Linux Foundation brengt bootbestanden voor secure boot uit

Na de nodige vertraging heeft de Linux Foundation de bestanden vrijgegeven die benodigd zijn om Linux te kunnen booten op systemen die secure boot hebben geactiveerd in de uefi. Ook is een bootable usb-image beschikbaar.

De twee bestanden, preloader.efi en hashtool.efi, zijn door Microsoft van een handtekening voorzien. De bootbestanden kunnen door Linux-distributies gebruikt worden om het opensource-besturingssysteem te starten op systemen die in de uefi de secure boot-optie geactiveerd hebben. De files zijn beschikbaar gesteld op de website van Linux-developer James Bottomley. Tevens is er een mini usb-image te downloaden waarin het beveiligde bootsysteem is geïntegreerd.

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert. Om ook andere besturingssystemen te kunnen booten, dienen de opstartbestanden van de juiste handtekening te worden voorzien. Het nu vrijgegeven Linux Foundation Secure Boot System moet dit mogelijk maken, maar de ontwikkeling liep vertraging op omdat de pre-bootloader niet compatibel bleek met Linux-distros die gebruik maken van de Gummiboot-bootloader. Dit probleem zou nu verholpen zijn.

Reacties (88)

Ramon 10 februari 2013 14:50

Secure boot is een beveiligingsmechanisme dat door Microsoft in Windows 8 is opgenomen en moet voorkomen dat malware de bootbestanden manipuleert.

Dit klopt niet. Secure boot is een systeem wat in de bios (UEFI) zit, waar Microsoft support voor heeft ingebouwd in Windows 8.

Overigens kan Secure Boot op alle x86-apparaten in het UEFI worden uitgeschakeld zodat je ook je eigen kernel kan draaien bijv. (En kan je dan ook nog gewoon naar W8 booten)

[Reactie gewijzigd door Ramon op 23 juli 2024 06:41]

Maupertus @Ramon • 10 februari 2013 15:14

Klopt, behalve het laatste. Windows 8 wil (als security feature) niet booten als UEFI is uitgeschakeld. Daarom is dual-booten van systemen tricky geworden.

Voor onderstaand commentaar, Microsoft heeft redelijk eenzijdig een probleem opgelost dat niet echt van toepassing was in de Unix wereld en heeft vervolgens zeer moeilijk lopen doen over installaties mogelijk maken van andere OS wat uiteindelijk is opgelost met oa. de mogelijkheid tot het uitschakelen van UEFI.

Ja MS heeft een unieke positie, ja het is goed dat ze de Linux Foundation helpen, maar daar staat tegenover dat als ze weer heel veel rechtzaken zouden moeten voeren als ze dat niet zouden doen. (Eenzijdig een feature eisen van suppliers die daarmee andere bedrijven dwars zit is in Europees Recht redelijk duidelijk Abuse of a Dominant Position)

Anoniem: 471038 @Maupertus • 10 februari 2013 15:30

1) Microsoft heeft het opgelost? Er zitten wel wat meer bedrijven in het UEFI-committee dan alleen Microsoft: http://en.wikipedia.org/wiki/Unified_EFI_Forum
"The board of directors includes representatives from eleven "Promoter" companies: AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies."

Oorspronkelijk komt de EFI-standaard bij Intel-HP vandaan: http://en.wikipedia.org/w...nsible_Firmware_Interface

2) Een probleem dat niet echt van toepassing was in de UNIX-wereld? Natuurlijk wel. Rootkits komen ook daar voor. Sterker nog, ze vinden hun oorsprong in de UNIX-wereld. Waar dacht je anders dat 'root' in de term rootkit vandaan kwam?
http://en.wikipedia.org/wiki/Rootkit
"The term rootkit or root kit originally referred to a maliciously modified set of administrative tools for a Unix-like operating system that granted "root" access."

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

Dreeke fixed @Anoniem: 471038 • 11 februari 2013 09:48

Misschien heeft de rootkit zijn oorsprong in de Unix wereld maar dan heeft men dit probleem weten op te lossen zonder secure boot.
En als je een voorbeeld hebt van een recente Unix rootkit, laat dat dan maar even weten.
De bekentste Windows rootkit is die van Sony.

En als er zoveel bedrijven in het UEFI-committee zitten waarom is microsoft dan de enige die certificaten uitgeeft? Je schijnt zelfs Silverlight nodig te hebben om een certificaat aan te kunnen vragen, en dat is dus het probleem voor de meeste Linux bouwers.

Anoniem: 471038 @Dreeke fixed • 11 februari 2013 10:02

In de UNIX-wereld heeft men dit probleem helemaal niet opgelost. Ik weet niet waar je dat vandaan haalt. Even googlen en je hebt voorbeelden genoeg.

Microsoft geeft trouwens helemaal geen certificaten uit. Ik weet ook niet waar je dat vandaan haalt. Alleen certificate authorities geven certificaten uit, en dat is Microsoft niet. Zal Microsoft ook nooit worden waarschijnlijk, omdat het geen onafhankelijke instantie is.
Wat Microsoft hier doet, is met hun certificaat (verkregen via VeriSign of wie dan ook) de linux-bootloader signen (in feite markeren alsof het een Microsoft-product is). Het voordeel hiervan is dat het MS-certificaat door alle Windows 8-machines herkend zal worden, omdat het hetzelfde certificaat is als dat van Win8 zelf.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

svenk91 @Maupertus • 10 februari 2013 15:54

Windows 8 werkt prima zonder secure boot. Een windows 8 certified pc zoals men in de winkel kan kopen komt standaard met secureboot aan, maar dit valt uit te schakelen en dan kan je nog gewoon windows 8 draaien. Enkel op het arm platform houd Microsoft secureboot verplicht, dit om dezelfde redenen als dat apple zijn tablets gesloten houd, behalve dat je met deze nieuwe boot bestanden alsnog linux erop kan draaien geloof ik

. Het enige tricky met dual boot was als je windows persé met secureboot en linux ernaast wou hebben.

Er waren inderdaad hardware fabrikanten die het onmogelijk maakte om het uit te schakelen, maar om nou Microsoft de schuld te geven dat die fabrikanten het zo regelden is wel erg door de bocht...

Er mogen dan misschien wel minder rootkits en dergelijke zijn voor Linux, dit systeem maakt het alsnog veiliger

Anoniem: 103856 @Maupertus • 10 februari 2013 15:27

Ik beoordeel mensen altijd op wat ze doen, niet op wat ze in een hypothetische situatie misschien niet zouden doen.

Sjah @Ramon • 10 februari 2013 14:55

In zoverre klopt het wel, dat je er met een gekochte win7 pc nooit last van hebt.

MClaeys @Sjah • 10 februari 2013 14:59

Normaal bij een gekochte Windows 8 pc ook niet want 1 van de eisen van Microsoft is dat het een optie moet zijn om het uit te schakelen. Dit is dus meer voor de mensen die toch Linux willen gebruiken en secure boot willen behouden.

Blokker_1999

Besturingssystemen
Linux
Open source

@MClaeys • 10 februari 2013 15:29

Vandaag stelt MS inderdaad de uitschakelbaarheid op het x86 platform verplicht. Aan de andere kant verplichten ze het gebruik dan weer wel op het ARM platform en er is niets dat MS tegenhoud om in de toekomst hetzelfde te doen op het x86 platform.

MClaeys @Blokker_1999 • 10 februari 2013 21:40

Windows RT is te vergelijken met IOS en Android, niet vergelijkbaar met de Windows 8 x86 versie. Op een iPad kan je ook geen Linux draaien en bij Android devices ook niet zonder omwegen.

mphilipp @MClaeys • 11 februari 2013 00:33

Je kunt overal Linux op draaien. Ik denk dat ze zelfs mijn eierkoker zover kunnen krijgen. Als er maar een 'Krups' optie op de cross-compiler zit.

Radiant @mphilipp • 11 februari 2013 09:14

Zolang het een MMU heeft. Dat hebben die ARM-tabletjes wel, maar kleine apparaaatjes met embedded systems vaak niet..

Anoniem: 338569 @MClaeys • 10 februari 2013 21:57

Android = Linux en je kunt het wel op een Iphone/ ipad draaien....
er bestaat al jaren proof of concept
maar niemand wil het daar in tegen doen!

Zer0 @Blokker_1999 • 10 februari 2013 17:16

er is niets dat MS tegenhoud om in de toekomst hetzelfde te doen op het x86 platform.

Wat dacht je van gezond verstand en de diverse toezichthouders?
Er kan zoveel in de toekomst, MS kan ook een thermo-nucliare oorlog tegen Linux beginnen (of hebben die jongens in Cupertino daar al patent op), maar de kans dat dat gebeurt is heel klein.
Microsoft kan ook al haar software Open Source maken, ze kunnen besluiten voortaan fietsen te gaan maken.. denk je dat dat ook gebeurt, omdat er niks is wat ze tegen houdt om die keuzes te maken?

VisionMaster @MClaeys • 10 februari 2013 15:23

1 nadeel, niet alle fabrikanten hebben de spec goed gelezen. Het gevolg is dat er al een paar laptop modellen zijn uitgerold zonder de mogelijkheid om het uit te zetten. En dan zit je met de gebakken peren. Goed opletten met de aankoop als je dus met secure boot of geheel zonder secure wilt werken.

dasiro @VisionMaster • 10 februari 2013 17:07

dat is een keuze die de hardwareleverancier maakt en ik kan me goed inbeelden als ze ook software-support op hun toestellen moeten geven, ze dit liever niet laten uitschakelen

Neko Koneko @dasiro • 11 februari 2013 08:05

Bij Windows 7 kon dat nog, willen ze Windows 8 Pro mee willen leveren moet het juist uit te schakelen zijn volgens de voorwaarden van MS.

JozuaDeBeer @WhatsappHack • 10 februari 2013 15:16

Wacht.

Secure boot is een idee dat vooral gepusht wordt door microsoft
één vna de verplichtingen die microsoft geeft aan de HW fabrikanten is dat Secure Bpot uit te schakelen valt, zodat je ook besturingssystemen die niet compatible zijn met secure boot nog steeds op de computer kunnen worden geïnstalleerd.

En hiermee zit Microsoft linux ontwikkelaars dwars?

Anoniem: 471038 @JozuaDeBeer • 10 februari 2013 15:27

Naast het feit dus dat Microsoft deze linux bootloader van een handtekening heeft voorzien.
Dus zelfs als secure boot aan staat, kun je (dankzij MS) nog steeds linux booten.

Dus ja, waar zit Microsoft linux ontwikkelaars dwars?
Volgens mij zitten linux ontwikkelaars vooral zichzelf dwars.

Blokker_1999

Besturingssystemen
Linux
Open source

@Anoniem: 471038 • 10 februari 2013 15:34

Er gaat een dag komen dat voor het booten van Windows de Secure Boot optie vereist is. Vandaag is die nog optioneel, ik weet het. Wil je dan vlot kunnen multibooten heb je al een probleem.

Nu zeg je wel dat het netjes is dat MS deze code tekent, maar van zodra je zelf je eigen code wenst te booten heb je een probleem. Niet iedereen wil zomaar even bij MS gaan aankloppen en het nodige geld op tafel leggen gewoon om wat code te laten tekenen.

OddesE @Blokker_1999 • 10 februari 2013 16:56

maar van zodra je zelf je eigen code wenst te booten heb je een probleem.

Ok, maar het punt is dat de overgrote meerderheid van PC gebruikers überhaupt zelf geen code wil (kan) schrijven, laat staan bootcode. Maar ze worden wel slachtoffer van virussen / trojans die een root kit installeren... Dus voor de overgrote meerderheid is dit geen probleem maar juist een oplossing.

Mensen die echt zelf boot code willen schrijven moeten gewoon een moederbordje kiezen met een ander BIOS er op, of één waarbij het BIOS geflashed kan worden of zoiets. Als je echt van plan bent om zelf een OS te schrijven of zoiets waarvoor het zelf controleren van het hele boot proces belangrijk is, dan is dat ook niet zo'n barriere lijkt me.

Anoniem: 471038 @digifan • 11 februari 2013 12:39

Ik weet niet of je het door hebt, maar secure boot is dus onderdeel van UEFI, en dat wordt door een onafhankelijke partij beheerd, namelijk het Unified EFI forum. Een open standaard dus.
Dat had ik elders ook al gezegd trouwens.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

Anoniem: 471038 @Blokker_1999 • 10 februari 2013 15:49

De vraag is dan vooral: waarom zou je 100% van eigen code willen booten?
De huidige linux-oplossingen zijn geen echte secure-boot oplossingen. Het zijn slechts 'shims' die een normale niet-secure-boot bootloader opstarten.
Alles wat je daarna doet, heb je nog steeds in eigen hand (en is dus ook niet secure).
Dat eerste stapje lijkt me nou niet zo heel relevant, dus je argument is nogal onzinnig (net zoals niemand z'n eigen BIOS/UEFI schrijft en dat in z'n PC flasht, toch?).

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

Blokker_1999

Besturingssystemen
Linux
Open source

@Anoniem: 471038 • 10 februari 2013 17:18

En toch zijn er projecten die een open/vervangende BIOS proberen te ontwikkelen voor vele borden. Omdat het niet gangbaar is, betekend nog niet dat het niet gebeurd.

En je hebt gelijk. Om van een echte SB te spreken zou ook de kernel van je Linux getekend moeten zijn. En dan zie je ineens het hele probleem met dit verhaal. Als je dus een SB wenst te doen kan je geen eigen gecompileerde kernels meer gebruiken (en ja, ik draai op dit moment op mijn eigen, custom kernel) tenzij je dan weer je eigen sleutels zou toevoegen aan je uefi omgeving ...

Had men SB voorzien van een eenvoudige methode om sleutels toe te voegen voor developers dan had ik het systeem nog kunnen apprecieren, maar het toevoegen van sleutels is niet op elk bord mogelijk vandaag. En dan word je ineens afhankelijk van MS voor het tekenen van code.

Anoniem: 471038 @Blokker_1999 • 10 februari 2013 17:29

Ja, ik weet ook wel dat er van die projecten zijn, maar de gemiddelde linux-gebruiker gebruikt toch echt gewoon een stock-BIOS/UEFI, zelfs als hij z'n eigen kernel compileert etc.
Vandaar dat ik zeg: wat is dan het bezwaar tegen het gebruik van een stock pre-bootloader als deze?
Als je echt wil, dan KUN je je eigen BIOS maken, en ook je eigen bootloader, secure of niet, maa dat staat compleet los van linux-gebruikers die hun eigen kernel willen compileren.

Verder is er geen 'probleem' met dit verhaal: dat de gemiddelde linux distro geen secure boot ondersteunt (of signed kernel/drivers in het algemeen), is geen verrassing, en niemand claimt dat deze bootloader hier een oplossing voor is.
Het enige probleem dat deze bootloader tracht op te lossen is het booten naar een niet-secure-boot linux (danwel ander OS) op een systeem waar secure boot ingeschakeld is.

Dat het toevoegen van sleutels niet op elk bord mogelijk is, is een beetje jammer, maar daar kan MS niets aan doen. Dat zij bereid zijn om de bootloaders voor concurrerende OSen te tekenen siert hen.

lezzmeister @Anoniem: 471038 • 10 februari 2013 20:32

Bereid zijn?

Wat denk je dat er gebeurd als een softwarefabrikant met 90% aandeel op de desktop SB verplicht stelt en uitschakelbaar maken niet verplicht of verboden maakt?

Veel keus hebben ze niet. Hadden ze dat wel dan had je ieder systeem dat je koopt met Windows ook echt alleen met Windows kunnen gebruiken. Denk je nu echt dat een bedrijf graag de concurrentie helpt?

Edit: Ik gebruik thuis BSD's, niet Linux. Ik geef niet af op MS direct, maar stel dat ze secure boot wel op slot verplichten? Dan hadden ze enorme problemen gehad met wetten links en rechts. Verplichten het aan en uit te zetten is geheel in hun eigen belang, dat is het.

[Reactie gewijzigd door lezzmeister op 23 juli 2024 06:41]

Anoniem: 471038 @lezzmeister • 10 februari 2013 21:27

Ik snap die heisa niet. UEFI is een open standaard, en secure boot verhoogt de veiligheid wat betreft rootkits in de bootloader etc.
Normaal gaat de linux-wereld er altijd op prat dat ze zo voor open standaarden en security zijn, maar hier is er ineens een hoop gezeur richting Microsoft (die er niet eens zo heel veel mee te maken heeft, Microsoft verplicht op dit moment dat Windows 8-systemen een uitschakelbare secure boot hebben. Hadden ze niet hoeven doen).

Lijkt me typisch iets voor mensen die nog niet zo heel lang meedraaien. Let wel: een systeem waar je zelf je OS kunt kiezen is de uitzondering, niet de regel.
Er zijn tonnen systemen geweest, met tonnen OSen, die het allemaal niet gehaald hebben (waarvan ik er een behoorlijk aantal gebruikt heb in het verleden). De wereld is niet vergaan, en als linux het uiteindelijk niet redt, is er wel weer wat anders. Het leven is te kort om je druk te maken om dat soort onbelangrijke dingen. Mensen die alles ophangen aan 1 OS hebben het niet begrepen.

Anoniem: 471038 @digifan • 11 februari 2013 11:26

Ik denk dat ik op een iets ander niveau tweak.
Zoals bv de blitter van de Amiga gebruiken om subpixel-correct lijnen en polygons te renderen:
http://scalibq.wordpress....t-keeping-it-real-part-5/

Kernels compileren is voor beginners.

zeduude @Anoniem: 471038 • 11 februari 2013 12:00

heheh goeie oude tijden... (blit functies worden nog steeds gebruikt, maar amiga is niet veel meer in gebruik / dood om erg bruut te zijn )..
Da's niet zozeer op een ander niveau, alleen maar een ander systeem.... sub-pixel antialiasing wordt ook op kernel niveau gedaan (video driver)...

digifan is een beetje (te) hard, maar om kernel (-delen, niet alles kunnen we modulair maken) en modules te ontwikkelen (en te testen ) is het tocch een stuk gemakkelijker om niet telkens je werk te laten ondertekenen door MS (als dat al mogelijk is), als je vast zit aan een systeem met secure boot only

Ik vindt t zelf wel F'd up dat Microsoft blijkbaar de enige ca is die op alle moederborden met UEFI ondersteund word (apple systemen daarnaast gelaten), als canonical of een ander bedrijf/stichting/ding ook voor alle uefi's certificaten kan uitgeven en uitvoeren, is dat probleem ook weer opgelost (ook al blijf je aan een 3rd party vast zitten)

Anoniem: 471038 @zeduude • 11 februari 2013 12:11

Uhhh... blijkbaar snap je er niet veel van

Bij de Amiga spreek je direct de hardware aan. Ik poke de waarden voor de lijnen direct in de registers van de blitter. Komt geen kernel of video driver aan te pas.
En hoewel de Amiga-hardware dus nooit ontworpen is om subpixel-correct te renderen, heb ik dingen dusdanig getweakt dat dit wel lukt.

Verder is dit geen subpixel-antialiasing, dat is weer een iets ander ding.

Het is helemaal niet de bedoeling om constant dingen te recompilen en re-signen.
Het idee is dat je alleen de final release signt. En dingen als een bootloader zijn niet zo heel spannend, dus die hoeven echt niet iedere maand geupdate te worden.
Met kernel en module-singing heeft dit verder niets te maken. De bootloader zorgt immers voor de controle op die certificaten, en niet de UEFI. Dus zolang je maar een bootloader gebruikt die jouw certificaten accepteert, kun je signen tot je een ons weegt, zonder dat je daar MS voor nodig hebt.

Ik vind het nogal jammer dat 9 van de 10 reacties hier vooral op een gebrek aan kennis zijn gebaseerd, en rare onderbuikgevoelens richting Microsoft. En dat daarbij mensen dan ook nog eens als Microsoft-fan of non-tweaker afgeschilderd worden...

WhatsappHack @JozuaDeBeer • 10 februari 2013 16:19

Sommige mensen willen geen Microsoft maar hebben weinig verstand van computers. Ze horen bijvoorbeeld van Ubuntu. Ubuntu is een operating system dat voor veels "noobs" makkelijk in gebruik is. De installatie en het gebruik is straight forward.

Dankzij secure boot dat een opt-out systeem in plaats van opt-in is, het staat VERPLICHT aan namelijk, komt er een nieuwe challenge bij voor deze gebruikers. Ze moeten dan, tenzij er voor keys betaald wordt aan Microsoft, gaan zitten klooien in het BIOS. Dat geeft een behoorlijke klap aan de Linux community en dat is voornamelijk waar het naar mijn mening om gaat voor Microsoft. De beveiliging is namelijk helemaal niet zo baanbrekend als men maar denkt en het geeft problemen bij aangepaste kernels. Met andere woorden: men wordt zwaar gelimiteerd tenzij je secure boot uitzet of constant shit moet gaan zitten updaten voor de sleutels...

Extra veilig? Mwah, dat valt enigszins mee.
Een lastige extra hurdle voor mensen die geen microsoft willen en een OS dat de knaken niet heeft om Microsoft te spekken? Absoluut...

En daar hoef je het niet mee eens te zijn hoor. Ieder z'n ding.
Wel grappig dat als je deze mening hebt dat je meteen een troll genoemd wordt.

Veel Microsoft fans, I guess.

SirBlade @WhatsappHack • 10 februari 2013 18:30

Ubuntu kan zijn kernels e.d. gewoon laten ondertekenen. De kans dat nieuwe gebruikers zelf hun kernels gaan compileren is verwaarloosbaar.

Anoniem: 292995 @SirBlade • 10 februari 2013 21:10

Nee, dat kunnen ze niet! GPL en zo, weet je. Maar, volstrekt irrelevant omdat deze pre bootloader het hele probleem omzeilt.

Trouwens, de verplichting (voor x86) om het uitschakelbaar te maken was geen onderdeel van het initiele ontwerp. Pas na een storm van protest vanuit onder andere de linux gemeenschap is dat ingevoerd. Deze verplichting is een beetje een wassen neus, het geldt immers alleen voor x86 en iedereen ziet allang aankomen dat niet-x86 systemen een zekere groei zullen doormaken de komende jaren.

Het beveiligings aspect is minimaal. Een virus of malware die (zonder secure boot) in staat zijn je boot loader te corrumperen zijn eigenlijk nauwelijks in het wild te vinden. Bovendien, als je systeem al dermate aangestast is dan kun je het ding maar beter uitschakelen en niet meer aanzetten. En.... zoals al eerder vermeld, de zwakste schakel is hier duidelijk de partij die de certificaten uitgeeft....

Buiten dat, but correct me if I'm wrong, heeft deze pre-bootloader dus net even het hele beveiligings mechanisme om zeep geholpen. Waarom zou malware niet deze pre boot loader kunnen installeren en vervolgens Window's bootloader corrumperen?

Nee, dit hele secure boot verhaal heeft feitelijk niets met security te maken. Dus, de reacties boven mij volgend (Occam's Razor) is dan de meest simpele (en dus meest voor de hand liggende) aanname dat MS de concurrentie dwars wil zitten

[Reactie gewijzigd door Anoniem: 292995 op 23 juli 2024 06:41]

Dreamvoid @Anoniem: 292995 • 10 februari 2013 23:00

Nee, dat kunnen ze niet! GPL en zo, weet je.

Hoezo zou je je kernel niet kunnen signen, dat heeft verder niks met open source te maken, als je gewoon je source code vrijgeeft (maar niet de sleutel) dan is er voor GPLv2 niks aan de hand.

Je kan ook open source software gebruiken om je HTTPS verkeer te encrypten zonder dat je je certificaat moet vrijgeven - het hele concept van secure connections is daarop gebouwd.

Een virus of malware die (zonder secure boot) in staat zijn je boot loader te corrumperen zijn eigenlijk nauwelijks in het wild te vinden.

De meestgebruikte activatie crack (Windows 7 Loader) doet precies dit.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:41]

Anoniem: 292995 @Dreamvoid • 11 februari 2013 02:43

Dus...... je kunt de kernel source inderdaad zonder sleutel vrijgeven. Alleen heb je er dan niets aan, na compilatie boot hij niet (immers geen sleutel). Wat natuurlijk in zo'n geval de oplossing is is om de sleutel er los bij te leveren, wat ongetwijfeld zeer binnenkort op TPB of zo gebeurd.

En Windows 7 Loader is precies wat mijn ideeen over secure boot duidelijk maakt. Het gaat niet om beveiliging maar om bedrijfsbelangen.

[Reactie gewijzigd door Anoniem: 292995 op 23 juli 2024 06:41]

Anoniem: 471038 @WhatsappHack • 10 februari 2013 16:29

Ja, je zegt wel dat het 'maar een mening' is... Maar laten we het reeel bekijken:
De linux-markt is iets van 3-4% van de totale PC-markt, grofweg.
Is het niet nogal ver gezocht dat Microsoft zoveel moeite zou steken in UEFI secure boot puur en alleen vanwege die paar kruimels die linux oppakt?
Ik denk dat hier Occam's Razor prima op kan gaan: Microsoft wil gewoon het probleem van rootkits aanpakken (wat ook prima past in de strategie die MS al jaren toepast: van XP sp2/3 naar Vista naar Win7 zijn steeds duidelijke stappen gemaakt om beveiligingsproblemen aan te pakken).
Dat lijkt me een veel logischer uitleg van secure boot, en dat zal dan ook waarschijnlijker zijn. Zeker aangezien MS blijkbaar de linux-mensen helpt om hun bootloaders te signen.

Als MS zich druk moet maken over concurrenten, dan is dat eerder Apple, en die pak je niet met secure boot.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

OddesE @WhatsappHack • 10 februari 2013 16:29

Wel grappig dat als je deze mening hebt dat je meteen een troll genoemd wordt.

Nee, het was de compleet niet onderbouwde uitspraak die dat uitlokte. Als je nou gewoon meteen deze (beter onderbouwde) mening had neergezet was het misschien heel anders gegaan.

[Reactie gewijzigd door OddesE op 23 juli 2024 06:41]

Anoniem: 103856 @WhatsappHack • 10 februari 2013 15:05

Leer de volgende keer eens waar je het over hebt voordat je uitspraken doet, ben je soms een politicus?

Microsoft et al. hebben met secure boot een fundamenteel probleem in beveiliging van computers opgelost, en Microsoft is nu zo aardig geweest ook Linux daarbij te ondersteunen, omdat Microsoft nu eenmaal in de positie was om dit soort problemen op te lossen.

Ook zonder de hulp van Microsoft was deze handtekening te krijgen, alleen heeft Microsoft wat betere contacten onder hardwarefabrikanten.

Dit was een aardigheidje van Microsoft. Flikker op met je "zwaar irritant", dat is echt een veel te makkelijke klacht.

[Reactie gewijzigd door Anoniem: 103856 op 23 juli 2024 06:41]

Blokker_1999

Besturingssystemen
Linux
Open source

@Anoniem: 103856 • 10 februari 2013 15:31

Welk veiligheidsprobleem is er dan opgelost? De belangrijkste reden waarom MS op termijn zoveel mogelijk met secure boot wil gaan werken is om activeringscraks zoals bij Win7, waar de crack ingrijpt op het bootprocess, tegen te gaan.

En MS is momenteel de enige root CA die door alle moederbordfabrikanten word ondersteund. Wens je dus je code te laten tekenen op een manier die op alle moederborden werkt dan moet je bij MS passeren.

svenk91 @Blokker_1999 • 10 februari 2013 15:38

Het helpt heel erg tegen rootkits. Software die zorgt dat andere software verborgen blijft (ik denk dan aan keyloggers bijv. Die konden zich eerst inladen en gelijk het wachtwoord van je log-in meelezen, met secureboot moeten ze eerst een handtekening bemachtigen).

WhatsappHack @svenk91 • 10 februari 2013 16:21

Echter is een ander probleem dat sleutels gekraakt kunnen worden, er ergens anders in het bootprocess iets mis kan gaan én sleutels gejat kunnen worden.

Want dat is niet ongehoord. Ik bedoel... Het is een beetje appels & peren hoor, maar ik noem even een Diginotar.

Anoniem: 471038 @WhatsappHack • 10 februari 2013 16:45

Het is nog steeds niet perfect, maar altijd nog een stap beter dan dat het was.
En Diginotar is een leuk voorbeeld, maar waarom hoor ik dat argument alleen als het over secure boot gaat, terwijl Diginotar vooral ging over certificaten voor domeinen. Ik had dus vooral verwacht dat iedereen dingen als het web, https etc zou verguizen, maar blijkbaar is het niet erg als Microsoft er niet direct bij betrokken is.

i-chat

Open source
Linux

@Anoniem: 471038 • 10 februari 2013 17:05

in plaats van je op je microsoft piepie getrapt te voelen kun je ook de werkelijkheid in acht nemen en is is als volgt: ssl bestaat al heel lang, en heeft wat ontwerp problemen doordat het stamt uit de oertijd toen ssl certificaten maar zelden nodig waren omdat het www niet groter was dan enkele honderden tot hooguit duizenden machines...

om allerlij commeciciele belangen zijn ssl certs wijdverbreider geworden en het aantal certboeren ook kortom desaster bound to happen... en dat is dan ook gebeurd...

maar in plaats daarvan te leren en van de grond af een nieuw en betrouwbaarder systeem om te bouwen, kiest de sector (al dan niet onder druk van MS (die eisen het tenslotte)) om nogmaals in dezelfde valkuil te trappen...

een ezel in het algemeen......... maar redmond blijkbaar wel...

Anoniem: 471038 @i-chat • 10 februari 2013 17:18

Klinkt nogal utopisch en niet bepaald realistisch.
Als je een betere oplossing hebt, zou ik die maar gauw openbaren, want daar kun je heel rijk en beroemd mee worden.

Maar ik denk dat jij, net als de rest van de wereld geen betere oplossing heeft. En dan kun je dus maar beter deze bestaande oplossing nemen dan helemaal niets.
Mocht er zich later een betere oplossing aandoen, dan kan men altijd nog overstappen. Dat is bij PCs niet zo lastig als bij het web.

Ik zal verder de Microsoft-opmerking negeren. Jullie fanboys weten niet beter dan dat er alleen Windows en linux op de wereld is

Wie mij kent, weet dat ik me niet bepaald beperk tot die twee, en dat Windows niet bepaald m'n eerste keus is.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

SPee @Blokker_1999 • 10 februari 2013 16:05

Met het toenemend aantal virtualisatie van machines, is het nu meer dan ooit van belang dat de host niet zelf besmet is.
Anders zijn al je VM's ook niet veilig meer en is je virusscanner nutteloos.
Met secure boot is de drempel voor infectie enorm verhoogd en ben je (nu nog) vrijwel zeker dat je main os niet besmet is.

Voor nu bestaan zulke virussen alleen nog in laboratorium opstellingen, maar zullen zeker in de toekomst ook "in het wild" worden gevonden.

Het cracken tijdens het bootproces wordt dus ook gezien als virus.

WhatsappHack @Anoniem: 103856 • 10 februari 2013 16:12

Lol, het is een aardigheidje van Microsoft dat ze "zo vriendelijk zijn" om Linux toe te staan en dat Linux maar op hun knietjes de almachtige Microsoft God moet bedanken voor het toelaten van Linux?

Grapjas.
Als Microsoft geen gezeik kreeg met monopolie posities als ze dit "aardigheidje" niet zouden 'verlenen', dan zouden ze het ook niet gedaan hebben. Ze moeten nu wel.
Maar dat neemt niet weg dat het open source systemen erg lastig maakt en vergeet ook niet dat er geld gelapt moet worden aan Microsoft.

Dus, leer de volgende keer eens waar je het over hebt voordat je onzin gaat lopen verkondigen dat het een aardigheidje is van Microsoft.

ro8in 10 februari 2013 18:16

maar nu kan er toch gewoon malware gemaakt worden die deze bestanden gebruikt?

Anoniem: 471038 @ro8in • 10 februari 2013 18:26

Ja en nee. Vroeger kon de bootloader wel signatures van kernel, drivers etc checken, en zodoende kon je garanderen dat het hele OS betrouwbaar was, mits de bootloader zelf niet gehackt was.
Door secure boot wordt nu de bootloader dus ook gecontroleerd. Dat houdt dus in dat het OS als geheel nog betrouwbaarder is.
En daardoor wordt het dus nog lastiger voor malware om ongemerkt een systeem te infecteren. Vroeger ging dat dus door de bootloader te infecteren, en zo de checks te omzeilen. Nu kan dus gedetecteerd worden dat er met de bootloader is gerommeld.

Je kunt wel op een systeem met secure boot een niet-secure OS booten, en met malware infecteren... maar dat kon sowieso al, want vroeger kon je dat OS sowieso alleen maar booten als secure boot uitstond. Dus, een niet-secure OS wordt er niet meer secure op. Maar dat is geen verrassing.

Jasper Janssen @Anoniem: 471038 • 10 februari 2013 21:05

Alleen kun je nu dus malware schrijven die naar deze gesignde files boot, vervolgens doorboot naar een bootloader die een rootkit laadt, en dan de rest van windows booten en aanpassingen doen on the fly om voor de rest de checks uit te zetten of te misleiden.

Een gesignde file die naar ongecheckte executables doorboot is sowieso een beveiligingsrisico.

Anoniem: 471038 @Jasper Janssen • 10 februari 2013 21:36

Maar dat kan dus alleen als je deze bootloader gebruikt.
Windows gebruikt deze bootloader niet, en ik neem aan dat je op de een of andere manier kunt zien welke bootloader er gebruikt wordt, als het systeem uberhaupt toestaat om de bootloader te overschrijven op een partitie... en een gewijzigde bootloader zonder enige melding of confirmatie te booten).

En ja, ik zei al dat een niet-secure OS er niet meer secure op wordt. Maar dat is meer een probleem van linux distro's an sich, die niet integraal gebruik maken van secure boot en signing. Deze pre-bootloader is natuurlijk maar een lapmiddel en heeft niets met security te maken.

Jasper Janssen @Anoniem: 471038 • 11 februari 2013 10:42

Een secure-bootend OS zal wsch je niet *zomaar* toelaten de bootloader te writen, maar het bestaan van iOS jailbreaks (en hoe die dingen werken) geeft al wel aan dat je maar een paar gaten hoeft te vinden om daaromheen te komen.

En aangezien deze pre-bootloader gewoon signed is zal er verder geen software een haan naar kraaien als je daarnaartoe boot.

Anoniem: 471038 @Jasper Janssen • 11 februari 2013 11:32

Ja, met de aanname dat er gaten in zitten is elke beveiliging per definitie onveilig natuurlijk.
Verder ben ik het niet met je eens: deze pre-bootloader is wel signed, maar alleen zolang ie ongewijzigd is. Dat betekent dus dat ie heel makkelijk te onderscheiden is van de originele Windows bootloader, dus vrij makkelijk door anti-malware scanners als zodanig te herkennen.

Edit: Blijkbaar hadden de makers daar ook al aan gedacht:
http://en.wikipedia.org/w...are_Interface#Secure_boot
"In October 2012, the Linux Foundation announced that it would be developing its own minimal UEFI bootloader signed with a Microsoft key that will serve as a shim to launch the main bootloader. However, to maintain security and prevent the bootloader from being used to silently load malware, it will require user input in order to boot."

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

MadEgg

Besturingssystemen

10 februari 2013 16:15

Als deze code door de Linux community gebruikt kan worden om ervoor te zorgen dat Linux kan booten op PC's waarop secure boot aanstaat, dan valt toch het hele secure boot in elkaar als een kaartenhuis? Dan kun je hier gewoon je eigen malafide Linux distro mee booten die alsnog je hele PC naar een of andere criminele organisatie doorstuurt of de boel formatteert of weet ik wat voor dingen je kunt verzinnen?

Of is het enige wat hier gebeurd is, dat de Linux Foundation nu ook zelf handtekeningen uit kan delen voor Linux kernels die door de verschillende distro's eerst ter controle aan Linux Foundation gestuurd moeten worden?

Het hele secure boot idee valt of staat met de eis dat álle onderdelen gecontroleerd en ondertekend zijn, of zie ik dit nu verkeerd?

Anyway, ik zie er sowieso al weinig in zodra Microsoft zelf in staat is om de boel te ondertekenen. Dit zou door een onafhankelijke organisatie gedaan moeten worden.

[Reactie gewijzigd door MadEgg op 23 juli 2024 06:41]

Anoniem: 471038 @MadEgg • 10 februari 2013 16:34

Dat klopt. Secure boot is puur en alleen bedoeld om te garanderen dat de code tot-en-met de bootloader betrouwbaar is.
Daarna is het de taak van de bootloader om van daaraf zelf te checken of de kernel, drivers etc betrouwbaar zijn. Microsoft had dit in eerdere versies van Windows al ingebouwd.
Bij linux doen sommige distro's wel aan signing van kernel en drivers, anderen niet.
Zie hier bijvoorbeeld: http://lwn.net/Articles/470906/

Blokker_1999

Besturingssystemen
Linux
Open source

@MadEgg • 10 februari 2013 17:20

Het is niet omdat je nu een linux kan booten die niet getekend is, dat je dat ineens ook met bijv. windows kan. Bedoeling bij Windows is nog altijd dat de bootloader getekend is en dat de bootloader een correct ondertekende windows opstart zodat het hele windows bootprocess op een beveiligde manier blijft gebeuren.

Mijzelf @Blokker_1999 • 10 februari 2013 21:37

Hoezo? Ik kan toch gewoon Linux booten, en vervolgens Windows in een virtuele machine starten? Rootkit.

jbhc 10 februari 2013 15:46

Begrijp ik het nu verkeerd of is SecureBoot hier nu in 1 klap niet meer secure door? Iedereen kan nu toch deze "gesignde" code implementeren?

OddesE @jbhc • 10 februari 2013 16:48

Het doel van secure boot is het voorkomen dat een applicatie (bijvoorbeeld een virus of trojan) vanuit het draaiende OS de bootcode kan overschrijven zodat het actief kan worden voordat het OS alle beveiling heeft geactiveerd. Voor zover ik het begrijp is het zelfs met deze code niet mogelijk om dat te doen.

Stoney3K @OddesE • 10 februari 2013 20:16

Het doel van secure boot is het voorkomen dat een applicatie (bijvoorbeeld een virus of trojan) vanuit het draaiende OS de bootcode kan overschrijven zodat het actief kan worden voordat het OS alle beveiling heeft geactiveerd. Voor zover ik het begrijp is het zelfs met deze code niet mogelijk om dat te doen.

Je zou de boot-code nog wel kunnen overschrijven, maar dan komt de data niet meer overeen met de hash/sleutel combinatie, en weigert het systeem te booten.

Malware die je computer brickt is dus nog wel mogelijk...

Gps4l 10 februari 2013 15:40

Voor diegene die beweren dat er geen problemen zijn:

UEFI Mode On Linux Still Bricking Samsung Laptops
http://www.phoronix.com/s...page=news_item&px=MTI5NjI

Three PC Brands Where SecureBoot On Linux Is Botched
http://www.phoronix.com/s...page=news_item&px=MTI4OTc

Bewijs heb ik niet , maar ik denk toch dat ms prcies krijgt wat ze willen.

Anoniem: 471038 @Gps4l • 10 februari 2013 19:23

Even nuanceren hoor...
De eerste:
"They also found out that the problem might be possible to be triggered from a user-space application on Windows too."

De tweede:
"Matthew Garrett says some Toshiba PCs won't boot Linux since they managed to leave the signing key out of the database used to validate binaries as well as the signature database signing key used for whitelist/blacklist updates. This fortunately is in violation of Microsoft's Windows 8 certification guidelines so an updated UEFI/BIOS will likely be issued for the affected hardware by Toshiba."

En ook:
"Aside from the Toshiba, Samsung, and Lenovo problems, UEFI/SecureBoot isn't doing too bad on Linux at the moment."

Dus is dit wat Microsoft wil? De artikelen die je aanhaalt spreken je eerder tegen dan dat het bewijs zou zijn.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

mutley69 10 februari 2013 15:03

We zouden graag hebben dat de EU eens een blik werpt of de acties van Microsoft conform zijn met de meervoudige veroordelingen die ze hebben opgelopen wegens misbruik van monopolie.

acizane80 @mutley69 • 10 februari 2013 15:35

Kan iemand mij aub verduidelijken of ik hiermee een linux distro kan draaien op een Windows rt apparaat met tegra 3 processor? Bv surface rt?

sfranken @acizane80 • 10 februari 2013 17:07

Nope, Secure Boot op een ARM device is niet uit te schakelen.

MadEgg

Besturingssystemen

@sfranken • 10 februari 2013 17:59

Echter, het doel van deze bootbestanden is juist dat je Linux kunt booten zonder secure boot uit te schakelen, dus dat zou geen bezwaar mogen zijn.

Anoniem: 394438 @sfranken • 10 februari 2013 19:58

Nope, Secure Boot op een ARM device is niet uit te schakelen.

Maar dankzij dit kun je dus juist een distro' installeren vanaf bijvoorbeeld een USB stick.

Dreamvoid @mutley69 • 10 februari 2013 23:04

Het is mogelijk om secure boot met Linux te doen, dus dat is geen probleem.

mrlammers 11 februari 2013 18:01

Hieperdepiep, HOERA!

zijn door Microsoft van een handtekening voorzien

Maar dat snap ik dan weer niet. UEFI is bedacht door Intel en ontwikkeld tot standaard door AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft en Phoenix Technologies.

Waarom in den lieve vrede moet Microsoft dan een handtekening zetten op Linux bootbestanden? MS is in feite geen partij in dezen, behalve dan dat MS een zetel heeft in het consortium...

Anoniem: 471038 @mrlammers • 11 februari 2013 18:51

Microsoft moet dat niet, maar de meeste computers met secure boot herkennen op dit moment alleen het certificaat van Microsoft (het zijn immers computers die gebundeld zijn met Windows 8, waarbij de fabrikant overigens nooit enige compatibiliteit met linux heeft geclaimd).

Anoniem: 24417 @Anoniem: 471038 • 13 februari 2013 17:40

maar als ook bijv canonical zo'n certificaat mag 'uitdelen', dan mag een beetje bootsector hax0r dat toch ook? wie gaat er over de legitimatie?

Anoniem: 471038 @Anoniem: 24417 • 14 februari 2013 11:27

Ik snap je vraag niet echt.
Hoe het werkt is simpel: door een handtekening op een stuk code te zetten, ligt de verantwoordelijkheid van die code vast (ondertekend door Microsoft, Canonical, of welke andere certificaathouder dan ook).
Dus, mocht er een bootloader met malware opduiken, dan valt aan de handtekening direct af te leiden waar die vandaan kwam.
Zo'n certificaat krijg je natuurlijk ook niet zomaar. Wat de exacte regels zijn weet ik niet uit m'n hoofd, maar het kost een hoop geld, en je zult vast als rechtspersoon geregistreerd moeten staan etc. Dus random hackers komen niet aan zo'n certificaat, normaal gesproken zijn dat alleen bedrijven (Microsoft en Canonical mogen geen certificaten uitdelen, dat mogen alleen bepaalde certificate authorities. Zij mogen alleen een certificate kopen waarmee ze hun code kunnen signeren).

Als hacker moet je dan je malware via een bedrijf uit gaan geven, en zie dan je sporen maar eens uit te wissen. Binnen het bedrijf zijn er natuurlijk maar een aantal mensen die code mogen signen, en via het version control systeem valt makkelijk te achterhalen wie aan welke delen van de code heeft gerommeld.
Geheel onmogelijk is het natuurlijk niet, maar het is wel weer een stuk lastiger geworden om malware te verspreiden, en om daarna ook niet getraceerd te worden.

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

DJFliX

@duizel • 11 februari 2013 06:50

Lees alsjeblieft een aantal berichten hierboven en lees hoe het voor de gemiddelde gebruiker alleen maar betekent dat hun computer-omgeving er uiteindelijk veiliger door wordt. De gemiddelde computergebruiker koopt een kant-en-klare pc bij de mediamarkt. Daar zit al een licentie op. Het zijn de kansloze gamers die de 30 euro in Januari niet op wilden hoesten voor Windows 8 Pro en met patchers aan de slag (willen) gaan. Dát zijn de gedupeerden. Voor de rest moeten die mensen niet zo miepen, want Microsoft komt met een soort van oplossing voor het rootkit-gezeik.

Soldaatje @DJFliX • 11 februari 2013 08:34

Dat het zogenaamd veiliger is voor de gebruiker, ok.
Dat andere OS-en bij Microsoft moeten aankloppen met een zak geld om hun systeem te kunnen laten draaien, niet ok.
Als dit een onafhankelijke partij was en de zak geld niet te groot, wel ok.

Anoniem: 471038 @Soldaatje • 11 februari 2013 10:09

Normaal gesproken IS het een onafhankelijke partij a la VeriSign oid. Probleem is:
1) VeriSign is duur
2) Je kunt wel een certificaat kopen, maar dan moet je dat certificaat ook nog in de UEFI van alle verkochte systemen zien te krijgen.

In dit geval:
1) Microsoft rekent vrijwel niets voor deze service, $99 meen ik. Eenmalig $99 om alle bestaande linux distros op secure boot-machines te kunnen booten, lijkt me geen slechte deal.
2) Alle Windows 8 machines herkennen standaard het MS-certificaat.

Dus ze HOEVEN niet bij Microsoft aan te kloppen, maar het maakt dingen wel veel goedkoper en makkelijker. Nu hoeven ze ook niet bij alle OEMs aan te kloppen (wat vast ook nog wel een hoop geld met zich mee zou brengen, alleen al het werk dat erin gaat zitten).

Anoniem: 471038 @Soldaatje • 11 februari 2013 11:37

Zo liggen de verhoudingen nu eenmaal. Microsoft is al sinds de eerste IBM PC de leverancier van het OS.
Het staat de linux-wereld vrij om deals te maken met OEMs, of zelfs een heel eigen platform te ontwikkelen. Maarja, de Windows-markt is natuurlijk groter, en die hardware is goedkoper. En ja, als je je op de Windows-markt gaat begeven, krijg je met Microsoft te maken.
Net zoals je met Apple te maken krijgt als je een linux-distro voor de Mac uitbrengt, etc.
Zo werkt het nou eenmaal als je een niche-speler bent.

Om een voorbeeld te geven: De Amiga-community is na de ondergang van Commodore zelf verder gegaan met het ontwikkelen van hardware.
Je kunt bijvoorbeeld zo'n SAM-moederbordje kopen: http://www.vesalia.de/e_sam460ex[7179].htm

De Amiga-community is nog een stuk kleiner dan de linux-community (en zeker het deel van de Amiga-community dat geinteresseerd is in dit soort 'next-gen' PowerPC systemen, ipv de originele 68k-systemen van Commodore).
En zij krijgen dit voor elkaar. Waarom moet de linux-community dan alleen maar zeuren richting MS, ipv zelf eens met een oplossing komen?

[Reactie gewijzigd door Anoniem: 471038 op 23 juli 2024 06:41]

windwarrior @Anoniem: 484639 • 11 februari 2013 08:48

Als ik het goed begrepen heb zijn die elf bestanden van een cryptografische handtekening voorzien, ze kunnen niet aangepast (ofja moeilijk, hoge complexiteit) zonder die handtekening te breken.

Op dit item kan niet meer gereageerd worden.

Linux Foundation brengt bootbestanden voor secure boot uit

Lees meer

Reacties (88)

Sorteer op:

Weergave: