaal...

MS is zo groot dat ze het niet zelf hoeven te doen. Fabrikanten gaan naar MS toe om te vragen wat de keys zijn. Kijk maar hoe het gaat met drivers. Alle fabrikanten schrijven zelf drivers voor Windows terwijl Linux het allemaal zelf moet regelen.

Dan is er toch geen probleem? Oh nee, wacht je wilt een wassen neus hebben doordat je zelf keys wilt kunnen toevoegen... Waar denk je dat malware makers zich in 1e instantie op gaan richten, juist op dat mensen hun keys gaan toevoegen waardoor het hele idee een wassen neus geworden is.

Dan moet er maar een fysieke beveiliging op de computer zitten hiertegen. Een dipswitch die je moet omzetten voordat je nieuwe keys kan uploaden ofzo. Dat probleem is oplosbaar. Ook als het niet oplosbaar zou zijn dan blijft het mijn computer, ik wil bepalen wat het ding wel en niet doet.

Dat is toch geen probleem voor een computer die enkel voor linux gebruikt gaat worden...

Je snapt het niet. We gaan toe naar een wereld waarin computers by default alleen Windows kunnen draaien. Je moet ingewikkelde kunstgrepen doen (je BIOS veranderen) om daar iets aan te doen. Snel even een Ubuntu-live CD'tje booten kun je wel vergeten. Zo wordt het steeds moeilijker gemaakt om iets anders te draaien dan Windows.
Een markt die afhankelijk is van 1 fabrikant is slecht voor de ontwikkeling en slecht voor de gebruiker.
We moeten streven naar meer mogelijkheden en meer competitie, niet naar minder.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 03:11]

kluyze @CAPSLOCK2000 • 30 oktober 2011 17:57

Maar ik wil secure boot helemaal niet uit zetten. Het is een ontzettend nuttige feature. Ik wil alleen zelf kunnen bepalen welke keys worden goedgekeurd en welke niet.

Dan moet er maar een fysieke beveiliging op de computer zitten hiertegen. Een dipswitch die je moet omzetten voordat je nieuwe keys kan uploaden ofzo. Dat probleem is oplosbaar. Ook als het niet oplosbaar zou zijn dan blijft het mijn computer, ik wil bepalen wat het ding wel en niet doet.

Je moet ingewikkelde kunstgrepen doen (je BIOS veranderen) om daar iets aan te doen. Snel even een Ubuntu-live CD'tje booten kun je wel vergeten. Zo wordt het steeds moeielijker gemaakt om iets anders te draaien dan Windows.

Je spreekt jezelf tegen. Je wilt wel secureboot aan hebben, en je wilt er niet voor in je bios gaan om die uit te zetten want dat is te moeilijk voor de gemiddelde gebruiker.
En je wilt dat het wel te omzeilen valt want jouw oplossing is zoiets als een dipswitch in je pc die je moet omzetten zodat je gedownloade keys kunt inserteren.

1. De dipswitch in de pc schrikt de gemiddelde gebruiker inderdaad minder af als een bios setting

[/sarcasme]
2. Je wilt een goede beveiliging die gemakkelijk te omzeilen valt

Als je het te simpel te omzeilen maakt (eigen keys inserteren, simpel uit te zetten, ...) dan kan je het beter helemaal uit zetten. De gemiddelde huis/tuin/keuken gebruiker duwt zonder nadenken overal op 'yes' want het kan allemaal niet snel genoeg geïnstalleerd zijn. En gevorderde gebruikers kunnen wel een bios setting aanpassen.

[Reactie gewijzigd door kluyze op 25 juli 2024 03:11]

albatross @kluyze • 30 oktober 2011 18:52

1. De dipswitch in de pc schrikt de gemiddelde gebruiker inderdaad minder af als een bios setting [/sarcasme]

Je sarcasme ten spijt, een dipswitch zou een zeer goede oplossing wezen. Want dat garandeert dat het fysiek onmogelijk is voor een of ander virus om zelf zijn eigen keys te signen/installerern, maar staat de gebruiker van de PC wel toe dat zelf even om te zetten, wanneer ie er een OS bij wil prikken.

P.S. En iemand die met Linux om kan gaan, kan ook echt wel zijn kast openkrijgen om een dipswitchje te flippen.

Brahiewahiewa @albatross • 31 oktober 2011 01:57

P.S. En iemand die met Linux om kan gaan, kan ook echt wel zijn kast openkrijgen om een dipswitchje te flippen.

Juist! En daarmee reduceer je 't probleem tot de ca. 2% gebruikers, die Linux nu heeft.

Verwijderd @kluyze • 30 oktober 2011 21:11

Dus jij zegt dat bijv. als je een Live CD van Ubuntu in de CD speler stopt dat hij bij de gemiddelde BIOS meteen default van de CD boot? Dat denk ik niet. Je moet dan de boot order veranderen in de BIOS. Zelfde geval met Secure-Boot. Dus als ik als huis/tuin/keuken gebruiker niet weet hoe ik dat moet instellen, kan ik dus sowieso niet van CD starten omdat ik dus met die boot order zit.
Beetje jammer, vind je ook niet? Iedereen spreekt zich zelfs meerdere malen tegen. Gebruik eens een computer met UEFI. Dan kun je duidelijk zien dat, als je unsigned-code wil draaien met die secure-boot feature aan, dan krijg je een tekst te zien:

Your current security settings do not allow booting from this media.
Try switching Secure-Boot off in the SETUP menu
Press any key to restart...

Dus, wil je zeggen dat een boot order makkelijker is dan de secure-boot uitzetten die er zo'n beetje vlak onder staat?

MClaeys @Verwijderd • 31 oktober 2011 00:05

Meestal is de bootorder aan te passen zonder daadwerkelijk in de bios te moeten gaan. Bij mijn laptops is dat F9 voor bootorder, F10 voor bios. Lijkt me simpel om er F8 voor Enable/Disable secure boot bij te zetten. Die sneltoetsen zijn dan nog uit te schakelen in de bios ook voor als je ze nooit gebruikt en mensen hebben geen kennis van bios nodig

Wolfos @Dannisi • 30 oktober 2011 12:30

Ja, maar het moet toch niet zo zijn dat er gewoon geen alternatief meer is?
Als ik de keuze had gebruikte ik al lang geen Microsoft software meer, maar die keuze heb ik gewoon niet, die word voor me gemaakt.

[Reactie gewijzigd door Wolfos op 25 juli 2024 03:11]

Verwijderd @Wolfos • 30 oktober 2011 13:33

Die keus heb je wel, je wil hem alleen niet maken en je verlies te nemen op wat je dan niet kan.

Hetzelfde met de koop van een snelle of trage auto.

carnelain @Verwijderd • 30 oktober 2011 14:53

Het spijt me maar als je vervolgens met die trage auto niet op je werk mag komen dan is er iets mis.

Voorbeeld als chemie student heb ik te maken met veel specificieke software. Het mooie is dat bijna alle apperatuur aangestuurt wordt door linux. Echter bijna alle user interfaces zijn geschreven voor ms of mac (en zelfs mac is niet altijd ondersteunt). En ik moet mijn werk in bepaalde formaten aanleveren. Dus helaas pindakaas mijn laptop draait windows 7.

Zer0 @carnelain • 30 oktober 2011 15:53

Het spijt me maar als je vervolgens met die trage auto niet op je werk mag komen dan is er iets mis.

Ja, iets mis met je arbeidscontract. Als je baas wil dat je in een snelle auto rijd, dan moet hij daar voor zorgen.

Echter bijna alle user interfaces zijn geschreven voor ms of mac (en zelfs mac is niet altijd ondersteunt). En ik moet mijn werk in bepaalde formaten aanleveren. Dus helaas pindakaas mijn laptop draait windows 7.

Nog steeds jouw keuze, je hebt zelf voor die betreffende studie gekozen.

Mentalist @Zer0 • 31 oktober 2011 02:21

Nog steeds jouw keuze, je hebt zelf voor die betreffende studie gekozen.

Je hebt de keuze dus niet, want met veel doodnormale keuzes ben je opeens gedwongen om software van MS te gebruiken.

Dit zeggen is net zoiets als zeggen "in de gevangenis ben je volledig vrij, zolang je maar niet naar buiten wil".

Als je echt de keuze zou hebben dan zou hooguit bij een zeer specilistische opleiding/baan MS een vereiste zijn. Bijvoorbeeld bij een opleiding Windows-systeembeheer zal je er niet omheen kunnen. Maar dat het zelfs voor iets totaal ongerelateerds als chemie een vereiste is, dat is belachelijk. Een knap staaltje vendor lockin.

King4589 @Mentalist • 31 oktober 2011 09:52

Je hebt altijd nog de keuze om te dual booten dan heb je wel de keus gebruik je windows voor die school opdrachten en linux voor de rest

i-chat

Open source
Linux

@Verwijderd • 30 oktober 2011 15:02

je mag kiezen ademhalen en mij 25.000 euro per liter betalen, of .... je verlies nemen en dan maar niet ademhalen?

vind je het zelf niet ook een beetje rare keuze als ik hem zo stel... nu heb je een pc die onfhankelijk van de software dos, bsd, linux of andere... strax kan die zelfde pc alleen nog maar windows booten omdat de leveranciers van de bootsleutel enkel maar windows kent.

gaan we een stapje verder, de server van je bedrijf die ineens geen linux + apache meer kan draaien, omdat dell nu eenmaal rekening met windows sbs wilde houden... Lekker dan.. moet je dan voortaan altijd zelfbouw pc's gaan gebruiken voor je webserver?

laat ze dus op z'n minst een manier bieden om zelf keys te signen of dit door bijv een opensource partij te laten doen...

ravenamp @Verwijderd • 31 oktober 2011 09:00

Het zou toch wat wezen dat Microsoft bepaald welk besturingssysteem je kan installeren...

weggemod???

Ach, klets toch niet RutgerM, veel mensen hebben GEEN keus. Gamen is niet mogelijk op Linux (En kom niet met wine oid, want dat is gewoon GEEN goed werkend alternatief), MS Office, toch nog steeds wel de standaard op zakelijk gebied, werkt niet op Linux. Open/libre office is geen goed alternatief als je op professioneel niveau documenten moet publiceren, En linux is nog steeds te moeilijk in gebruik voor de huis- tuin- en keukengebruiker. Ik heb soms het idee dat de linux-tweakers hier niet begrijpen hoe weinig verstand 90% van de bevolking van computers hebben.
Zelf ben ik een voorstander van linux en gebruik het ook (juist wel) in zakelijk opzicht, als programmeur zijnde, maar prive gebruik ik nog steeds Windows, en dat is enkel en alleen voor het gamen.

!nFerNo @ravenamp • 31 oktober 2011 13:54

[Ach, klets toch niet RutgerM, veel mensen hebben GEEN keus. Gamen is niet mogelijk op Linux (En kom niet met wine oid, want dat is gewoon GEEN goed werkend alternatief),

Dat is het wel, ik gebruik Wine al jaren en meestal werken de dingen perfect die ik wil spelen. Id software o.a. geven altijd een Linux versie vrij van hun games. Gamen op Linux is dus een optie. Sinds ik PlayOnLinux ontdekt heb is het zelfs nog makkelijker geworden. Ik haal dezelfde framerates als op Windows. Toegegeven, er zijn dingen die niet met Wine te draaien zijn, maar ik heb evengoed soms problemen met games op Windows. Dit is eigenlijk zoals gamen op Mac, dat gaat ook niet altijd, maar mensen zijn er toch heel blij van. Of komt dat omdat ze er zoveel geld aan gegeven hebben en niet durven toegeven dat het een miskoop was?

MS Office, toch nog steeds wel de standaard op zakelijk gebied, werkt niet op Linux. Open/libre office is geen goed alternatief als je op professioneel niveau documenten moet publiceren,

Waarom is dat geen goed alternatief op professioneel vlak? Wat de mensen op mijn werk doen met Office kan perfect in LibreOffice. Ik kan hier best wel over oordelen aangezien we speciale document controllers in dienst hebben en per dag misschien wel duizenden documenten ontvangen/versturen en aanmaken. LibreOffice heeft andere opties om een document professioneel te publiceren. Dit is hetzelfde als Firefox en Chrome vergelijken. Beide laten zij webpages zien maar intern werken ze anders en hebben ze andere opties om het de gebruiker makkelijk te maken.

En linux is nog steeds te moeilijk in gebruik voor de huis- tuin- en keukengebruiker. Ik heb soms het idee dat de linux-tweakers hier niet begrijpen hoe weinig verstand 90% van de bevolking van computers hebben.

Linux is juist perfect voor huis-tuin- en keuken gebruik. Mailen, "internetten" en foto's opslaan. That's it. Daar hoef je geen extra software voor te installeren bij de gemiddelde distro. Het is pas wanneer ze specifieke eisen hebben dat ik de situatie bekijk en beslis om Windows te installeren. Ik hoor héél vaak "das allemaal hetzelfde". Vensters, een menu en een knop 'm hem af te zetten. Dat is universeel (voorlopig, nav Win8).

Zelf ben ik een voorstander van linux en gebruik het ook (juist wel) in zakelijk opzicht, als programmeur zijnde, maar prive gebruik ik nog steeds Windows, en dat is enkel en alleen voor het gamen.

Ik heb ook een Windows PC waar ik op game en die ik gebruik voor mijn werk, maar ik speel evengoed games op mijn laptop die Linux draait (SC2, Steam + L4D2 etc)

Crahsystor @Dannisi • 30 oktober 2011 12:34

En hoeveel mensen gaan voor het eerst eens met Linux knutselen op een afgedankte OEM PC? Ik ben het er mee eens dat het voor de 1e gebruiker meestal niet uitmaakt. Maar voor mensen die wat willen knutselen en daar geen compleet nieuw systeem voor willen/kunnen kopen maakt het wel uit.

Ik ben benieuwd wat het uiteindelijk gaat worden. Misschien komt er gewoon een uefi versie beschikbaar die geen secure boot heeft of anders ingesteld is. Zou ook een makkelijke manier zijn voor OEM's. Dan hoeven ze alleen een download beschikbaar te maken.

pkwarts @Dannisi • 30 oktober 2011 12:38

Iedereen die graag Linux (of BSD of Hurd of whatever) draait en een laptop wil?

Blokker_1999

Besturingssystemen
Microsoft Windows
Linux
Microsoft
Netwerk en systeembeheer
Open source
Microsoft Windows 8

@Dannisi • 30 oktober 2011 12:45

Wie zegt dat de last beperkd blijft tot OEM systemen? De dag dat MS Secure Boot verplicht steld voor elke installatie betekend dat dat je bij elke boot naar een ander OS deze eerst moet gaan uitschakelen in UEFI en als je daarna terug naar Windows wenst te gaan je deze terug moet inschakelen.

Tijger @Blokker_1999 • 30 oktober 2011 23:31

Ja en? Bij een Dell moet dat al jaren dus wat is je probleem precies?

Jeroen73 @Tijger • 31 oktober 2011 08:43

Omdat het bij een Dell al jaren moet, is het dus geen probleem? Omdat het huis van de overburen al in de fik staat is het geen probleem als jouw huis ook in de fik staat?

VisionMaster @Dannisi • 30 oktober 2011 13:37

Al mijn OEM pc's en laptops draaien geen Windows meer. Op mijn werk hebben we, omdat er niet anders geleverd kon worden, OEM desktops voorzien van Linux wanneer dit de voorkeur was. Op het werk zijn de machines zeer beslist nieuw.

Qalo @Dannisi • 30 oktober 2011 14:13

Dus als voorbeeld: Omdat Volkswagens nu eenmaal meer verkocht wordt dan Lamborghini's, moet dat exclusieve automerk maar verdwijnen, en moet iedereen VERPLICHT Volkswagen rijden, zonder zelf een keuze te mogen maken?

Even als voorbeeld, maar dat zou wel op hetzelfde neerkomen, gezien jouw opmerking. Dat slaat natuurlijk nergens op! We zijn niet in een Stalinistisch regime! Kom nou zeg! Het maakt niet uit dat 2% van alle PC-gebruikers iets anders gebruiken dan Windows. Het kan en mag niet zo zijn dat die keuze ontnomen wordt, en dat elke PC met één OS opgestart kan worden (in dit geval Windows). Dat is te absurd voor woorden, mijns inziens.

Secure Boot is prima op zich, maar het mag geen andere OS'en uitsluiten. Daar is SB in de eerste plaats ook helemaal niet voor bedoeld. Een ander OS dan Windows is per definitie geen ongewenste software, laat staan kwaadwillende software. Laat dat verschil even duidelijk zijn.

Als de ontwikkelaars van SB dat verschil niet kunnen maken, blijf dan maar bij het ouderwetse BIOS. Vooruitgang hoort verbetering te zijn, geen beperkende stilstand....

MClaeys @Qalo • 31 oktober 2011 00:09

Net zoals het bij u voorbeeld niet Volkswagen is die beslist dat Lamborghini verboden is, is het hier ook niet Microsoft die SB verplicht. Ze ondersteunen het gewoon (stellen een key beschikbaar aan de fabrikanten).

Verwijderd @Dannisi • 30 oktober 2011 14:31

Iedereen die niet aan zelfbouw doen of een pc pas later op Linux zetten.
Mijn inschattings is dat dit minstens 50% van alle Linux gebruikers is.

Ik geef zelf regelmatig afgeschreven pc's een nieuw leven door ze te voorzien van Linux.
Iedereen die een goedkope server, multimediastreamer of NAS zoekt is daarbij gebaat.
O ja, allemaal legaal itt menig Windows gebruiker met FromtPage, Photoshop en Windows 64bits Pro.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 03:11]

Verwijderd @Dannisi • 31 oktober 2011 07:41

Ach..iedereen gaat nu helemaal los, maar het gaat alleen voor OEMS die een mooie MS sticker willen. Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?

Behoorlijk wat: 1 bedrijven die nu Linux gebruiken. 2: gebruikers die een tweedehands OEM pc kopen via hun werk bijvoorbeeld.

Ik moet ook eerlijk zeggen: welk nut heeft deze beveiliging? Welk risico loop ik, als eindgebruiker, niet meer als dit wordt geïmplementeerd? Ik heb liever dat Microsoft zich bezig houdt met een veiliger OS an sich dan een veiliger OS welke gebruik maakt van een hardware restrictie...

DummyXL @Dannisi • 30 oktober 2011 14:38

@denniskrol: ik bijvoorbeeld, draai ubuntu op een acer timeline met veel plezier. dus waarom niet.
Kon er makkelijk aankomen en het werkt. Windows zat erbij, ja das jammer die heeft de setup niet eens gehaald

daft_dutch @Dannisi • 30 oktober 2011 16:25

Hoeveel % van de mensen die een OEM pc kopen, zetten er achteraf linux op?

Na 5 jaar klagen was het voor 1 OEM over nadat Linux geïnstalleerd en uitgelegd was. Dus dat kan nog steeds met elke OEM pc met windows waar mensen over klagen. Want met Linux is het zo leuk dat je niet klaagt maar achter de fout kan komen. Of iemand anders het fixen via een ssh shelletje.

Nee bij Windows is het tegenwoordig zo dat je alleen al voor het succesvol voltooien van alle security updates een expert moet zijn. Voor Windows server 2008 (iemand dns problemen btw?) een must. Maar bijna kansloos voor eindgebruikers op Windows 7.
Daarbij is het altijd kansloos traag en zit nog steeds vast aan reboots. (voor Linux is principe nooit een reboot nodig hoog uit de kernel verwisselen!)
voor de huidige eind user OS ervaring.
muziek,filmpje,browsertje is Linux BY FAR de beste. Of een Mac maar daar betaal je dan voor he ^^. Linux is niet lulle maar poetsen!

Alexxxxxxxxxx @Dannisi • 30 oktober 2011 17:07

@ denniskrol
Elke pc hier in huis is een OEM pc en daar staat allemaal linux op.

trogdor @Dannisi • 30 oktober 2011 22:40

Wakker worden, dat willen ze allemaal.

bite @Dannisi • 31 oktober 2011 14:11

Laptops zijn toch ook "OEM"? als ik een laptop aanschaf wil ik daar wel Linux of welk OS dan ook op kunnen draaien dus wanneer de een fabrikant dat niet toestaat middels een 'secure boot' dan ga ik die zeker niet aanschaffen. Ik denk dat er wel meer Linux users zo over denken.

[Reactie gewijzigd door bite op 25 juli 2024 03:11]

Niemand_Anders

Beveiliging

@Wolfos • 31 oktober 2011 09:32

SecureBoot voorkomt niet dat non-secure OSsen worden gestart, maar als jouw moederbord een uefi heeft met de SecureBoot optie, maar die staat uit, dan start Windows gewoon niet. Echter zullen er weinig mensen zijn welke Linux installeren als zij weten dat Windows dan niet meer start..

Ik begrijp vandaag de dag toch al niet waarom mensen nog steeds dualboot hebben.
Waarom zou je nog twee besturingssystemen installeren als virtualisatie voor iedereen inmiddels beschikbaar is. Ik verwacht niet dat virtualisatie layers snel de SecureBoot optie zullen bieden en dus kan Windows vanuit Linux opgestart worden of anders om.

Het installeren van extra certificaten is misschien wel een optie voor de bekende Linux distributies, maar niet voor de knutselaars welke zelf een kernel compileren. Immers als jij als thuis gebruik je eigen kernel kunt ondertekenen, waarom zou je dan niet je spyware app kunnen ondertekenen?

Maar waarom bied kernel.org geen optie om je kernel te uploaden naar de website waarna de website hem ondertekend en daarna weer als download aanbied?
De Linux Foundation hoeft dan alleen de fabrikanten te overtuigen ook het kernel.org certificaat op te nemen. Dan is het namelijk helemaal niet nodig om SecureBoot uit te schakelen.

Grote distributies kunnen kiezen of zij gebruiken van het kernel.org certificaat of zij hun eigen certificaat willen gebruiken en dan zelf bij de fabrikanten moeten langs gaan.

VNA9216 @Dannisi • 30 oktober 2011 14:34

Maar wees er dan wel op bedacht dat de kans groot is dat microsoft (of een bedrijfje dat er onder valt) bijvoorbeeld grote hoeveelheden aandelen gaat kopen van mobo bakkers als ze toezeggen het te ondersteunen en geen optie bieden om het uit te schakelen.

Zo zou Microsoft toch af kunnen dwingen dat de secure boot niet uitgeschakeld kan worden zonder dat ze er direct voor betalen en aantoonbaar de concurrentie het leven zuur maken.

SuperDre @tinoz • 30 oktober 2011 18:20

Ja tuurlijk ben je weggemod want je hebt niet eens de moeite genomen om je wat te verdiepen in de stof.. Dan had je namelijk al geweten dat MS al lang heeft gezegd dat zij de mogelijkheid helemaal niet blokkeren (of verplichten om te blokkeren). Naast het feit natuurlijk dat Microsoft weinig te zeggen heeft over de UEFI specs.

dasiro @tinoz • 30 oktober 2011 13:46

microsoft bepaald dit NIET. Het is de enige deftige OS-fabrikant die secure boot ondersteund dat door UEFI wordt aangeboden als extra beveiliging (niet verplicht).

dat je iedereen aan je OS laat prutsen en dan geen security-compliancy kan bereiken is geen reden om de anderen de schuld te geven

Titan_Fox

Microsoft Windows 8

@tinoz • 31 oktober 2011 02:03

Ik heb de petitie ondertekend. Vind dat Microsoft over dun ijs gaat met dit soort trucs. Ze willen hun product op hardwarematige manier beveiligen wat mogelijk tot gevolg heeft dat andere besturingssystemen worden uitgesloten.

Als er een Secure Boot via UEFI wordt geïntegreerd, wil ik de keus hebben om dit uit te schakelen en/of een ander OS (zoals Linux) te installeren wat ook de Secure-Boot functie kan gebruiken (mits ondersteund).

Daarom vind ik het niet acceptabel dat Microsoft gaat bepalen wat een BIOS / UEFI gaat doen. Als ik zin heb om een illegale versie van Windows te installeren moet ik dat toch zelf weten ? Misschien moet Microsoft maar eens wat gaan doen aan de prijzen van hun software, want alternatieven als Linux (gratis) en MacOS (erg goedkoop) laten zien dat het ook anders kan. Lagere prijzen leidt tot minder illegale downloads.

Ook moet er voor gezorgd worden dat software (Windows / Office en bloatware van de OEM-) optioneel is bij een computer. Een systeem moet standaard leeg geleverd worden tenzij je bij de koop bewust kiest voor een OS. Als ik Ubuntu wil gebruiken wordt ik toch verplicht om de Windows 7 licentie te betalen.

Op dit item kan niet meer gereageerd worden.

Linux Foundation publiceert voorstel rondom 'secure boot'

Lees meer

IT-banen

Reacties (206)

Sorteer op:

Weergave: