Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dell en HP willen secure boot niet opleggen aan gebruiker

Dell en HP willen in nieuwe pc's de mogelijkheid bieden om secure boot, dat onder andere met Windows 8 kan worden gebruikt, in de uefi uit te schakelen. Daarmee zou het alsnog mogelijk worden om andere besturingssystemen te booten.

In de laatste weken is in de opensourcewereld onrust ontstaan over de mogelijkheid dat computerfabrikanten de secure boot-optie gaan afdwingen. Gevreesd werd dat er geen mogelijkheid zou komen om deze uit te schakelen in de 'bios-vervanger' uefi. Microsoft zou de secure boot-optie in Windows 8 willen benutten om het besturingssysteem minder kwetsbaar te maken voor malware-aanvallen, maar vooral Linux-gebruikers vrezen dat zij door deze optie niet langer een ander besturingssysteem kunnen draaien. Onder andere de FSF en de Linux Foundation kwamen in opstand.

Dell noch HP zou echter plannen hebben om secure boot af te dwingen bij computergebruikers, zo meldt ZDnet. Een woordvoerder van HP stelde dat het bedrijf de keuzevrijheid van zijn klanten respecteert en dat het daarom een optie in de uefi zal aanbieden om secure boot uit te schakelen. Ook Dell zal een dergelijke optie aanbieden.

Naast HP en Dell zou ook bios-fabrikant AMI hebben laten weten dat het zijn klanten zal adviseren om in de uefi een optie te bieden om secure boot uit te schakelen. Hierdoor is de kans toegenomen dat alle grote pc-fabrikanten de lijn van Dell en HP zullen volgen en het potentiële secure boot-probleem niet zal optreden. Er zijn echter nog geen initiatieven bekend die de mogelijkheid bieden om secure boot ook met andere besturingssystemen te gebruiken.

Door Dimitri Reijerman

Redacteur

03-11-2011 • 13:49

94 Linkedin Google+

Reacties (94)

Wijzig sortering
[...]
Niet alleen je, maar ook Microsoft.
Ik ben er erg sterk van overtuigt dat dit hele mechanisme pure DRM is.
Er zijn zoveel andere mogelijkheden om een OS rootkit vrij te maken. Je kunt er een virtualisatie laag tussen voegen die er voor zorgt dat geen rootkit ge´nstalleerd kan worden. Dit is was Microsoft met de XBox 360 en Sony met de PS3 doen.
Volgens mij gaat secure boot om de volgende dingen:
- linux en andere niet-windows os-en dwars zitten
- opstapje naar DRM, inderdaad
- volgende versie Windows Genuine Advantage
- afdwingen gelicenseerde software: als je een gecertificeerde Windows kunt afdwingen, kun je vast, in de nabije toekomst, ook wel gelicenseerde Adobe, Photoshop enz. afdwingen.
- die lastige, slecht te traceren gebruiker, via een geregistreerde aanschaf met naam en adres traceren, via een (uniek?) certificaat variant. En aanspreken en "beboeten" als ie niet gecertificeerde en gelicenseerde software installeert. Waarom anders ACTA met al zijn netwerk monitoring en gebruikers zonder de rechter "boetes" willen opleggen?

Ja, ik ben wantrouwig. En al sinds ongeveer 1998 zonder virussen enz., tot nu toe, op mijn pc. dus ik denk daadwerkelijk zonder secure boot te kunnen.
Er zijn zoveel andere mogelijkheden om een OS rootkit vrij te maken. Je kunt er een virtualisatie laag tussen voegen die er voor zorgt dat geen rootkit ge´nstalleerd kan worden
Of een rootkit killer in de uefi
Ik vrees ook dat overijverige security officers binnen grote bedrijven zullen verbieden om secure boot uit te schakelen. En dan ben je nergens meer als ICT-er die graag linux erbij heeft.
Nou dat hoeft helemaal niet hoor.

Kijk iemand die prima met Windows kan en wil werken, en niet de behoefte heeft om een ander OS via dual boot te gebruiken, heeft er toch mooi een extra beveiligingsfeature bij.

Als de ontwikkelaars bij Microsoft hun werk blijven verbeteren en coding een beetje verder dichtgetimmerd krijgt dan wordt het geheel toch veiliger dan nu het geval is.
Zeker in het bedrijfsleven een zeer goede marketing feature.

De vraag blijft werkt het en is het inderdaad veiliger.

Edit: typo's, zinsopbouw

[Reactie gewijzigd door HANC op 3 november 2011 15:21]

Hoe dan? Volgens mij zal je iedere moederbord/bios fabrikant moeten overtuigen.
Dan nog zal het onmogelijk zijn om alle keys voor ieder mogelijk OS op te nemen. Dat zou ook een beetje voorbij gaan aan het punt van SecureBoot.
Ik wil dus zelf kunnen bepalen welke keys er op mijn computer komen te staan.
Nee, die mogelijkheid is er niet voor jou als user als ik het verhaal begrijp. Die keys zitten ingebakken in je UEFI flash image. Dan zou je zelf een image moeten kunnen bouwen, maar zonder sources gaat dat niet lukken lijkt me.
:9
[...] Waar je je (afhankelijk van hoeveel waarde je er aan hecht) wel zorgen om kan maken is hoe moeilijk het wordt straks voor een leek om een ander OS te installeren.

Eventjes een live-CD booten kan dan niet meer zonder te weten met welke magische toetscombinatie je in het BIOS/UEFI setup scherm terecht komt en welke optie je dan moet gaan togglen.
[...]
Dat is dan erg gemakkelijk een paar tientjes verdienen, als tweaker, even het UEFI bios in, secure boot uit, linux of windows vanaf gekocht dvd-tje installeren ... :+
Denk niet dat er veel gaat veranderen... die magische toets wordt waarschijnlijk nog gewoon in het opstartscherm getoond (press Fx for boot options) en in het bios/uefi kom je er ook wel uit (dat kunnen mensen nu ook, dus mag je er vanuit gaan dat ze het straks ook kunnen).
Dus als de linux foundation zich daar al zorgen om maakt, raad ik ze aan om nu gelijk aktie te ondernemen voor de huidige generatie pc's of zich af te vragen of ze gebruikers die dat nu ook niet kunnen, uberhaupt een setup willen laten uitvoeren.
een live cd begint toch niet te rommelen in je bootloader?
ik dacht dat secure boot verhindert dat je bootloader overschreven wordt

of heb ik het mis? iemand uitleg?
Zover ik het begrijp moet alles wat geboot wordt geverifieerd worden aan de hand van een (public) key die die in je firmware ingebakken zit, of dat nou van een USB stick, HDD of CD/DVD is zou niet uit moeten maken
Klopt je kan nog rustig je hardeschijf kunen benaderen voor rescue doeleinde.. Alleen je bootloader/bootsector kun je niet benaderen...

Kan me nog herrinneren dat je Vroegah ook die optie had in de bios om bootsector Virus aan te zetten of uit te schakelen _/-\o_
Dat hebben de biossen nu al, dat heet (vaak) "master boot record protection". Secureboot gaat forceren dat alleen geboot wordt als de software is gesigned door partij x.

Secureboot werpt inderdaad een barriere op voor live-cd's. Momenteel kun je de grootste leek een CD geven en ze kunnen booten.

Of zelfs kiezen voor de optie om te installeren, het installatieprocess kan de gebruiker vervolgens door ales heen loodsen, dus ook informatie geven over de eventuele master boot record beveiliging en hoe je die uit kunt schakelen voor jouw specifieke bios.

Een live-cd start met secureboot geheel niet op, je kunt de gebruiker dus ook niet eenvoudig informeren. Dus moet je een boekwerkje mee gaan leveren, of verwijzen naar een website waar de gebruiker zelf moet opzoeken hoe hij voor zijn bios de secureboot uit moeten zetten.
Eventjes een live-CD booten kan dan niet meer zonder te weten met welke magische toetscombinatie je in het BIOS/UEFI setup scherm terecht komt en welke optie je dan moet gaan togglen.
Lijkt me een mooie taak voor Tweakers.net en soortgelijke sites: Howto disable secure boot

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True