Archiv für den Monat: September 2011

Linux wird nicht ausgebootet

Mit Secure Boot, das Microsoft mit Windows 8 forcieren will, sollen Rechner künftig nur noch signierte Betriebssysteme starten. Was auf den ersten Blick wie ein Kampagne gegen Linux und Open Source aussieht, ist in Wahrheit ein ausgeklügeltes Sicherheitssystem, von dem Server-Distributionen profitieren können.

PCs und Notebooks könnten sich künftig weigern, Linux oder andere Betriebssysteme zu starten, wenn zuvor Windows 8 installiert wurde. Dafür wäre die Secure-Boot-Funktion der UEFI-Firmware künftiger Rechner verantwortlich, die Microsoft ab Windows 8 unterstützen will. Ist Secure Boot aktiviert, startet die UEFI-Firmware nur noch signierte Betriebssysteme, deren Signaturschlüssel vom Mainboard- oder UEFI-Hersteller in einer speziellen Datenbank hinterlegt sind. So sieht es die am 6. April 2011 veröffentlichte UEFI-Spezifikation 2.3.1 vor, die derzeit unter den Chip- und Mainboard-Herstellern diskutiert wird – denn schon die nächste Generation Chipsätze soll die neue Spezifikation unterstützen.

Mit Secure Boot wollen Microsoft und die Hardware-Hersteller, so auch die offiziellen Stellungnahmen, Angreifern das Leben schwer machen: Die Sicherheitsmechanismen eines Betriebssystems mögen noch so ausgefeilt sein – wird zuvor etwa über einen Bootsektor-Virus ein Schadprogramm in den Speicher geladen, kann es die Schutzmechanismen nach Belieben aushebeln. Bootet der Rechner nur noch signierte Bootloader, Betriebssysteme und Hypervisors von einigen wenigen vertrauenswürdigen Quellen, können Angreifer das Betriebssystem nicht mehr manipulieren und den Schutzmechanismen des Betriebssystems nicht mehr zuvor kommen. Außerdem sieht der UEFI-Standard vor, dass die Firmware den Key für eine verschlüsselte Festplattenpartition an das signierte Betriebssystem weiterreicht.

Um Linux auf einem solchen Rechner anstandslos starten zu können, müssten Bootloader und Kernel signiert sein und der öffentliche Signaturschlüssel in der Datenbank der Mainboard-Firmware vorliegen. Die Hersteller dürften durchaus damit einverstanden sein, die Schlüssel der großen und der kommerziellen Distributoren wie Red Hat, Oracle und Suse aufzunehmen. Damit kämen die Enterprise-Distributionen dieser Hersteller in den Genuss der gleichen Manipulationssicherheit wie Windows 8.

Ob sie aber auch freien Projekten wie Debian und Fedora und den unzähligen kleinen Linux-Distributionen genügend vertrauen, um deren Schlüssel standardmäßig auf den Mainboards zu hinterlegen, ist fraglich. Schließlich genügt einem Angreifer Zugang zu einem einzigen Signaturschlüssel, um seine Schadprogramme korrekt signieren und unbemerkt in den Bootvorgang einfügen zu können.

Die UEFI-Spezifikation sieht allerdings auch vor, unsignierte Software zu starten: So wird unter Punkt 27.7.3.3 bei Schritt 5 explizit die Möglichkeit beschrieben, den Benutzer nach einem (zuvor festzulegenden) Passwort zu fragen, falls die UEFI-Firmware auf ein nicht signiertes Boot-Image stößt. So lässt sich verhindern, dass sich ein Angreifer unbemerkt in den Bootvorgang einklinkt – ohne dem (autorisierten) Benutzer Beschränkungen bei der Software aufzuerlegen.

Damit das Passwort nicht bei jedem Start erneut abgefragt wird, müssten die Linux-Distributoren den Bootloader und ihren Kernel dennoch signieren – und den Signaturschlüssel mit Hilfe einer UEFI-Applikation in der Schlüsseldatenbank des Mainboards nachtragen.

Technisch ist dies eine durchaus lösbare Aufgabe, die Umsetzung bereitet jedoch rechtliche Probleme: So wird der heutige Standard-Bootloader Grub 2 unter der GPLv3-Lizenz veröffentlicht, die vorschreibt, dass der Signaturschlüssel ebenfalls offengelegt werden müsste. Damit würde man Angreifern jedoch Tür und Tor öffnen, da sie sich dann auf jedem Rechner mit Grub-Installation wiederum unbemerkt in den Bootprozess jedes installierten Betriebssystems einklinken könnten. Die Installation von Linux und Grub könnte sich letztlich sogar als Sicherheitsrisiko entpuppen.

Den originalen Artikel mit allen Links von Mirko Dölle, findet ihr unter Die Woche: Linux wird nicht ausgebootet von heise – Open Source.

Freundliche Grüße
das OSS-Haus Team

Linux-Community fürchtet Windows-„Verdongelung“

Windows 8 bringt unter anderem die neue Funktion Secure Boot, die auf PC-Mainboards und Notebooks mit den jüngsten UEFI-Versionen ab 2.3.1 den Start unsignierter Bootloader blockiert. Ist Secure Boot aktiv, lässt sich also auch kein Linux starten, sofern es nicht die nötigen Signaturen mitbringt und vom Besitzer oder Administrator des jeweiligen Computers explizit für das Gerät erlaubt wurde.

Das ist gerade die Intention von Secure Boot: Das System soll vor Zugriffen mit anderen Betriebssystemen geschützt werden, damit also nicht etwa ein Dieb Daten ausspäht, indem er einen gestohlenen PC beispielsweise von einem USB-Stick bootet. Zudem soll Secure Boot auch Manipulationen am Code des Betriebssystems erkennen, um Infektion mit Schadsoftware zu enttarnen. Secure Boot verlangt, dass sämtliche Firmware und Software, die für den Boot-Prozess nötig ist – also außer Bootloadern etwa auch UEFI-Treiber für Onboard-Komponenten und Erweiterungskarten – Signaturen vertrauenswürdiger Certificate Auhthorities (Trusted CAs) trägt.

Der Linux-Entwickler Matthew Garrett befürchtet jedoch, dass UEFI Secure Boot auch die Installation von Linux auf damit geschützten Systemen verhindert. Er sieht einerseits Schwierigkeiten darin, dass möglicherweise nicht alle PC-Hersteller überhaupt bereit sind, Schlüssel für signierte Linux-Software in der UEFI-Firmware ihrer jeweiligen Produkte zu hinterlegen. Andererseits erwartet er Probleme schon beim Bootloader Grub 2: Dieser steht unter der Lizenz GPLv3, die ausdrücklich verlange, dass solche Schlüssel veröffentlicht werden. Vermutlich müsste aber auch der Linux-Kernel signiert werden, was für individuell kompilierte Kernel großen Zusatzaufwand erfordere.

Unter Verweis auf eine Präsentation (PowerPoint-pptx-Datei), die auf der Windows-Entwicklerkonferenz Build gezeigt wurde, geht Garrett davon aus, dass alle Client-Systeme – Desktop-PCs, Notebooks, Tablets – mit Windows-8-Logo UEFI Secure Boot unterstützen müssen und diese Funktion auch aktiviert sein muss. Zumindest die zweite Vorgabe ergibt sich aus dieser Präsentation aber nicht zwingend: Es könnte ja auch vorgesehen sein, dass die Funktion ausdrücklich vom Besitzer oder Administrator des Rechners aktiviert werden muss. Außerdem dürften die meisten UEFI-tauglichen Systeme wie bisher zumindest optional ein Compatibility Support Module (CSM) laden können, das den Start von Betriebssystemen im BIOS-Modus ermöglicht, schon weil das eine zwingende Voraussetzung für die Installation von 32-Bit-Windows ist: Im UEFI-Modus lassen sich nur die x64-Versionen von Windows seit Vista installieren. Microsoft nennt Systeme, die alternativ im UEFI- oder BIOS-Modus starten können, Klasse-2-(Class-2-)Systeme; solche ohne CSM gehören zur Klasse 3.

Allerdings ist nicht klar, unter welchen Bedingungen sich mehrere Betriebssysteme, von denen manche im UEFI- und andere im BIOS-Modus starten, auf dieselbe Festplatte installieren lassen – das dürfte die Parallelinstallation bei Notebooks, Tablets und anderen Geräten mit nur einem Massenspeicher erschweren. Zumindest die angekündigten Windows-8-Mobilcomputer mit ARM-SoCs wird es überhaupt nur in Klasse-3-Versionen geben. Bei diesen Geräten will Microsoft die Sicherheit der Plattform auch dadurch steigern, dass unter der Metro-Oberfläche ausschließlich die Installation geprüfter und signierter Apps aus dem App Store vorgesehen ist.

Eine weitere Schwierigkeit für den Start alternativer Betriebssysteme könnte sich aus der Vollverschlüsselung von Festplatten per TCG Opal oder BitLocker ergeben, sofern der Bootloader Funktionen mitbringen muss, um selbstverschlüsselnden Laufwerken (Self-Encrypting Drives/SEDs) einen Schlüssel zu übergeben.

Den originalen Artikel mit allen Links von Christof Windeck, findet ihr unter Linux-Community fürchtet Windows-„Verdongelung“ von heise.de.

Die englische Version des Artikels findet ihr unter Community fears Windows 8 Secure Boot will block Linux.

Freundliche Grüße
das OSS-Haus Team

Ein Leitfaden durch Google+

Bislang konnte beim sozialen Netzwerk Google+ nur mitmachen, wer von einem Mitglied eingeladen wurde. Jetzt hat Google die Plattform für die breite Öffentlichkeit geöffnet und gleichzeitig eine Reihe neuer Features vorgestellt. Für Neueinsteiger haben wir einen übersichtlichen Leitfaden entdeckt.

Zu den neuen Features gehört auch die Möglichkeit, Videokonferenzen – bei Google+ heißen sie Hangouts – via Smartphone durchzuführen. Für das Google-Betriebssystem Android steht im Market bereits eine aktualisierte App zur Verfügung. Für iPhone und iPad soll noch diese Woche ein entsprechendes Update in den App Store kommen. Dieser Leitfaden gibt Google+-Debütanten das wichtigste mit auf den Weg.

Ebenfalls verbessert wurde die Suchfunktion von Google+: Suchanfragen im Suchfeld von Google+ quittiert das System mit relevanten Ergebnissen zu Personen und Beiträgen sowie anderen Beiträgen aus dem Web. Nutzer mit gemeinsamen Interessen können damit einfacher in Kontakt treten. Die Neuerungen führt Google ab sofort sukzessive ein, sodass sie in wenigen Tagen allen Anwendern von Google+ zur Verfügung stehen sollten.

Google hatte den Facebook-Konkurrent Google+ in diesem Sommer gestartet. Experten schätzen, dass der Dienst inzwischen 25 Millionen Mitglieder hat. In der Social-Network-Welt ist es damit freilich ein Zwerg – Facebook hat aktuell rund 750 Millionen Mitglieder.

Zuletzt hatte Google mit der Ankündigung für Wirbel gesorgt, für Google+ eine Klarnamenpflicht durchzusetzen. Das heißt, zugelassen wird nur, wer sich mit seinem echten Namen anmeldet, Pseudonyme werden gelöscht. Anfang des Monats hatten sich Politiker und Netzaktivisten in einem offenen Brief gegen diese Pflicht ausgesprochen.

In ihrem Brief argumentiert die Gruppe, dass sich ein gehobenes Kommunikationsniveau nicht durch einen Klarnamenzwang herstellen lasse, „da jedermann versuchen kann, unter einer Anscheins-Identität aufzutreten, deren Echtheit Sie mit gängigen Online-Verfahren schwer überprüfen können“. Auch dass Google mit der Regelung Spam verhindern wolle, sei ein schwaches Argument: „Jeder Spammer [wird] versuchen, sich einen glaubwürdigen Echtnamen zu geben.“

Daraufhin schaltete sich CEO Eric Schmidt in die Debatte ein und verteidigte die Klarnamenpflicht mit deutlichen Worten. In einem Interview am Rande des Edinburgh International TV Festival sagte Schmidt gegenüber Radioreporter Andy Carvin, Nutzer, die ihren echten Namen nicht angeben wollten, sollten das Soziale Netzwerk meiden. Niemand werde gezwungen, das Netzwerk zu nutzen, so der Google-Manager im Hinblick auf Sicherheits- und Datenschutzbedenken. Menschen, die mit der Angabe ihres Namens ihr Leben riskierten, sollten darauf verzichten – etwa Syrer und Iraner. Das Social Network sei ein auf Identitäten basierender Dienst. Sein Geschäftsmodell sei davon abhängig, dass die Anwender ihren echten Namen nennen.

Den originalen Artikel mit den Fotogalerien: „Leitfaden für Google+“ sowie „Erster Spaziergang durch Google+“ und allen Links von Kai Schmerer und Sibylle Gassner, findet ihr unter Ein Leitfaden durch Google+ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Zertifiziertes Booten macht Linux Kummer

Will ein Hardware-Hersteller einen zertifizierten Rechner mit Windows-8-Logo verkaufen, muss er „sicheres Booten“ anbieten. Das aber macht einen Dualboot mit Linux (und älteren Windows-Versionen) schwierig bis unmöglich.

Wer sich zukünftig einen Rechner kauft, der für Windows 8 zertifiziert ist (mit dem Windows-Logo), sollte zweimal nachdenken: Der für das Zertifikat notwendige sichere Boot-Prozess von Windows 8 sperrt womöglich Nutzer anderer Betriebssysteme aus. Er erfordert für die am Bootprozess beteiligte Software und Firmware Zertifizierungen durch eine Certificate Authority (CA). Zudem muss die BIOS-Firmware durch UEFI ersetzt werden (PPTX-Dokument). Microsofts offizielle Begründung für diesen Schritt lautet Malware-Prävention.

Aufgefallen ist die neue Anforderung Matthew Garrett. Das Problem sei weniger die UEFI-Spezifikation für das Booten (Linux unterstützt den Vorläufer EFI), sondern die Zertifizierung, schreibt Garrett in seinem Blog. Die werde mit Schlüsseln umgesetzt, die von Microsoft stammen oder vom Hardware-Hersteller. Ohne die passenden Schlüssel verweigere der Rechner das Booten. Damit also Linux bootet, müssten der Bootloader Grub oder – in Zukunft – der Kernel signiert werden. Das sei nicht nur für selbstgebaute Kernel ein Problem, sondern auch für den unter der GPL stehenden Bootloader Grub.

Garrett verfällt jedoch nicht in Panik: Die Hardware-Hersteller würden vermutlich eine Boot-Option anbieten, um das sichere Booten zu unterdrücken. Dann bliebe allerdings noch ein gravierendes anderes Problem: Für Dual-Boots müssten die Anwender jedes Mal zwischen sicherem und unsicherem Booten umschalten. Das würde aber auch für einen Dual-Boot mit Windows 7 oder früher gelten. Insofern wird vielleicht sogar Microsoft selbst dafür sorgen, sich nicht ins eigene Bein zu schießen und rechtzeitig eine Lösung für das Problem finden.

Den originalen Artikel mit Links von Kristian Kißling, findet ihr unter Zertifiziertes Booten macht Linux Kummer von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Freitag geht’s in die neue Saison bei den Open-Source-Treffen

Hallo liebe Freunde der Open-Source-Treffen,

ich hoffe, ihr hattet alle einen trotz der Wetterkapriolen schönen und entspannten Sommer, viele entspannte Stunden und eine gute Zeit. Zwar sind die letzten Sonnenstrahlen vielerorts zumindest noch im Ansatz sichtbar, doch der Herbst hält mit schnellem Schritt Einzug. Das soll euch jedoch nicht betrüben, heißt es doch auch, dass die neue Saison der Open-Source-Treffen beginnt! (Und wenn’s sein muss, organisieren wir rechtzeitig Glühwein…)

Diesen Freitag, den 23. September, wie gewohnt ab 18 Uhr im Café Netzwerk,

findet das erste Treffen im Herbst statt, das mit zwei spannenden Programmpunkten aufwartet: Zum einen wird uns Michael in die Entwicklung von Applikationen unter MeeGo einführen, zum anderen steht eine Besprechung auf dem Programm, wie wir ein FSFE-Fellowship-Treffen in München realisieren können.

In bewährter Manier erinnere ich auch nochmal daran, dass wir Vorträge zu allen Themen rund um freie Software und offenen Standards jederzeit mit Handkuss entgegennehmen. 😉

In diesem Sinne: Wir hoffen, euch alle am Freitag zu sehen und freuen uns schon jetzt auf einen gemütlichen Abend mit euch!

Happy hacking,
Carsten und Flo

Diese Einladung stammt von Florian Effenberger, Document Foundation.

Freundliche Grüße
das OSS-Haus Team