# Nur noch signierte Bootloader zu starten -> Tod von Gentoo?

## Erdie

Hi,

es kursiert in den Medien ja die Meldung, dass es in Zukunft aus Sicherhietsgründen hardwareseitig verhindert werden soll, unsignierte Bootloader zu starten. 

Auf Heise steht, das ist ja kein Problem,  da SuSE, Readhat können ja ihre Kernel signieren lassen ..blablabla

Tja, nur was ist mit Gentoo? Ist es so exotisch, seinen eigenen kernel zu bauen, dass niemand diese mehr in Erwägung ziehlt?

Ich habe mich bisher auch ohne dieses Gedöns, was mich eher an Apple erinnert, relativ  sicher gefühlt.

Was mein ihr?

Grüße

Euer Erdie  :Wink: 

----------

## b3cks

 *Erdie wrote:*   

> Was mein ihr?

 

Ball flach halten, abwarten und insbesondere mit der blödsinnigen Panikmache aufhören.

Sie dazu auch   :Arrow:  http://www.pro-linux.de/news/1/17527/kommentar-2013-das-jahr-in-dem-linux-unterging.html

----------

## Erdie

Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren.

----------

## disi

 *Erdie wrote:*   

> Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren.

 

Das Problem ist doch, dass die Huerde ein anderes Betriebssystem zu installieren, damit bedeutend groesser wird oder Dualboot mit Windows.

----------

## ChrisJumper

Generell halte ich das für eine gute Sache! Also das sich der Computer ohne eine bestimmte Signatur weigert diversen Code zu starten, bzw. in diesem Fall ein Betriebssystem zu booten. Gerade für Notebooks ist das interessant. Da kann man dann eben nicht ein USB-Stick anstecken und von diesem Booten. (Nun gut dagegen gibt es verschlüsselte Datenträger).

Allerdings sollte man dann auch so konsequent sein, das sich der "Kunde" zu dem Mainboard einen entsprechenden Schlüssel generieren kann damit er anschließend die Kernel selber signieren kann. Der springende Punkt ist ja das die wohl nur den Hardware-Herstellern und Lieferanten vorbehalten zu sein scheint. Allerdings hoffe ich das man sich bei einem Komponenten-Kauf entsprechende Schlüssel generieren oder es eben aktivieren/deaktivieren kann.

Zudem halte ich es für unwahrscheinlich das man es so komplett unterbinden wird die Firmware von dem Mainboard zu flashen.

Sollte Windows so verfahren, habe ich das dann richtig Verstanden das ein Kunde eines vorinstallierten Windows 8 Systems, kein Windows XP oder Windows Vista mehr installieren kann, wenn dies nicht signiert ist/wird? Langsam verstehe ich warum Microsoft dies anstrebt.

Scherz beiseite. Ich halte das wirklich für ein wichtiges "sicherheits-feature". Allerdings ist es doch nicht konsequent wenn man die Trust of Chain nicht bis in die VM weiterreicht.

----------

## franzf

Im BIOS Booten von CD/Stick/... deaktivieren, BIOS mit Passwort schützen und schon sollte niemand mehr "einfach so"den Rechner ankriegen. Zusammen mit einer Festplattenverschlüsselung sollte das System mindestens so sicher sein, wie mit diesem "Secure Boot". Es ist halt ein gewisser Aufwand, der für DAUS eine Hürde darstellt - wenn diese aber dann munter alles anklickt was sie anblinkt hilft auch das beste SecureBoot nichts mehr...

Ich empfinde das als rechtwidrige Bevormundung. Wenn ich mir (teuer) Hardware kaufe und dann nur das vorinstallierte OS starten kann, wäre mir das glatt eine Klage wert!

----------

## Finswimmer

http://www.heise.de/newsticker/meldung/Microsoft-Secure-Boot-schliesst-andere-Systeme-nicht-aus-1349202.html

Wieso Windows so ein großes Mitspracherecht hat und erklärt, wie das funktioniert verstehe ich nicht...

Ich finde es auch sinnvoll, wenn man so seinen Rechner schützen kann, aber dann muss das "Signieren" so schnell und einfach gehen, dass es jeder kann.

EDIT:

Dazu auch: http://www.heise.de/open/artikel/Die-Woche-Linux-wird-nicht-ausgebootet-1348799.html

Die Option muss unbedingt komplett abstellbar sein, wenn man nicht selbst signieren kann, weil ich will ganz sicher nicht immer ein Passwort eingeben müssen.

----------

## Josef.95

Naja, m Grunde genommen ja eine gute Sache, doch wenn der Administrator nicht mehr selbst entscheiden kann was für ein OS auf der Hardware installiert und genutzt werden kann finde ich das schon sehr bedenklich. Ich würde solche Hardware gar nicht erst kaufen.

Siehe zb im Blog von Matthew Garrett

UEFI secure booting

und

UEFI secure booting (part 2)

Und dann das Update aus Microsoft: Secure Boot schließt andere Systeme nicht aus  (heise)  *Quote:*   

> [Update]
> 
> Red-Hat-Mitarbeiter Matthew Garrett, der die ganze Diskussion ins Rollen gebracht hatte, weist in einem Blog-Beitrag darauf hin, dass Sinofsky seiner ursprünglichen Analyse in keinem Punkt widerspricht. Mit Secure Boot werde es schwieriger oder unmöglich, alternative Systeme zu installieren. Eine Zertifizierung für Windows 8 verlange zwar, dass die Hardware Secure Boot unterstützt, aber weder, dass der Anwender die sichere Boot-Option abschalten könne, noch die Mitlieferung anderer Schlüssel als desjenigen von Microsoft. Einige Hardware-Hersteller, so Garrett, hätten bereits gesagt, dass sie Secure Boot nicht abschaltbar machen wollten. Wenn solche Systeme nur mit einem Microsoft-Schlüssel ausgeliefert werden, sei es nicht möglich, darauf ein anderes Betriebssystem zu installieren.

 

----------

## Max Steel

Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus?

----------

## ChrisJumper

 *Max Steel wrote:*   

> Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus?

 

Zusammengefasst: Wenn in der Firmeware von deinem Mainboard ein Schlüssel/Signatur (für den Kernel der Ultimate-Boot-CD) installiert ist, startet es normal. Wenn das nicht der Fall ist. Wirst du beim booten darauf hingewiesen und musst ein Passwort eingeben und kannst es dann auch wie gewohnt nutzen.

Wenn man es nicht definitiv abschalten kann, das nach einem Passwort gefragt wird, ist es bei Gentoo wirklich störend. Ich sehe aber auch keinen Sicherheitsgewinn in diesem Unterfangen, wenn man nicht in der Lage ist die Schlüssel selber zu signieren oder zu erstellen.

Zwar werden hier die Bootsektor-Viren genannt, aber sofern der Bereich für UEFI beschreibbar ist. Wahrscheinlicher werden dann die alternativen zum heutigen Bios stärker benutzt.

Aber hier stellt sich mir dann die Frage ob die zu bootenden Kernel auch eine Signatur-Prüfung des "UEFI-Systems" vornehmen und überhaupt starten....Last edited by ChrisJumper on Mon Sep 26, 2011 9:29 am; edited 1 time in total

----------

## slick

 *Josef.95 wrote:*   

> Ich würde solche Hardware gar nicht erst kaufen.

 

Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.

Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.

Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.

*mal symbolisch "Wehret den Anfängen!" ruft*   :Wink: 

----------

## doedel

 *Quote:*   

> 
> 
> Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.
> 
> Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.
> ...

 

Höööhööö wieviel Raucher haben gesagt, dass sie nicht mehr in die Kneipen gehen, ich lach mich schief, zwei Hand voll Idealisten werden das Boykott durchziehen und bis zum Sankt Nimmerleins Tag ihren 64er versuchen mit Linux zu malträtieren.

 *Quote:*   

> 
> 
> Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen. 
> 
> 

 

60W...

Ich glaub nicht, dass sich sowas durchsetzen kann. Und wenns ne 3 Tage Bastelarbeit wird, das Linux da drauf zu booten - mir solls egal sein. Aber leider wäre das dann ein herber Schlag in die Eier, viele Entwickler werden sich zurückziehen, neue kaum noch kommen, wenn der Einstieg noch nichtmal klappt...

----------

## Josef.95

 *slick wrote:*   

>  *Josef.95 wrote:*   Ich würde solche Hardware gar nicht erst kaufen. 
> 
> Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.

  Da gibt es keinen Druck  :Wink: 

Aus dem alter bei Facenook, oder ähnlichen Netzwerken meine privaten Daten preiszugeben bin ich raus - wer das dennoch macht ist selbst schuld wenn die Daten vermarktet werden.

Gibt ja auch noch EMail, Brief-post, Jabber, und das gute alte Telefon - das muss reichen. 

 *slick wrote:*   

> Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.

  Nunja, ich denke aktuell macht Microsoft es der Industrie, den Hardwareherstellern schmackhaft möglichst die "sichere Boot-Option" nicht abschaltbar zu machen und auch keine Keys bereitzustellen, und die Industrie springt drauf an um sie mit dem begehrten "Designed for Microsoft Windows 8 Logo" besser vermarkten zu können.

Was nützt mir Hardware auf der zb weder GRUB noch ein selbst konfigurierter Kernel sich nutzen lässt...

nichts, und daher würde ich sie gar nicht erst kaufen (vorausgesetzt es kommt tatsächlich so wie Microsoft und UEFI sich das zZt vorstellen)

 *slick wrote:*   

> Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.

  Gibt ja auch noch 200 Watt mit E40 Fassung...  :Wink: 

 *slick wrote:*   

> *mal symbolisch "Wehret den Anfängen!" ruft*  

  Ja, wenn dies bezüglich des Microsoft Monopols gemeint ist - dann ja, das sollte man möglichst verhindern.

----------

## schmidicom

Selbst wenn diese "Sicherheitsmassnahme" letzten Endes so funktioniert wie sie sollte bin ich davon alles andere als begeistert. Wieder ein völlig überflüssiges Feature mehr das einem bei der Installation eines Betriebssystem oder bei der Fehleranalyse auf die Nerven gehen kann.

Und überhaupt finde ich allein schon den Versuch dem Kunden vorschreiben zu wollen was für ein OS er benutzen soll eine verdammte Frechheit!

Das so etwas auf legalem weg realisiert werden kann wundert mich doch sehr.

EDIT:

Ich hoffe ja nur das man, wenn es denn so weit ist, dann auf ein funktionierendes Coreboot zurückgreifen kann (Im Moment scheint deren Code noch etwas verbugt zu sein denn beim bauen eines BIOS für den Tyan S2895 bricht das ganze immer wieder ab). Oder alternativ, wie in einigen Blogs und News behauptet wird, diese Überprüfung im UEFI auch wirklich noch nachträglich anpassen/abschalten kann.

----------

## 3PO

Da ja am 21.12.2012 sowieso die Welt untergeht, ist mir das relativ egal, denn bis dahin komme ich noch mit meiner jetzigen Hardware aus.   :Laughing: 

Sollte die Welt an o.g. Datum nicht untergehen, bin ich überzeugt, dass es findige Hacker gibt, die einen BIOS-Hack veröffentlichen, der diesen Quatsch umgehen kann.  :Wink: 

----------

## schmidicom

Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:

http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot

Zusammen mit der Möglichkeit dafür "einzustehen":

http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de

----------

## disi

 *schmidicom wrote:*   

> Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
> 
> http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
> 
> Zusammen mit der Möglichkeit dafür "einzustehen":
> ...

 

Ich achte schon seit Jahren darauf keine Windows OEM Version mit Hardware zu kaufen. Da schliesse ich mich 100% an und solche Hardware kommt mir nicht ins Haus, wenn ich es vermeiden kann.

----------

## forrestfunk81

 *schmidicom wrote:*   

> Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
> 
> http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
> 
> Zusammen mit der Möglichkeit dafür "einzustehen":
> ...

 

Danke für den Hinweis.

Prinizipiell ist Secure Boot ja nicht verkehrt. Trotz verschlüsselter Festplatte bleibt bisher zumindest die Boot Partition unverschlüsselt. Wenn also jemand Hardware Zugriff hat, kann der Kernel ausgetauscht und manipuliert werden. Mit selbst generiertem Schlüsseln könnte man das verhindern. Allerdings muss man dann wohl bei jedem Kernel Update die Schlüssel aktualisieren. Da stellt sich die Frage, wie umständlich und zeitaufwendig das ist. 

Ich bau meine Rechner immer aus Einzelteilen. Da können die Hersteller nicht einen festen unveränderlichen Schlüssel mit dem Mainboard ausliefern ohne es komplett unbrauchbar zu machen. Bei Laptops und Komplettsystemen mit vorinstalliertem OS sieht das natürlich anders aus. 

Aber was wird dann aus den normalen Consumer PCs? Wenn dort ein unveränderlicher Schlüssel eingetragen ist und sich jemand die Windows Installation zerschießt, ist das Gerät kaputt. Selbst wenn noch ein zweiter Schlüssel für die Recovery Partition eingetragen ist, bräuchte man doch nach der erneuten Installation von Windows wieder einen neuen Schlüssel. Das ist natürlich auch eine Möglichkeit, die Haltbarkeit von Geräten zu beschränken. Software kaputt --> Gerät kaputt. Das wär ein neuer ganz großer Schritt für die geplante Obsoleszenz.

Es gibt auch eine interessante Diskussion auf der Gentoo Mailinglist. Einer der Coreboot Entwickler gibt dort interessante Einblicke. Es ist selbstverständlich eine Menge Arbeit Coreboot zu entwickeln und sich mit den Herstellern rumzuärgern. Leider wird meine Hardware nicht vollständig unterstützt (1, 2) und ich bin doch noch etwas ängstlich das BIOS zu tauschen  :Wink: 

----------

## disi

 *forrestfunk81 wrote:*   

>  *schmidicom wrote:*   Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
> 
> http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
> 
> Zusammen mit der Möglichkeit dafür "einzustehen":
> ...

 

Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...

----------

## forrestfunk81

 *disi wrote:*   

> Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...

 

Super, vielen Dank für den Tipp. Das werd ich auf jedenfall mal ausprobieren. Die Bios Chips gibts ja schon für unter 10 €.

----------

## schmidicom

 *disi wrote:*   

> Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...

 

Hat er auch was zu dem Tianocore-Payload gesagt?

Habe gerade nach einer Doku gesucht die einem erklärt wie man das UEFI von Tianocore als Payload für Coreboot zusammenbasteln kann aber leider ist die Webseite von Tianocore eine einzige Katastrophe in Sachen Übersichtlichkeit und auf der Webseite von Coreboot gibts einfach nur einen Link zu der von Tianocore.

----------

## Klaus Meier

Ich sag mal so, erst mal nicht verrückt machen, Panik schadet mehr, als sie nutzt. Fakt ist, Secureboot ist aktuell bei x86 abschaltbar, und bei den Boards die es schon haben, da muss man es erst mit viel Aufwand aktivieren. Und betroffen ist ja nicht nur Gentoo, sondern fast jedes andere Linux und alle Rettungsmedien, Partitionierungstools usw. Und davon gibt es auch für Windows jede Menge, die kann man denen ja auch nicht einfach so nehmen.

Frage ist, bleibt es so, oder wird Secureboot irgendwann mal nicht mehr optional. Und in dieser Hinsicht können wir uns in erster Linie bei unseren Freunden von Red Hat und Ubuntu bedanken. Anstatt eine geschlossene Abwehrfront zu bilden und geschlossen zu sagen: "Nein", kann jetzt Microsoft immer sagen, was wollt ihr denn, Red Hat und Ubuntu haben es doch hinbekommen, also, es geht doch

Beim aktuellen Stand der Dinge besteht keine Gefahr. Es geht darum, etwas anderes zu verhindern.

Und da sehe ich zu Zeit Red Hat als Hauptansprechpartner. Die haben sich ja wie verrückt auf Secureboot gestürzt. Und das sehe ich inzwischen so, dass sie es nicht tun, um weiterhin ihre Produkte verkaufen zu können, sondern um es selber für sich zu nutzen. Was ist der Plan? Ein GnomeOS für Mobilgeräte mit eigenem Appstore und eigener Paketverwaltung. Die Extensions können schon nicht mehr über die normale Paketverwaltung aktualisiert werden.

Denken wir immer an Richard Stallman und daran, dass das frei für Freiheit steht und nicht für Freibier.

----------

## schmidicom

@Klaus Meier

Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".

Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.

----------

## Klaus Meier

 *schmidicom wrote:*   

> @Klaus Meier
> 
> Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".
> 
> Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.

 Bitte nenne es nicht "Lösung". Weiter unten hast du es ja auch in Anführungsstrichen geschrieben. Ich hatte den gleichen Gedanken. Red Hat ist das Problem, nicht die Lösung. Und daran werde ich immer denken.

----------

## ChrisJumper

Nun ich hoffe ganz einfach das die LÖSUNG genau so ist wie überall wo mit Signaturen gearbeitet wird:

Jeder der Mündig ist (weil er ein Gerät gekauft hat und es in seinen Eigentum überging und daher auch die Hardware besitzt) kann einfach seine eigenen Signaturen erstellen denen er vertraut und somit auch seine eigenen Zertifikate erstellen und die eigenen Kernel dann selber signieren.

Im Grunde geht es ja immer nur um Vertrauen. Wenn diese verrückte Hardware irgendwann existiert die dritte knechten und ihnen ihrer Freiheiten berauben möchte dann muss halt wieder der Lötkolben ran um dieses Monster der Realität anzupassen.

 *Quote:*   

> Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.

 

Nun die Chain of Trust, ist kein Mist. Mir persönlich gefällt es auch nicht wenn versucht wird mit einem solchen Entwurf DRM-Maßnahmen durch zu prügeln. Doch Sicherheitstechnisch hat es auf jeden Fall seine Berechtigung. Der Vorschlag von Red Hat klingt für mich auch wie ein Exploit des Systems. Der User wird sich bedanken wenn das Knoppix dann trotzdem startet.

Hier hätte ich lieber das per Default das System immer startet, aber bei unsignierten Kernen z.B. die Netzwerkkarte und USB nur eingeschränkt verfügbar ist.

----------

## Klaus Meier

Das erstellen eigener Signaturen ist nicht vorgesehen. Auch Red Hat überlässt das Microsoft. Kostet 80$. Für den Betrag kannst du dir dann auch deine Kernel signieren lassen.

Und zu dem mündig: Wenn man keine Alternative mehr hat? Bei Win8 für ARM ist dieses Feature Pflicht und abschalten nicht erlaubt. Und dann schau dir doch mal die Smartphones an. Da hast du auch keine Alternative, egal, ob du mündig bist oder nicht. Freie Geräte waren nie im Interesse der Hersteller. Deshalb durfte es die Meego Schiene von Nokia ja auch nicht geben. Auch wenn sie sich besser verkauft hätte als die Kachelöfen.

----------

## mv

 *ChrisJumper wrote:*   

> Jeder der Mündig ist (weil er ein Gerät gekauft hat und es in seinen Eigentum überging und daher auch die Hardware besitzt) kann einfach seine eigenen Signaturen erstellen denen er vertraut und somit auch seine eigenen Zertifikate erstellen und die eigenen Kernel dann selber signieren.

 

Genau das geht ja schon nicht mehr: Nicht der Käufer gilt als mündig, Signaturen zu verifizieren, sondern ausschließlich der Hersteller. Der Käufer ist noch so mündig, den gesamten Mechanismus abzuschalten, wenn er dafür auf das ihm eigentlich gesetzlich zustehende Recht der Garantie verzichtet. (Bei vielen Geräten bedeutet das nä mlich den Garantieverlust, der sich dann natürlich nicht auf die Software beschränkt).

 *Quote:*   

> Wenn diese verrückte Hardware irgendwann existiert die dritte knechten und ihnen ihrer Freiheiten berauben möchte dann muss halt wieder der Lötkolben ran um dieses Monster der Realität anzupassen.

 

Dann löte doch mal an den modernen alles-in-einem-Chip-Geräten. Am IPhone und Ipad kannst Du schon mal anfangen zu üben. Die Tendenz in diese Richtung wird noch weitergehen. Sicherlich mag es mal einzelne Geräte geben, die irgendjemand schafft, zu hacken. Aber um eine Distribution wie Gentoo am Laufen zu halten, selbst wenn Gentoo wohl durchschnittlich gesehen technisch versierte Benutzer hat, reicht ein Funktionieren auf ein paar zufälligerweise hackbaren Rechnern nicht aus. Im professionelleren Umfeld kann man das ohnehin vergessen.

 *Quote:*   

>  *Quote:*   Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist. Nun die Chain of Trust, ist kein Mist.

 

Wir reden aber nicht von der Chain of Trust, sondern von Mist, den jeder Virus schreiben kann. Man darf sich nichts vormachen: Der Sicherheitsaspekt von DRM ist ein reiner Vorwand, der - gerade für jemanden, der technisch versiert ist - eine offensichtliche Lüge ist. MS hat mit solchen Vorwänden Erfahrung ("Windows ist nicht ohne Explorer lauffähig"). Es ist erstaunlich schwierig, technisch nicht versierte Leute von der Falschheit solcher Aussagen zu überzeugen, und sie werden von MS perfekt zur Untermauerung ihres Monopols eingesetzt.

----------

## schmidicom

Wenn SecureBOOT mit eigenen Zertifikaten erweitert werden könnte (meinetwegen auch mit nicht entfernbarem MS Zerifikat im Speicher) hätte ich ja nichts dagegen einzuwenden aber dem ist wird unter Garantie auch nie so sein. Die Industrie hat hier schlicht und einfach nicht das heere Ziel den Kunden zu schützen (ob vor schädlicher Software oder fehlerhafter Handhabung) sondern diesen zu bevormunden um so ein aufkommen von alternativen zu verhindern.

So etwas sollte meiner Meinung nach schon in den Anfängen mit allen mitteln bekämpft werden denn wenn das erst einmal auf dem Markt ist wird es zu spät sein.

----------

## ChrisJumper

Hat jemand von euch denn schon ein Motherboard gekauft mit UEFI? Scheinbar gibt es die Möglichkeit "SecureBoot" zu deaktivieren. Dann ließe sich auch ohne Probleme Linux starten.

Ich werde mich erst aufregen und Protestieren wenn ich z.B. das UEFI nicht mehr gegen Coreboot austauschen kann. Also es dann wirklich alles so verschlossen ist und ich dem Hersteller ausgeliefert bin. Bisher ist mir ein solches System aber noch nicht untergekommen. Wahrscheinlich werde ich das bei meinem nächsten Rechner-Update ende des Jahres mal genau untersuchen.

Bisher habe ich nur bemerkt wie hitzig diese Diskussion geführt wird. Auch das Windows 8 auf der speziellen Architektur SecureBoot voraussetzt bedeutet ja nur das es nicht startet wenn SecureBoot im UEFI deaktiviert ist. Nicht aber das es dafür im UEFI keinen Schalter gibt.

Auch kann ich mir nicht vorstellen das Hersteller von Mainboards sich daran halten etwas so zu implementieren. Bei Apple ist das zum Beispiel immer so gewesen das sie Geräte für Nutzer als Hersteller entwickeln bei denen die Nutzer kurz angebunden sind. Aber bei meinem Mainboard von Asus darf ich das Bios Passwort noch selbst festlegen und Einstellungen vornehmen.

Natürlich kann ich auch verstehen das man nicht möchte das es schwerer wird für Linux-Neulinge das System zu wechseln. 

Nebenbei:

Der UEFI-Ansatz klingt wirklich gruselig. Im Artikel der Wikipedia steht bei der Kritik steht das dieses EFI zusätzliche Treiber benötigt und als Zwischenschicht immer die Kontrolle über die Hardware besitzt. Mir missfällt dieser Ansatz schon jetzt.

 *Quote:*   

> Windows ist nicht ohne Explorer lauffähig

 

Diese Erkenntnis war zusätzlich zu dem Rest, ausschlaggebend das ich Windows nicht mehr verwenden wollte.

----------

## schmidicom

@ChrisJumper

UEFI != Secureboot

Das Secureboot ist ein Feature das ab der UEFI Version 2.3.1 offiziell von www.uefi.org spezifiziert wurde und beispielsweise von AMI (oder einem anderen Anbieter für ein BIOS/UEFI) den Computerherstellern angeboten werden kann.

Meine Geräte die ein UEFI haben sind noch älter und frei von Secureboot oder aber der Hersteller sah sich nicht (noch nicht) genötigt davon Gebrauch zu machen. UEFI ist an sich eine gute Sache doch was Microsoft und ihre unheilige Allianz daraus machen wollen ist für jeden der sich mit Technik auskennt der reinste Albtraum. Das ganze erinnert mich wieder an diese ACPI Geschichte wo sich MS mit Händen und Füssen dagegen werte das Linux gezwungener massen (denn ohne laufen aktuelle System ja nicht mehr richtig) versuchte davon Gebrauch zu machen, was ja bis heute dank MS nicht 100% fehlerfrei funktioniert.Last edited by schmidicom on Sun Aug 05, 2012 5:55 pm; edited 1 time in total

----------

## Klaus Meier

@schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.

@ChrisJumper: Dass man es momentan noch abschalten kann, das ist doch schon erwähnt worden. Keine Ahnung, welche spezielle Architektur du meinst. Wenn es ARM sein sollte, da ist dieser Schalter im BIOS definitiv verboten. Also nicht, dass Windows einfach nicht startet. Es gibt ihn einfach nicht. Und glaubst du, dass irgend jemand Boards raus bringt, auf denen nur Linux läuft?

Und dann kannst du ja einen Brief an Asus schreiben, wenn es denn so weit ist. Abwarten, bis es so weit ist? Was sagt jemand, der aus dem 10. Stock gesprungen ist, wenn er am ersten Stock vorbeikommt? Bis jetzt ist doch nichts passiert. Schau dir doch mal an, was bei den Smartphones abgeht. Hast du da irgendeine Wahl ohne gefährliche Hacks?

----------

## schmidicom

 *Klaus Meier wrote:*   

> @schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.

 

Ist doch ganz einfach, das Prinzip ist ja fast das selbe wie bei https.

Dein Computer oder Browser kennt verschiedene Zertifikate die er über https akzeptiert und da kannst du ja auch selber ein Zertifikat erstellen das du sowohl auf dem Client als auch auf dem Server installierst.

Du darfst dir da halt eben nur nicht das Root-Zertifikat klauen lassen sonst ist es mit der Sicherheit ziemlich schnell vorbei.  :Wink: 

----------

## ChrisJumper

 *Klaus Meier wrote:*   

> Hast du da irgendeine Wahl ohne gefährliche Hacks?

 

Nun also ich habe so ein Android, mit... äh Entwicklerupdate. Aber das ich bei einem Mobiltelefon kein Linux habe ist für mich eine ganz andere Geschichte. Da hat es aber mit Sicherheit zu tun. Denn der CCC hat ja mal gezeigt was sich so alles Anstellen lässt mit einem Mobiltelefon wenn man es zu hundert Prozent unter der Kontrolle hat, Stichwort IMSI-Catcher.

Ja ich meinte die ARM-Architektur. Habe Secureboot aber auch immer als ein Zusatzfeature gesehen das eben den Rest nicht ausschließt. Was macht denn z.B. Google? Wobei gut die können auch eine Signatur kaufen für 99 Euro. Mir persönlich wäre es das im Notfall auch Wert wenn ich da nicht den Kernel einschicken müsste sonder ein Zertifikat bekomme mit dem ich meinen Code Signieren kann.

Aber der Sicherheitsgewinn ist damit dahin. 99 Euro ist für einen Virus eigentlich ein Witz. Obwohl ja niemand möchte das sein Name in einem Virus auftaucht. ;)

 *Quote:*   

> @schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.

 

Ach verflucht so meinst du das, also das der Virus auf meinem Computer einfach bemerkt das ich meine Kernel selber signiere und dann die modifizierte Evilversion signiert und nach /boot kopiert?

Nun dafür müsste er dann vorher aber schon zugriff haben. Secureboot soll z.B. verhindern das jemand in deiner Firma auftaucht, einen USB-Stick anschließt und davon Bootet und von Innen deine Infrastruktur angreift.

Oder das der Zoll dir den Bundestrojaner so installiert das dieser zuerst Bootet und dann deinen Kernel startet und dein Betriebssystem nicht merkt das es in einer Virtuellen Umgebung hängt. Oder jemand einfach deinen Kernel nachträglich verändert oder austauscht.

 *schmidicom wrote:*   

> Du darfst dir da halt eben nur nicht das Root-Zertifikat klauen lassen sonst ist es mit der Sicherheit ziemlich schnell vorbei.

  Ja das ist natürlich auch ein Problem vor dem Verisign steht... wie war das noch mal mit Flame und dem Windows-Update? ;D

Bei Gentoo mache ich ja immer schon drei Kreuze und hoffe das keine Server infiziert werden, als auch das Modifikationen der Quell-Dateien eher auffallen weil hier ja auch noch die Prüfsumme dabei ist.

 *Klau Meier wrote:*   

> Und glaubst du, dass irgend jemand Boards raus bringt, auf denen nur Linux läuft?

 

Nun ich denke das es sehr viele User gibt die sich dagegen wehren wenn sie Linux nicht mehr verwenden können. Auch wenn ich z.B. mehr Nutzer kenne die ein Apple Produkt verwenden als Linux, finde ich doch das Linux in der Gesellschaft schon stärker verbreitet ist. Und wenn es für viele nur ein Zweitsystem zum Surfen und Chatten ist. Diese würden sich bestimmt wehren wenn es so weit ist. Auch alle die noch ein Windows XP besitzen, würden richtig sauer sein wenn sich das nicht mehr installieren ließe. Denn all diese "alten" CD's oder DVD's haben ja definitiv keine Signatur mit auf dem Datenträger. Vielleicht liegt aber dafür auch schon ein Schlüssel/Hash für die Roh-Windowskernel-Versionen dabei.

Was ich aber auch nicht glaube, dann müsste ja nur jemand den Windows-XP-Boot so umbiegen/Erweitern das dieser sofort Linux Bootet....

----------

## mv

 *ChrisJumper wrote:*   

> Bei Gentoo mache ich ja immer schon drei Kreuze und hoffe das keine Server infiziert werden

 

Das ist in diesem Thread zwar Off-Topic, aber ein MITM reicht aus. Es wird höchste Zeit, dass Gentoo ein vernünftigeres Signierungssystem implementiert.

 *Quote:*   

> Und wenn es für viele nur ein Zweitsystem zum Surfen und Chatten ist. Diese würden sich bestimmt wehren wenn es so weit ist.

 

Deinen jugendlichen Optimismus möchte ich noch haben.

 *Quote:*   

> Auch alle die noch ein Windows XP besitzen, würden richtig sauer sein wenn sich das nicht mehr installieren ließe.

 

Ein paar werden vielleicht kurz zucken und dann doch "wie üblich" das neue Windows mit dem neuen Rechner dazukaufen, weil es ja ohnehin schneller und besser ist und die Hardware voll unterstützt.

----------

## Yamakuzure

Meine Güte. Was für ein Gewese. Das ist ein tolles System für große Firmen die von großen Herstellern Desktops und Laptops für ihre Mitarbeiter kaufen, die damit aus datenschutzrechtlichen Gründen nicht rumspielen sollen.

Wenn jemand meint sich ganz dringend ein Secure-Boot-Windows-8+-only-Laptop für den Privatgebrauch kaufen zu müssen, dann selbst Schuld. Aber glaubt doch nicht ernsthaft, dass alle hersteller plötzlich nur noch solche Maschinen anbieten. Von Mainboard-Herstellern ganz zu schweigen.

Edith will noch untermauern: *http://www.pro-linux.de/news/1/17527/kommentar-2013-das-jahr-in-dem-linux-unterging.html wrote:*   

> Der springende Punkt der Diskussion ist aber, dass es sich lediglich um fertige Systeme mit einer Zertifizierung für Windows-8-PCs handeln wird – wenn überhaupt. Betroffen von möglichen Problemen wären also Laptop- und Fertigsystemkäufer, die ein dediziertes System mit einer Windows-8-Zertifizierung gekauft haben. Es ist davon auszugehen, dass kein Motherboardhersteller, der seine Produkte als Komponenten verkauft, die neue Funktion nutzen wird. Hier sind die Hürden für ihn schlicht zu groß. Schrauber, Tüftler und Anwender, die sich ihre Systeme selbst zusammenstellen, werden also aller Voraussicht nach sowieso außen vor bleiben.

 

----------

## Klaus Meier

Dein Glaube in Ehren. Nur, bei den Smartphones ist es so. Bei den ARM Boards für Win8 ist es so, das sind Fakten. Und die interessieren mich mehr als dein Glaube.

----------

## casualx

denkt ihr wirklich das kriegt niemand hin?

ich mach mir da keine sorgen da es noch nen haufen hacker auf der welt gibt die diesen typen mit ihrem scheiss uefi bios mist usw. in den arsch treten werden...ich mach mir da keine gedanken und lese gar nichts drüber weil erstens ist es nur panikmache und zweitens handelt es sich um microsoft & co

was die schon alles wollten und dann wurdes trotzdem nichts...ich meine hacker haben schon alles von denen geknackt...windows,die xbox,die xbox 360 usw...ausserdem nicht vergessen es gibt die linuxfoundation,gnu,fsf usw

da hab ich mehr angst das microsoft die zombie apokalypse anführen wird (umbrella) lol

einfach immer drank denken...das sind software heinis die mit viren usw probleme haben...denen treten wir in den arsch

----------

## forrestfunk81

 *Klaus Meier wrote:*   

> Dein Glaube in Ehren. Nur, bei den Smartphones ist es so. Bei den ARM Boards für Win8 ist es so, das sind Fakten. Und die interessieren mich mehr als dein Glaube.

 

Nein. Bei Smartphones ist es nicht so, zumindest nicht bei Android und Apple ist wenns um (halbwegs) offene Systeme geht sowieso raus. Man muss das Telefon zwar flashen, aber wichtig ist: man kann es flashen. Das ist zwar ne kleine Hürde, aber sollte einen Gentoo Nutzer, der sowieso laufend in den Innereien von Computer System rumbastelt nicht aufhalten  :Wink:  Ich hab mittlerweile auf 6 Android Smartphones für mich und Freunde CyanogenMod installiert und es gab nie Probleme (+ noch ein paarmal öfters installieren, wegen neuen Versionen). Ach ja, fast hätt ichs vergessen: Bei HTC war der Bootloader ja gelockt. Aber auch das konnte/kann man problemlos umgehen und HTC hat versprochen das bei neuen Telefonen nichtmehr zu machen.

Ich hab aber noch ein kleines Verständnis Problem, welches ich trotz Suche nicht lösen konnte. So wie ich das verstanden hab, soll das UEFI mit aktiviertem Secure Boot dann also nen signierten Bootloader oder sowas laden welcher den signierten Kernel lädt, welcher die signierten Treiber lädt usw. Windows muss doch sicher auch mal seinen Kernel updaten und dieser muss dann ja wieder signiert sein. Wenn also Windows seinen eigenen Kernel bei einem Update irgendwie signieren kann, kann ein gehacktes Windows das auch womit die ganze Trust Chain wieder fürn A.... ist. Hat jemand ne Ahnung wie die solche grundlegenden Probleme lösen wollen? Oder gibts für Windows (z.B. für die ARM Tablets) keine Kernel Updates?

----------

## Klaus Meier

Ich habe ein HTC und es ist alles andere als ein Kinderspiel. Natürlich musst du es flashen, wie soll denn das neue OS sonst drauf kommen. Aber bevor es soweit ist, musst du Dinge tun, die dich die Garantie kosten und dazu führen können, dass gar nichts mehr geht.

Begeisternd, dass du so etwas auch noch gut findest. Dir ist schon klar, dass keines der Geräte, von denen du hier so stolz redest, im Falle eines Defektes Garantie oder Gewährleistung bekommt?

----------

## forrestfunk81

 *Klaus Meier wrote:*   

> Begeisternd, dass du so etwas auch noch gut findest.

 

Dass ich was gut finde? Dass ich einen nicht verschlossenen Bootloader habe (nicht HTC) und deshalb die Möglichkeit habe ein anderes OS/Distribution zu installieren? Ja, das find ich gut!

Schon möglich, dass man beim Öffnen des Bootloaders für HTC Telefone die Garantie verliert. HTC hat sich dazu hier geäußert. Aber den Bootloader öffnen ist z.B. bei Samsung und den meisten anderen Android Geräten gar nicht nötig, womit man auch die Garantie nicht verliert. Finde den Link grad nichtmehr, aber die Aussage von Samsung war so, dass man die Software Garantie beim Rooten verliert  (auch irgendwie logisch), nicht die Hardware Garantie. 

Bei einem HTC hab ich das bisher nicht mit über den offiziellen HTC Weg gemacht. Im CM Wiki gibts Schritt für Schritt Anleitungen für viele HTC Telefone. Da steht auch drin wie man S-OFF setzt (den Bootloader öffnet). Man kann das Gerät angeblich auch wieder auf S-ON setzen (noch nicht getestet) und die original Software einspielen, wenn das Gerät noch halbwegs funktionstüchtig ist. Dann sollte HTC auch nicht merken, dass man daran rumgeschraubt hat.

----------

## schmidicom

Hacks in allen ehren aber egal wie gut diese auch sind oder wie schnell nach dem Release diese zur Verfügung stehen es sind und bleiben Hacks die nicht nötig sein sollten.

Abgesehen davon bezweifle ich das es einfach mal so im Handumdrehen ein gehacktes UEFI für die kommenden Geräte geben wird den ein UEFI macht ein bisschen mehr als der Bootloader eines Smartphone und wir sehen ja wie schwer es Coreboot hat mit der aktuellen Hardware schritt zu halten selbst jetzt wo AMD mithilft.

----------

## mv

 *schmidicom wrote:*   

> Hacks in allen ehren

 

Wenn sich Gentoo nur noch an speziellen Geräten mit speziellen Hacks installieren lässt, wird die User- und Developerbasis so klein, dass es de facto tot ist. Auf legalen Servern irgendwelcher Firmen o.ä. wird es dann ohnehin nicht mehr betrieben werden können, womit auch das Interesse der derzeitigen Hauptentwickler schwinden wird.

----------

## Genone

 *forrestfunk81 wrote:*   

> Ich hab aber noch ein kleines Verständnis Problem, welches ich trotz Suche nicht lösen konnte. So wie ich das verstanden hab, soll das UEFI mit aktiviertem Secure Boot dann also nen signierten Bootloader oder sowas laden welcher den signierten Kernel lädt, welcher die signierten Treiber lädt usw. Windows muss doch sicher auch mal seinen Kernel updaten und dieser muss dann ja wieder signiert sein. Wenn also Windows seinen eigenen Kernel bei einem Update irgendwie signieren kann, kann ein gehacktes Windows das auch womit die ganze Trust Chain wieder fürn A.... ist. Hat jemand ne Ahnung wie die solche grundlegenden Probleme lösen wollen? Oder gibts für Windows (z.B. für die ARM Tablets) keine Kernel Updates?

 

Da ja nur signierte Software ausgeführt wird haben Viren keine Chance irgendwas zu machen. Soweit zur Theorie. Das ganze System funktioniert nur solange eine lückenlose Trustchain eingehalten wird (eigentlich für jeden Aufruf einer systemverändernden Funktion), es definitiv keine Malware schafft sich dort einzuschmuggeln und alle Komponenten diesbezüglich bugfrei sind. Wäre überrascht wenn in der Realität auch nur eine dieser Annahmen wirklich aufgeht.

----------

## cryptosteve

 *Genone wrote:*   

> Das ganze System funktioniert nur solange eine lückenlose Trustchain eingehalten wird (eigentlich für jeden Aufruf einer systemverändernden Funktion), es definitiv keine Malware schafft sich dort einzuschmuggeln 

 

Kann ja nicht. Da sterben ja ganze Wirtschaftszweige, wenn's keine Malware und Viren gibt oder zumindestens User, die daran glauben.

Von den armen Geheimdiensten ganz zu schweigen, die müssen dann ja wieder zu richtiger Arbeit zurückkehren. So mit Auslandsreisen und so.  :Smile: 

----------

## Klaus Meier

Da scheint doch jemand an einer benutzbaren Lösung zu arbeiten.

http://www.heise.de/open/meldung/UEFI-Secure-Boot-fuer-Suse-Linux-1664594.html

Gut, erst mal abwarten, wie praktikabel es dann ist und ob und wie es denn dann bei Gentoo implementiert wird. Aber der erste Ansatz, bei dem ich das Gefühl habe, dass es da auch um den Anwender geht.

----------

## schmidicom

 *Klaus Meier wrote:*   

> http://www.heise.de/open/meldung/UEFI-Secure-Boot-fuer-Suse-Linux-1664594.html

 

Wie ich auf heise dazu ebenfalls geschrieben habe:

 *Quote:*   

> Was an dieser "Lösung" so viel besser sein soll als an der von Redhat
> 
> erschlisst sich mir nicht wirklich.
> 
> Dieses lädt jenes und jenes lädt dieses und irgendwo ganz hinten
> ...

 

http://www.heise.de/open/news/foren/S-Der-selbe-Mist-wie-bei-Redhat-und-Co/forum-235191/msg-22263206/read/

EDIT:

Mir ist gerade durch diverse Forenbeiträge auf anderen Webseiten noch eine weitere Sache aufgefallen die von diesem Secureboot in Mitleidenschaft gezogen wird. Wenn Secureboot aktiv ist wird vom UEFI direkt ja nur noch Code ausgeführt der über Microsoft digital signiert ist wie hier inzwischen sicher alle wissen und das ist für den Kernel Marke Eigenbau ja im direkten boot verfahren nicht so toll.

Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.

Damit ist die nahe Computerzukunft gleich noch ein gewaltiges Stück dunkler geworden...

----------

## cryptosteve

 *schmidicom wrote:*   

> Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.

 

Ich glaube nicht, dass sich das innerhalb der EU so durchsetzen lässt - da sind die Kartellwächter rechtzeitig auf Zack.

----------

## ChrisJumper

 *Quote:*   

> Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.

 

Hm? Sicher, sonst akzeptiert UEFI die Hardware nicht? Ich glaube nicht das es soweit geht. Firmware ist doch immer komplett unabhängig vom Betriebssystem und Treiber werden und sollten immer Signiert sein. Aber auch dort gab es zwar zertifizierte Hersteller, aber ich glaube nicht das MS ausnahmslos jedem Anbieter von Hardware ein Zertifikat verordnet das bei jedem Update Signiert werden muss.

Für entsprechende Sicherheitsbereiche ist das natürlich wünschenswert.

Aber je länger ich über diese Implementierung nachdenken umso mehr kommt mir der Gedanke das hiermit lediglich illegale Kopien von Windows unterbunden werden sollen. Doch ich traue ihnen auch zu das sie für die Signatur noch einmal die Hand aufhalten. Doch das wird bestimmt nicht verpflichtend sein.

----------

## casualx

am besten wäre es wenn sich ein uefi gremium gründen würde aus microsoft,linux foundation, apple sowie den bsd projekten. was wir user wollen ist demokratie und kein faschistisches konstrukt weder anarchie seitens microsoft!

ich frag mich wie das wohl ausgehen wird und ob microsoft nicht wieder mal den kürzeren ziehn wird am schluss. aus rechtlicher sicht weiss ich nciht wie es aussieht, nur hat ja microsoft schon wegen dem internet explorer ziemlich ärger gehabt( kartellrecht).

desweiteren denke ich werden auch die hardware hersteller auf wiederstand stossen...als beispiel werden serverbetreiber jeglicher art sich nie zwingen lassen einen windows server zu nutzen.

(für den fall das wir alle verarscht wurden und sich ab 21.12.2012 kein linux mehr booten lässt wissen wir wer schuld am weltuntergang sein wird..lol)

jedoch denke ich  ist es sache von gnu, der fsf und der linux foundation eine lösung zu finden.

red hat, fedora, canoncial, novel und alle anderen die mit microsoft kollaborieren sind nichts anderes als abschaum!

kopfüber in die hölle mit denen!

----------

## schmidicom

 *ChrisJumper wrote:*   

> Hm? Sicher, sonst akzeptiert UEFI die Hardware nicht? Ich glaube nicht das es soweit geht.

 

Wenn Secureboot aber garantieren soll das vor dem Betriebssystem kein zweifelhafter/unsignierter Code ausgeführt wird muss es aber so funktionieren. Denn sonst könnten sich Viren und der gleichen ja nach wie vor in der Firmware von Hardwarekomponenten einnisten die noch vor dem Start des eigentlichen Betriebssystem initialisiert werden müssen.

Die Firmware eines Raidcontrollers beispielsweise wird ja vom BIOS/UEFI ausgeführt damit diese ihrerseits das Raid initialisieren und an das BIOS/UEFI weiterreichen kann.

----------

## ixo

Hallo,

da mir das Thema quer runtergeht, möchte ich hier noch einen anderen Aspekt beitragen:

Linux hat einen Anteil von 6% am Servermarkt. Die Hardware-Margen sind für die Hersteller äußerst bescheiden. Soweit ein paar Fakten.

Wenn nun Windows UEFI erfordert, bleibt den Herstellern nichts anderes übrig, als das einzubauen. Wenn in absehbarer Zukunft RedHat (und SUSE) UEFI unterstützen, werden diese Linuxe auch zunehmend mit UEFI installiert werden, da sie sonst ja "unsichter" sind. Zumindest marketingtechnisch wird das so laufen. In den "richtigen" Rechenzentren werden übrigens zu großen Teilen RedHat (RHEL) und SUSE (SLES) verwendet. (1) Das bedeutet, dass der Anteil der Systeme, die mit Linux auf Servern ohne UEFI laufen müssen (wie Debian oder Gentoo) deutlich kleiner als 6% sein wird. Die Marketingmaschinerie (vor allem von Microsoft, Stichwort FUD) wird ihren Teil dazu beitragen, diese System als "unsicher" zu verunglimpfen, was zu weiteren Umstellungen Richtung UEFI führen wird.

Für die Hersteller von Servern bleibt also nur noch ein kleiner Teil von Servern, die UEFI abschaltbar haben müssen (was dann angeblich auch eine Sicherheitslücke ist). Die Frage ist also, reicht z.B. 1.% der Server noch aus, um ein komplexeres BIOS zu rechtfertigen?

Sehen wir uns die Arbeitsplatzrechner an: Bei den "professionell" genutzten Arbeitsplatzrechnern sieht der Linux-Anteil noch schlechter aus als bei den Servern. Ansonsten; siehe oben.

Bei den privat genutzten Rechner wird der Linux Anteil heruntergehen, einfach weil man im BIOS herumfummeln muss, damit es überhaupt bootet - und zwar nicht nur einmal, sondern jedes Mal, wenn man statt Windoze Linux booten will (sei's von Platte, von USB-Stick oder von CD). Dazu hat Lieschen Müller  (oder auf Englisch "Joe Sixpack") keine Lust. Das heißt wiederum, wenn überhaupt nimmt man RedHat oder irgendwas anderes, was UEFI unterstützt. Auch hier stellt sich wieder die Frage, ob man Boot ohne UEFI unterstützen will (Pflege, QA, Support). Bei - mal angenommenem - einem Euro Mehrkosten pro Rechner kommt da unterm Strich einiges zusammen (für einen großen Anbieter).

Das ist meine mir gar nicht gefallende Sicht der Dinge. Sagt mir bitte, dass ich Unrecht habe, aber dieses UEFI Zeugs könnte sich noch äußerst übel entwickeln. 

 :Shocked:  ixo

(1) RZs wie z.B. die von Google und 1&1 nehme ich hier aus, die bauen meist sowieso ihre eigene Hardware und sind keine Kunden für die Hersteller.

----------

## firefly

UEFI != SecureBoot! Secureboot ist nur Bestandteil von UEFI 2.3.x

----------

## ixo

Ok, danke; dann tausch die Begriffe aus.

Grüße, ixo

----------

## schmidicom

Inzwischen sind ja ein paar Jährchen ins Land gezogen und wir alle um die eine oder andere Erfahrung reicher.  :Wink: 

Hier mal meine:

Inzwischen gibt es kaum noch ein Gerät bei dem SecureBoot nicht mit dabei wäre und das üblicherweise auch gleich standardmässig eingeschaltet. Und wie erwartet wird das ganze in eigentlich allen Fällen nur mit den Microsoft-Zertifikaten ausgeliefert, was natürlich bedeutet das nun alle zum signieren zu Microsoft rennen wenn sie wollen das ihre Software möglichst überall OOTB läuft. Aber es gibt auch Lichtblicke.

Zumindest bei den besseren Geräten (üblichweise Business-Modelle) wird SecureBoot offenbar gemäss den Spezifikationen implementiert. Was bedeutet das man es dort problemlos Ein-/Ausschalten kann und man kann in der Regel auch den Zertifikats-Speicher auf irgendeine Art und Weise frei konfigurieren. Klar warnen kann man eigentlich nur vor den Consumer-Modellen, dort ist völlig unklar in welcher Qualität das ganze umgesetzt wird.

Mein kürzlicher Versuch das SecureBoot von meinem Tuxedo-Laptop nach meinen Vorstellungen einzurichten verlief überraschend positiv, was aber auch zu grossen Teilen der wirklichen guten Doku von Sakaki zu verdanken ist.

https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Configuring_Secure_Boot

----------

## Klaus Meier

Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest. Also ich hatte bislang 2 Modelle von HP, immer unterste Preisklasse, ließ sich im BIOS ohne Probleme ausschalten. Genauso wie bei meinen PCs, die ich mir eh alle selber zusammenbaue. Bei jedem separat gekauften Mainboard war Secureboot komplett abschalt und konfigurierbar. Aber man weiß halt vorher nie, was da irgendwelche OEMs verbasteln.

Einfach im Geschäft kaufen und vor dem Kauf nachsehen.

Und ich hatte noch nie ein Bedürfnis, es zu aktivieren.

----------

## schmidicom

 *Klaus Meier wrote:*   

> Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest.
> 
> ...

 

Ja, ich meinte hauptsächlich Laptops. Sorry, hätte da etwas genauer sein sollen.

Im Desktop-Bereich kenne ich nichts anderes als die eher besseren Business-Geräte oder eben Selbstbau-Teile und da lies sich SecureBoot bis jetzt auch immer ohne Probleme abschalten.

 *Klaus Meier wrote:*   

> Und ich hatte noch nie ein Bedürfnis, es zu aktivieren.

 

Ich hab es primär auch nur gemacht um mal erste Erfahrungen damit zu sammeln und weil das ganze (natürlich mit eigenen Zertifikaten im Speicher) beim Laptop möglicherweise auch gar nicht mal so verkehrt ist.

----------

## ChrisJumper

Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren?

So hatte sich das doch dann auch aufgelöst. Ich hab es auch immer ausgeschaltet, aber wenn man auch selber eine Signatur nutzen kann wäre es noch besser.

Auf der anderen Seite gefällt mir folgender Ansatz noch besser: Coreboot, Pureboot und U-Boot.

Pureboot wurde halt von den Leuten hinter Librem5 entwickelt die halt auch das Pureos machen. Es setzt glaub ich auch auf Coreboot auf. Ist halt dann gleich der nächste Schritt bei dem man auch dem Bios nicht mehr Vertraut und es durch was anderes ersetzt.

Aber da muss man dann auch bei der Hardware schauen oder selber noch größere "Klimmzüge" machen wenn das Board das nicht unterstützt.

Das mit den eigenen Zertifikaten im Speicher, ist wirklich interessant schmidicom. Hatte ich bisher so gar nicht im Blickfeld das es da schon was gibt das man mal umsetzen könnte.

----------

## schmidicom

 *ChrisJumper wrote:*   

> Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren?

 

Schön wärs...

Microsoft wird diesen Schlüssel niemals aus der Hand geben.

Der einzige Grund warum Distributionen wie RedHat, Fedora, Debian, Ubuntu und so weiter auf Maschinen mit aktivem SecureBoot (wo der Zertifikatsspeicher nicht angepasst/erweitert wurde) überhaupt noch booten können ist der Zwischenbootloader "Shim" [1]. Und "Shim" ist im Prinzip nichts anderes als ein Hack, ein Bootkit mit guten Absichten, das zur Überraschung von vielen den Signierungsprozess bei Microsoft ohne grosse Probleme überstanden hat.

Nur so als Info am Rande, die Signierung von GRUB oder eines fertig kompilierten Linux-Kernel lehnte Microsoft bis jetzt immer ab.

[1] https://www.pro-linux.de/news/1/19063/uefi-secure-boot-technische-beschreibung-von-shim.html

EDIT:

Ich weiss nicht warum Microsoft den Zwischenbootloader "Shim" im Gegensatz zu GRUB oder dem Linux-Kernel für OK genug hält um das mit ihrem Schlüssel zu signieren, aber vielleicht wollten sie ja auch einfach einen weiteren "M$ ist ein böses Monopol, Fight it!"-Shitstorm vermeiden und da kam ihnen "Shim" gerade recht. Und/Oder sie wollten den Kartellwächtern keinen weiteren Grund geben ihnen aufs Dach zu steigen...

----------

## Erdie

Irgendwie klingt das alles nach Murks, auch wenn es funktioniert. Zwar bietet Secure Boot eine (scheinbare) Sicherheit, aber auf der anderen Seite ist UEFI so mächtig und komplex, dass dort wiederum Scheunentore offenstehen und das Ganz ad absurdum geführt wird. Dann hätte man besser gleich alles auf dem Stand von vor 10 Jahren lassen können.

----------

