Linux-ontwikkelaars omzeilen secure boot

Het is James Bottomley, voorzitter van de technische adviesraad van de Linux Foundation, gelukt om de Linux-kernel met behulp van zelf gegenereerde uefi-binaries te booten op een systeem waarop secure boot is ingeschakeld.

Bottomley deed dit met behulp van een nieuwe boot-image van het Tianocore-project en heeft voorbeeldcode beschikbaar gesteld, zodat andere ontwikkelaars het zelf ook kunnen proberen. Op deze manier is het mogelijk om Linux te installeren op een systeem, zelfs als secure boot wordt afgedwongen.

Toen bekend werd dat Windows 8 secure boot ging gebruiken, ontstond er onrust in de opensourcewereld over de mogelijkheid dat computerfabrikanten de secure boot-optie zouden gaan afdwingen. Microsoft gaf zelf echter aan dat dit niet verplicht is. Het is dus nog niet zeker in hoeverre de grote computerfabrikanten van plan zijn secure boot te implementeren en verschillende oem’s hebben al aangegeven dit niet af te zullen dwingen. Desondanks zijn ontwikkelaars dus bezig met manieren om secure boot te omzeilen, voor als dit toch wordt afgedwongen.

Eerder wees Linus Torvalds al op verschillende mogelijkheden om secure boot te omzeilen, zoals het gebruiken van private keys en bugs in signed software. Daarnaast wees hij erop dat Microsoft het gebruik van secure boot niet verplicht en zelfs fabrikanten verzoekt om gebruikers de mogelijkheid te geven secure boot uit te schakelen.

Reacties (66)

__fred__ 16 juli 2012 19:43

"James

PS if you don't understand terms like Platform Key, or Setup Mode in the
above, please ask google for help. Secure boot is very technical, but
there have been some good blog posts explaining the basics."

Er is geen enkele secure boot omzeild. Wat James Bottomley gedaan heeft is het Tianocore UEFI (open source onderdelen van de intel UEFI) gecompileerd en in een qemu-kvm virtual machine geladen. Daarmee verkreeg hij een virtual machine die een UEFI firmware heeft.

Deze UEFI firmware heeft hij in Setup Mode gezet, waar je je eigen platform key en Key Exchange key kunt installeren. Daarna heeft hij de fouten uit de toolchain om secure binaries te genereren gehaald, zodat er een werkend systeem ontstaat dat werkt in een VM.

Heel handig dus voor mensen die willen expirimenteren c.q. testen met UEFI en secure boot, linux developers dus, maar er is geen sprake van omzeilen van UEFI. Als jouw UEFI straks geen setup mode heeft, dan werkt het niet.

De vraag is natuurlijk of alle UEFI implementaties wel zo'n setup mode krijgen. De vrees is van niet, vandaar dat de linux foundation daar een aanbeveling over gedaan heeft.

(sorry, spuit 11, dat krijg je als je op je werk zit en ff niet refresht ;-)

[Reactie gewijzigd door __fred__ op 25 juli 2024 14:24]

Verwijderd @__fred__ • 16 juli 2012 22:29

Interessant, als je zo'n artikel leest op Tweakers.net (waar je van verwacht dat het toch degelijke journalistiek is), een bepaalde mening vormt over sommige dingen, en er vervolgens achter komt dat er helemaal niets (of in ieder geval vrij weinig) van klopt.

Blij dat er dan comments zijn, en wil graag te échte Tweakers bedanken voor de aanvullende informatie!

Du7ch Maniac @__fred__ • 17 juli 2012 00:31

Bedankt voor de extra uitleg!

Blokker_1999

Besturingssystemen
Linux

16 juli 2012 15:28

Heb het artikel op ZDnet waarnaar gelinked word doorgenomen en stel vast dat men daar helemaal niet spreekt over het omzeilen van de beveiliging. Wel dat het op dit moment bijna onmogelijk is om hardware te vinden waarop Secure Boot geinstalleerd word.

Het tianocore project komt van Intel en maakt het mogelijk om heel het bootprocess te virtualiseren en ondersteund nu dus ook secure boot. Dit maakt het mogelijk om met deze functionaliteit te spelen. Deze software komt ook met de nodige cryptografische sleutels om je eigen code te tekenen, en dat is dan ook wat Bottomley gedaan heeft.

Still, Bottomley has been able to “lock down the secure boot virtual platform with my own PK [Platform Key] and KEK [Key Exchange Key] and verified that I can generate signed efi binaries that will run on it (and that it will refuse to run unsigned efi binaries). Finally I've demonstrated that I can sign elilo.efi (this has to be built specially because of the bug in gnu-efi) and have it boot an unsigned linux kernel when the platform is in secure mode (I've booted up to an initrd root prompt).”

In other words, he's been able to create his own secured binaries that will boot and work on a UEFI Linux secured system. It's a big step to making it easier for developers to make use of UEFI security with their own keys, ala what Canonical is doing with Ubuntu.

Is that an ideal path? Maybe, maybe not, but it is a practical one.

K_VL 16 juli 2012 13:41

Wat is dan nog het nut van secure boot? Het is al omzeild nog voor er een toepassing van op de markt is.

Ruikt wat naar die kopieerbeveiligingen op audio-cd's begin jaren '00. Meestal vrij eenvoudig te omzeilen maar een "pesterij" voor de gewone gebruiker. Enkel mag je nu "pesterij" vervangen door "vals gevoel van veiligheid".

[Reactie gewijzigd door K_VL op 25 juli 2024 14:24]

Verwijderd @K_VL • 16 juli 2012 14:01

Het omzeilen gebeurt op een andere manier, er kan immers niet rechtstreeks met de ondertekende systeembestanden worden geknoeid, dat moet eerst via een omweg met bijvoorbeeld een hypervisor. En dan is het nog maar de vraag of malware zichzelf via een normaal beveiligd systeem zo hoog in de bootsequence kan nestelen: er is immers geen fysieke toegang tot de machine. Medunkt dat indien het geval is je dan een veel groter beveiligingsprobleem hebt.

Ernstiger zou het zijn als je binnen afzienbare rekentijd (zeg een paar dagen) collisions kon genereren zodat de ondertekening niet meer te vertrouwen is.

Overigens een tendentieuze en feitelijk onjuiste eerste zin in het door Tweakers gelinkte artikel. Alleen tablets worden serieus aangepakt (maar wie gaat daar nu met verschillende OS'en pielen?), voor PCs liggen de mogelijkheden nog erg open. Dus hoe PCs in het algemeen op slot worden gezet voor Windows 8 is een grote vraag waar de auteur met iets te grote stappen-snel klaar op inhaakt.

Datastream @Verwijderd • 16 juli 2012 15:40

Het klinkt mij in de oren alsof het een gelockte bootloader is maar dan voor PC's.

Wat nou als hetzelfde gezeik gaat komen met bootloaders voor smartphones maar dan op OEM PC's?

sfranken @K_VL • 16 juli 2012 13:51

Je moet fysiek toegang hebben tot het syteem. Al is je beveiliging nog zo goed zodra je fysieke toegang hebt ben je verloren.

Blokker_1999

Besturingssystemen
Linux

@K_VL • 16 juli 2012 15:03

Men omzeilt hier 1 deel van secure boot. Men kan mogelijk vanuit het OS nog altijd nagaan of de veiligheidsketen doorbroken is en het opstartproces afbreken. De reden waarom MS begint in te zetten op Secure Boot is omdat Windows 7 werd gehacked door wijzigingen aan het bootproces van Windows die niet meer gedetecteerd konden worden eens het OS is opgestart.

BeosBeing @K_VL • 1 augustus 2012 15:01

Meestal vrij eenvoudig te omzeilen maar een "pesterij" voor de gewone gebruiker. Enkel mag je nu "pesterij" vervangen door "vals gevoel van veiligheid".

Pesterij voor de Open-Source-OS-gebruiker (ongeacht of dat dan OpenBSD, NetBSD, FreeBSD, Haiku, ReactOS, een Linux-distributie of een Opensolaris-afgeleide is) en een vals gevoel van veiligheid voor de onwetende gebruiker.
Beide dus, maar gunstig voor OEM's in het algemeen en vooral voor Microsoft in het bijzonder.

michel2506 16 juli 2012 14:04

De Linux community maakt ook van een mug een olifant met dit hele secure boot gebeuren.

Er is door microsoft gezegd dat Secure Boot op X86 hardware uit te zetten is in uefi dus hier is niks aan de hand. Alleen paniekvoetbal, want stel dat het grote boze microsoft zich bedenkt.

Alleen op ARM zal dit niet kunnen maar dit is op zich ook niet gek, ARM devices worden aan de man gebracht als complete consumer products. Ook nu al kan je niet zomaar het OS veranderen op je Windows Phone, Android of ipad.

Redhat heeft zelfs al beloofd om zijn fedora distributie te signen zodat deze met secure boot overweg kan.

WhatsappHack @michel2506 • 16 juli 2012 17:54

Het probleem is de gebruiksvriendelijkheid... voorbeeld: Veel noobs stappen over naar Ubuntu, vanaf Windows. Omdat t makkelijk is in redelijk gebruik, NoobOS. Als ze nu opeens in de uefi instellingen moeten gaan kutten, waar ze niets van snappen, wat denk je dan dat ze doen?

Het kost gewoon marktaandeel. Secure boot moet standaard gewoon UIT. Niet aan...

Blokker_1999

Besturingssystemen
Linux

@michel2506 • 16 juli 2012 15:10

En wat als MS over 3 jaar beslist om SB verplicht te stellen bij de volgende Windows? Is het dan nog altijd een mug?

En ja, het is mooi dat RH zijn Fedora zal ondertekenen, maar dat betekend ook direct dat je niet langer je eigen kernel zal kunnen compileren. De enige manier om nog met een eigen kernel aan de slag te gaan is zelf $99 neer te leggen voor de digitale handtekening.

bantoo @michel2506 • 16 juli 2012 14:05

Inderdaad, het maakt niks uit want voor X86 veranderd er niks en x86 is de enige CPU architectuur ooit en zal er over 1290238409238490 jaar nog zijn. Het is geen mug, het is daadwerkelijk de grote monopolistische olifant.

HerrPino @bantoo • 16 juli 2012 14:24

en x86 is de enige CPU architectuur ooit en zal er over 1290238409238490 jaar nog zijn.

Laten we het hopen. Want hoewel ik het een goede ontwikkeling vind dat er nieuwe CPU's komen vind ik het niet echt handig dat ze niet compatible zijn met elkaar.

Verwijderd @psyBSD • 17 juli 2012 19:56

Ik heb er een pest hekel aan dat die x86 meuk backwards-compatible is. Hierdoor blijf ik met binaries uit het jaar kruik werken omdat ontwikkelaars ze weigeren te compileren voor mijn 21e eeuwse CPU.

??????

haarbal 16 juli 2012 13:48

Ik dacht dat dit soort kunstgrepen helemaal niet nodig waren omdat je secure boot in een bios aan en uit kon zetten?

_JGC_ @haarbal • 16 juli 2012 14:04

Jij en ik weten dat dat kan. De gemiddelde consument die een keer een CD van een linux distributie leent en in zijn PC propt wordt geconfronteerd met een vage foutmelding. Vervolgens is het de vraag of die gebruiker vervolgens handig genoeg is om:
1. de bios in te komen
2. de optie te vinden
Grote kans dat die gebruiker gaat roepen dat <linux distributie> kut is omdat het niet op zijn PC werkt.

MossMan @_JGC_ • 16 juli 2012 15:02

Je zou toch verwachten dat de eerste bestand wat je tegen komt op zo'n toekomstige distributie is een README.TXT met uitleg over dit alles (met verwijzing naar een HTML/PDF bestand op de CD wat uitgedrukt kan worden om vervolgens stap-voor-stap de UEFI aan te kunnen passen)?

Misschien dat er zelfs een Windows/Linux/MacOS executable in de root komt te staan wat je systeem kan analyseren en een op maat gestelde checklist kan genereren...

[Reactie gewijzigd door MossMan op 25 juli 2024 14:24]

Verwijderd @MossMan • 16 juli 2012 17:02

De gemiddelde consument wil geen uitleg. Die wil gewoon dat het werkt, zonder eerst een technische verhandeling te hoeven doornemen of ingewikkelde (voor hen dan) ingrepen te moeten uitvoeren. Als dat bij Windows wél kan, en bij Linux niet zal de *gemiddelde* consument daar zeker over klagen.

MossMan @Verwijderd • 17 juli 2012 17:57

Maar iemand die Linux *zelf* wil installeren is al over die drempel heen... toch?

Het lijkt mij dat als je *zelf* een ISO downloadt en op CD/DVD/USB-stick/kaartje zet om vervolgens te proberen te booten... dan moet je èn genoeg kennis in huis hebben om van "dat nieuwe BIOS" te hebben gehoord èn je weet heus wel hoe je aan hulp kan komen (op de distro zelf en op internet).

Zelfs als je zo'n CD in je handen gedrukt krijgt moet je minstens een fractie tweaker zijn om een idee te hebben wat je ermee moet! Dan ga je ook niet gelijk opgeven bij de eerste drempel dat je tegenkom... toch?

blouweKip @_JGC_ • 16 juli 2012 22:41

Ik denk dat het wel meevalt, als secure boot inderdaad misbruikt gaat worden door OEM's en bepaalde softwareleveranciers dan vermoed ik dat de distro's voor de gemiddelde consument het hele proces wel automatisch omzeilen.
Daarnaast kun je wel verwachten dat veel van de grote distro's keys voor secure boot zullen gebruiken zodat het wat dat betreft hetzelfde zal werken als windows.

Yucko @haarbal • 16 juli 2012 13:55

mja, maar voor Windows 8 tablets verplicht Microsoft het uitzetten van secure boot onmogelijk te maken wel. Zou je dan op de door jou gekochte hardware toch iets anders willen draaien als OS dan zou dat in principe dus niet kunnen (maar dat lijkt nu dus ook niet meer van toepassing

)

blouweKip @Yucko • 16 juli 2012 14:12

Als je een windows 8 arm tablet hebt dan lijkt het me sterk dat je behoefte hebt aan keuze dus dan lijkt me dat niet zon probleem

ronny @blouweKip • 16 juli 2012 15:54

En waarom zou je dan niet de behoefte kunnen krijgen om iets anders te draaien?
Ik snap dat de meeste het niet zullen doen, maar om het gelijk onmogelijk proberen te maken gaat mij wat ver!

blouweKip @ronny • 16 juli 2012 22:39

Omdat als je die keuze wilt hebben je over het algemeen weinig interesse zal hebben in een windows 8 RT (arm) tablet (als eindgebruiker dan).

sfranken @haarbal • 16 juli 2012 13:52

Ligt aan de fabrikant. Als een fabrikant besluit de optie uit z'n UEFI (want Secure Boot is een UEFI/EFI iets, BIOS wordt afgedankt) te slopen dan kun je nog vrij weinig doen he.

Ik denk dat de "conservatieve" OEM's de optie héél diep verbergen in hun UEFI of anders gewoon eruit slopen.

Verwijderd @sfranken • 16 juli 2012 14:37

Ik denk dat de "conservatieve" OEM's de optie héél diep verbergen in hun UEFI of anders gewoon eruit slopen.

Het uitschakelbaar zijn is juist een EIS van Microsoft.
Computers die niet een handmatig uitschakelbaar secure boot mechanisme hebben komen niet in aanmerking voor Windows 8 certificering.

sfranken @Verwijderd • 17 juli 2012 16:38

Uitschakelbaar zijn is heeel wat anders dan makkelijk vindbaar. Dat probeer ik aan te geven.

Blokker_1999

Besturingssystemen
Linux

@haarbal • 16 juli 2012 15:05

Het is inderdaad een optie die de fabrikant van het moederbord al dan niet beschikbaar kan stellen aan de gebruiker. MAAR wat gaat Microsoft in de toekomst doen? Bij WinRT 8 is een niet uitschakelbare SB al verplicht, bij de gewone x86 versie niet. Maar wat weerhoud MS ervan om dit bij Win9 wel als een verplichting te stellen?

blouweKip @Blokker_1999 • 16 juli 2012 22:43

Maar wat weerhoud MS ervan om dit bij Win9 wel als een verplichting te stellen?

Ik vermoed meer anti-trust zaken, misschien niet in de VS maar zeker wel in de EU.

Pixeltje

@haarbal • 16 juli 2012 13:52

Toen bekend werd dat Windows 8 secure boot ging gebruiken, ontstond er onrust in de opensourcewereld over de mogelijkheid dat computerfabrikanten de secure boot-optie zouden gaan afdwingen. Microsoft gaf zelf echter aan dat dit niet verplicht is. Het is dus nog niet zeker in hoeverre de grote computerfabrikanten van plan zijn secure boot te implementeren en verschillende oem’s al hebben aangegeven dit niet af te zullen dwingen.

dat hangt er dus een beetje vanaf hoe de fabrikant ermee omgaat. Als er geen switch voor komt in de BIOS kun je helemaal niets aan/uitzetten. Dit "omzeilen" is enerzijds een Proof of concept denk ik, anderzijds meteen een signaal richting de fabrikanten. Ik verwacht zelf dat Secureboot geen denderend succes gaat worden op moederborden voor losse verkoop. Hoe OEMs als HP en Dell ermee omgaan is een ander verhaal.

highflyer @haarbal • 16 juli 2012 13:53

klopt, maar het kan zijn dat er bios versies komen waar dit niet mogelijk is.
dan is het wel mooi dat je dit kan doen om alsnog linux te installeren

archive23 @haarbal • 16 juli 2012 14:06

Dat kan kloppen, behalve met Windows approved ARM hardware.

Duke-it 16 juli 2012 14:03

Weer een half jaarsalaris naar de noppen in de ontwikkelstudios van Microsoft. Lijkt me niet leuk dat je voor een fabrikant werkt om beveiliging te maken en dan trots je toepassing indient om bijv. de nieuwe IOS te voorzien van een degelijk hekwerk, en dan... Erachter komen dat het allemaal niet zoveel uithaalt door de zoveelste jailbreak..

Tarkin @Duke-it • 16 juli 2012 14:07

Alles wat door de mens gemaakt wordt, wordt gekraakt hoor

Secure boot is niet van W8, maar een onderdeel van de BIOS/UEFI. Als dat aanstaat, dan kan je geen andere OSen draaien dan degene die erop geinstalleerd staan blijkbaar

Blokker_1999

Besturingssystemen
Linux

@Tarkin • 16 juli 2012 15:08

Neen, als het aanstaat dan kan je enkel code inladen die digitaal ondertekend is. Zowel je bootloader als je kernel moeten voorzien zijn van een geldige digitale handtekening alsook alle code die direct met die onderdelen communiceert. Dit om te voorkomen dat onder meer malware zich kan nestellen in het opstartproces zonder opgemerkt te worden.

Alternatieve besturingssystemen zijn perfect mogelijk zolang ook zij hun hele hebben en houden laten ondertekenen.

Verwijderd @Blokker_1999 • 16 juli 2012 20:43

Neen, als het aanstaat dan kan je enkel code inladen die digitaal ondertekend is. Zowel je bootloader als je kernel moeten voorzien zijn van een geldige digitale handtekening alsook alle code die direct met die onderdelen communiceert. Dit om te voorkomen dat onder meer malware zich kan nestellen in het opstartproces zonder opgemerkt te worden.

Alternatieve besturingssystemen zijn perfect mogelijk zolang ook zij hun hele hebben en houden laten ondertekenen.

Dan nog valt alles wat door mensen gemaakt wordt ook gekraakt kan worden..
Zolang er mensen zijn worden er fouten gemaakt,

Dreamvoid @Duke-it • 16 juli 2012 14:29

Wat wil je dan, moeten de kernel hackers dan ook maar stoppen met lekken in Linux te fixen?

BeerenburgCola 16 juli 2012 19:12

Misschien een domme vraag, maar heeft Bottomley nou niet bewezen dat je juist met Linux óók een secure boot systeem kan maken ?

Blokker_1999

Besturingssystemen
Linux

@BeerenburgCola • 16 juli 2012 20:49

Dat was al langer bewezen. Wat Bottomley gedaan heeft is een virtuele implementatie gemaakt zodat men meer onderzoek kan doen om meer en betere manier te vinden linux te starten zonder dat de kernel ondertekend moet zijn. Hij heeft ook aangetoont dat het mogelijk is met elilo.

De reden voor hem om dit te doen is simpelweg het gebrek op dit moment aan hardware dat secure boot ondersteund. Een gebrek dat mogelijk nog zal duren totdat de eerste Win8 ARM tablets op de markt verschijnen.

Commander Zulu 16 juli 2012 14:43

"Omzeilen" "Boot" hahahaha ik snap hem!

Verwijderd 16 juli 2012 17:19

Niks omzeilen (helaas).

Hij heeft een eigen key kunnen installeren. En daarmee zijn eigen kernel kunnen booten.

Artikel slaat de plank volkomen mis.