Linux Foundation präsentiert eigene Pläne für "Secure Boot"

Eigener Boot-Loader soll von Microsoft signiert werden - Kritik von Fedora-Entwickler

Nach Fedora, openSUSE und Ubuntu hat nun auch die Linux Foundation ihre Pläne für den Umgang mit dem Sicherheitsmechanismus "UEFI Secure Boot" bekannt gegeben - und diese unterscheiden sich in so manchen Details doch signifikant.

Gemeinsamkeiten

Zuerst mal zu den Gemeinsamkeiten: Wie bei den anderen auch soll hier dem eigentlichen Boot-Loader ein minimaler Pre-Boot-Loader vorangestellt werden, den man von Microsoft signieren lassen will, um die Checks von Secure Boot zufrieden zu stellen. Allerdings setzt die Linux Foundation hier auf die Eigenentwicklung "Loader" statt auf den von den anderen genutzten "Shim".

Vertrauensfrage

Viel wichtiger aber noch: Die Linux-Foundation will den danach startenden, vollwertigen Bootloader (typischerweise: Grub2) im Gegensatz zu Fedora und Co. nicht signieren. Stattdessen werden die NutzerInnen gefragt, ob sie den zweiten Bootloader als vertrauenswürdig einstufen - ist dies der Fall bootete das System künftig ohne weitere Nachfragen, der Eintrag wird im UEFI-Setup dauerhaft freigegeben. Alle anderen Pläne sehen bisher auch die Signatur des zweiten Bootloaders vor, bei Fedora und openSUSE will man zudem auch die nachfolgenden Kernel signieren.

Kritik

Die Herangehensweise der Linux Foundation stieß denn auch gleich umgehend auf Kritik: Solch ein Vertrauen auf die NutzerInnen könnte dazu genutzt werden, um diesen Schadsoftware unterzujubeln - und so die Vorteile von UEFI Secure Boot vollkommen zunichte zu machen, so Red-Hat-Entwickler Matthew Garrett. Würden die UserInnen nicht genau aufpassen und einen modifizierten Boot-Loader fälschlicherweise als "sicher" bestätigen, ließe sich so sogar einem Windows-System vorspiegeln, das alles abgesichert ist - während im Hintergrund Schadsoftware eingeschleust wurde.

Problematik

Und dies hätte auch sehr konkrete Auswirkungen für Linux-Systeme: In dem Moment in dem dies passiere, werde Microsoft den entsprechenden Boot-Loader nämlich schlicht auf die "Blacklist" von UEFI Secure Boot setzen, womit alle damit ausgestatteten Systeme nicht mehr booten würden.

Disclaimer

All die aktuellen Pläne sind derzeit natürlich noch nicht in Stein gemeißelt. Insofern bleibt abzuwarten, ob man hier in den kommenden Monaten noch zu einer gemeinsamen Lösung findet - oder doch tatsächlich unterschiedliche Wege beschritten werden. (apo, derStandard.at, 12.10.12)

Share if you care
Posting 1 bis 25 von 38
1 2

Das ganze Bedarf keiner technischen Lösung, sondern einer juristischen Lösung vor dem Kartellamt gegen M$.

M$ macht nix anderes, als die Hersteller mit ihrem Monopol unter Druck zu setzen. Ohne Monopol könnte M$ das niemals durch ziehen und die Hersteller dazu zwingen.

Ich frag mich gerade: Sehe ich das richtig, daß alle Lösungsansätze für das "Secure"-Boot-Problem auf dem Gedanken beruhen, daß der Enduser nur ein binär verteiltes Programm einsetzt? Das ist ja doch das exakte Gegenteil dessen, was sowohl freie Software als auch Opern Source grundsätzlich ermöglichen wollen... Und das Gegenteil dessen, was ich seit rund 10 Jahren mache. Ich kompiliere mir GRUB *natürlich* selbst, und das muß für alle möglich bleiben.

Secure Boot abschalten

Ich werde Secure Boot abschalten.

Ich hoffe sehr, dass das geht.

Ich brauche nämlich von der Linuxfoundation keinen Schlüssel, der von Microsoft (!) siginiert ist.

... werde Microsoft den entsprechenden Boot-Loader nämlich schlicht auf die "Blacklist" von UEFI Secure Boot setzen, womit alle damit ausgestatteten Systeme nicht mehr booten würden

Wie stellt man sich das vor? Daß der Bootloader über Netz "nachfragt", ob er booten darf?

Alte PCs nicht mehr wegwerfen

Brauche für das Finanzamt eine inzwischen über 20 Jahre alte Fibu und die braucht DOS bzw.98 und original Backup und Restore und das noch etwa 12 Jahre, mit Aufbewahrungsfrist. Das wird langsam schwierig!
Ist nur ein Beispiel von sicherlich vielen.
Aber was regen wir uns auf, der Win-Normal-Verbraucher merkt da nichts von.
Und der einzige Sinn, ein 90+%-Monopol zu stützen, wird sicherlich erreicht.

probiers mit einer virtuellen maschine...

und ein weiterer punkt warum linux niemals ein erfolg wird

sogar bei so wichtigen funktionen wird linux nicht ein linux sein sondern es wird linux-distros mit der einen oder andren bootfunktion geben.
genau das ist der grund warum linux niemals erfolg am desktop haben wird - ein durchschnittsuser will sich nicht tagelang mit der auswahl einer distro beschäftigen oder nach 3 wochen draufkomen, daß er doch eine andere nehmen hätte sollen.

Der Vorteil von wenig Verbreitung am Desktop ist Sicherheit.
Da kann ich mich entspannt zurücklehnen, mittlerweile ist die Verbreitung gross genug dass jede Hardware unterstützt wird, und zusätzlich hat man noch die Sicherheit.
Was will man mehr?

Ein Durchschnittsuser wird garantiert nicht alle Distros sich erlesen. Für diese Leute gibts maximal drei Distros (wenn die nicht eh schon bei Ubuntu gelandet sind). Da ist ja die Wahl eines Pudding im Kühlregal differenzierter.

und genau das ist das problem

es wurde auch schon bewiesen in untersuchungen, daß weniger gekauft wird wenn die auswahl größer ist.

wenn man die auswahl zwischen 3 puddings hat dann nimmt man eher einen als wenn man vor einem regal steht mit 30 verschiedenen puddingarten weil man nicht die falsche wahl treffen möchte.
ist ein psycholgisch untersuchtes phänomen

und da es geschätzt 100 linux-distros gibt nimmt man lieber garkeine ... gleiches psychologisches phänomen.

Beim Vergleich mit Linux müssten die Puddings aber unter anderem gratis sein.
Und in diesem Fall würde dann gevöllert was das Zeugs hält!!
Du kannst dir deine Versuch also einmagerieren.

Du bist genauso ein Heuler wie der Al selber.

Wer hatn die Untersuchung gemacht ?

Josef Stalin ? Karl Marx ?

Blödsinn

Die Bootloader sind der Distribution mitgegeben, wer zu Distribution X ja sagt, sagt auch zu dem default mitgelieferten Bootloader ja.

anscheinend hab ich mich nicht klar ausgedrückt.

nachdem ja gleich 2 leute nicht verstanden haben was ich meinte.

genau das ist ja mein problem: selbst bei so essentiellen funktionen kann man sich drauf verlassen, daß linux immer dasselbe ist.
wenn man sich schon bei sowas nicht einigen kann und bei 10000 anderen BS-funktionen auch nicht, wie kann ich mich dann drauf verlassen, daß die programme die ich haben möchte auf meinem linux laufen würden?
das ist dann bei jedem programm ein roulette-spiel weil ich niemals wissen kann was das programm voraussetzt und warum es sagt "geht nicht - funktion xy nicht vorhanden".

Ganz eben dem ist nicht so.

Ich versuchs Dir zu erklären: POSIX ist eine Standardisierung der Calls bzw. der API. Durch diesen Standard ist es Dir möglich Programme so ziemlich auf jedem POSIX-kompatiblen System aufzurufen. Das seit 1985 - nur so unixoide sind stabil in ihrem System und in ihrer API. Wie lange gabs COM+ ? Wie lange ActiveX ? Wie lange wirds .NET geben...

Grad eben als Programmierer kann ich mich auf diese offenen und von allen akzeptierten Standards berufen, ohne abhängig von EINER Stelle zu sein. Man ist auf der sicheren Seite wenn man für Unix/Linux programmiert.

Und Du hast dich schon klar ausgedrückt, Du versucht nun hier das Thema zu wechseln. Der "Durchschnittsuser" sucht keine 3 wochen nach bootloadern, der drückt einfach "ENTER".

Es gibt nicht DAS Linux.....

Gabs noch nie!

eben

und genau das ist das problem.

für Dich vielleicht ...

es laufen trotzdem alle! Anwendungen/Programme auf allen Linuxen (um bei ihren Wortlaut zu bleiben). Wo ist da jetzt ihr Problem??

Sie scheinen nicht zu verstehen oder zu wissen, das dem so ist, sonst würden sie nichts Gegenteiliges behaupten

vielleicht, vielleicht auch nicht

vor ca. 3-4 wochen war hier ein bericht darüber wie schwierig es für softwareentwickler ist, daß es soviele distributionen gibt.

Für die Softwareentwickler ist es nicht so ein Problem, maximal für den Kunden, da kompilieren nicht jedermanns Sache ist (obwohl eh einfach). Aber es funktioniert auf jeden Fall immer!

Was sie behaupten, ist eben einfach FUD!

Der 0815-Linuxianer verwendet als Basis Ubuntu/Debian oder Fedora.... (sicher Marktanteil von 70%, bein Anfängern wohl >90%)

2 bzw. von mir aus 3 würde ich jetzt nicht unbedingt als "soviele" bezeichnen, sonst gibts auch "soviele" Windowss... (Wo eben nix garantiert wird, sondern extra immer dabeisteht, für welches Windows es gerade geht und für welches nicht...)

Und wer sichert mir zu

dass die Signatur echtist. Und wer sichert mir wieder um zu dass der Zusicherer echt. und wer sichert mir weiter zu ...

Die Zertifikatskette tut das.
You're welcome.

Posting 1 bis 25 von 38
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.