Schlagwort-Archive: Secure Boot

Vorwurf: Windows-8-Feature behindert Linux

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Linux-Community fürchtet Windows-„Verdongelung“

Windows 8 bringt unter anderem die neue Funktion Secure Boot, die auf PC-Mainboards und Notebooks mit den jüngsten UEFI-Versionen ab 2.3.1 den Start unsignierter Bootloader blockiert. Ist Secure Boot aktiv, lässt sich also auch kein Linux starten, sofern es nicht die nötigen Signaturen mitbringt und vom Besitzer oder Administrator des jeweiligen Computers explizit für das Gerät erlaubt wurde.

Das ist gerade die Intention von Secure Boot: Das System soll vor Zugriffen mit anderen Betriebssystemen geschützt werden, damit also nicht etwa ein Dieb Daten ausspäht, indem er einen gestohlenen PC beispielsweise von einem USB-Stick bootet. Zudem soll Secure Boot auch Manipulationen am Code des Betriebssystems erkennen, um Infektion mit Schadsoftware zu enttarnen. Secure Boot verlangt, dass sämtliche Firmware und Software, die für den Boot-Prozess nötig ist – also außer Bootloadern etwa auch UEFI-Treiber für Onboard-Komponenten und Erweiterungskarten – Signaturen vertrauenswürdiger Certificate Auhthorities (Trusted CAs) trägt.

Der Linux-Entwickler Matthew Garrett befürchtet jedoch, dass UEFI Secure Boot auch die Installation von Linux auf damit geschützten Systemen verhindert. Er sieht einerseits Schwierigkeiten darin, dass möglicherweise nicht alle PC-Hersteller überhaupt bereit sind, Schlüssel für signierte Linux-Software in der UEFI-Firmware ihrer jeweiligen Produkte zu hinterlegen. Andererseits erwartet er Probleme schon beim Bootloader Grub 2: Dieser steht unter der Lizenz GPLv3, die ausdrücklich verlange, dass solche Schlüssel veröffentlicht werden. Vermutlich müsste aber auch der Linux-Kernel signiert werden, was für individuell kompilierte Kernel großen Zusatzaufwand erfordere.

Unter Verweis auf eine Präsentation (PowerPoint-pptx-Datei), die auf der Windows-Entwicklerkonferenz Build gezeigt wurde, geht Garrett davon aus, dass alle Client-Systeme – Desktop-PCs, Notebooks, Tablets – mit Windows-8-Logo UEFI Secure Boot unterstützen müssen und diese Funktion auch aktiviert sein muss. Zumindest die zweite Vorgabe ergibt sich aus dieser Präsentation aber nicht zwingend: Es könnte ja auch vorgesehen sein, dass die Funktion ausdrücklich vom Besitzer oder Administrator des Rechners aktiviert werden muss. Außerdem dürften die meisten UEFI-tauglichen Systeme wie bisher zumindest optional ein Compatibility Support Module (CSM) laden können, das den Start von Betriebssystemen im BIOS-Modus ermöglicht, schon weil das eine zwingende Voraussetzung für die Installation von 32-Bit-Windows ist: Im UEFI-Modus lassen sich nur die x64-Versionen von Windows seit Vista installieren. Microsoft nennt Systeme, die alternativ im UEFI- oder BIOS-Modus starten können, Klasse-2-(Class-2-)Systeme; solche ohne CSM gehören zur Klasse 3.

Allerdings ist nicht klar, unter welchen Bedingungen sich mehrere Betriebssysteme, von denen manche im UEFI- und andere im BIOS-Modus starten, auf dieselbe Festplatte installieren lassen – das dürfte die Parallelinstallation bei Notebooks, Tablets und anderen Geräten mit nur einem Massenspeicher erschweren. Zumindest die angekündigten Windows-8-Mobilcomputer mit ARM-SoCs wird es überhaupt nur in Klasse-3-Versionen geben. Bei diesen Geräten will Microsoft die Sicherheit der Plattform auch dadurch steigern, dass unter der Metro-Oberfläche ausschließlich die Installation geprüfter und signierter Apps aus dem App Store vorgesehen ist.

Eine weitere Schwierigkeit für den Start alternativer Betriebssysteme könnte sich aus der Vollverschlüsselung von Festplatten per TCG Opal oder BitLocker ergeben, sofern der Bootloader Funktionen mitbringen muss, um selbstverschlüsselnden Laufwerken (Self-Encrypting Drives/SEDs) einen Schlüssel zu übergeben.

Den originalen Artikel mit allen Links von Christof Windeck, findet ihr unter Linux-Community fürchtet Windows-„Verdongelung“ von heise.de.

Die englische Version des Artikels findet ihr unter Community fears Windows 8 Secure Boot will block Linux.

Freundliche Grüße
das OSS-Haus Team