View previous topic :: View next topic |
Author |
Message |
Erdie Advocate
Joined: 20 May 2004 Posts: 2625 Location: Heidelberg - Germany
|
Posted: Fri Sep 23, 2011 11:57 am Post subject: Nur noch signierte Bootloader zu starten -> Tod von Gento |
|
|
Hi,
es kursiert in den Medien ja die Meldung, dass es in Zukunft aus Sicherhietsgründen hardwareseitig verhindert werden soll, unsignierte Bootloader zu starten.
Auf Heise steht, das ist ja kein Problem, da SuSE, Readhat können ja ihre Kernel signieren lassen ..blablabla
Tja, nur was ist mit Gentoo? Ist es so exotisch, seinen eigenen kernel zu bauen, dass niemand diese mehr in Erwägung ziehlt?
Ich habe mich bisher auch ohne dieses Gedöns, was mich eher an Apple erinnert, relativ sicher gefühlt.
Was mein ihr?
Grüße
Euer Erdie |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2625 Location: Heidelberg - Germany
|
Posted: Fri Sep 23, 2011 12:33 pm Post subject: |
|
|
Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren. |
|
Back to top |
|
|
disi Veteran
Joined: 28 Nov 2003 Posts: 1354 Location: Out There ...
|
Posted: Fri Sep 23, 2011 1:00 pm Post subject: |
|
|
Erdie wrote: | Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren. |
Das Problem ist doch, dass die Huerde ein anderes Betriebssystem zu installieren, damit bedeutend groesser wird oder Dualboot mit Windows. _________________ Gentoo on Uptime Project - Larry is a cow |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2396 Location: Germany
|
Posted: Fri Sep 23, 2011 8:22 pm Post subject: |
|
|
Generell halte ich das für eine gute Sache! Also das sich der Computer ohne eine bestimmte Signatur weigert diversen Code zu starten, bzw. in diesem Fall ein Betriebssystem zu booten. Gerade für Notebooks ist das interessant. Da kann man dann eben nicht ein USB-Stick anstecken und von diesem Booten. (Nun gut dagegen gibt es verschlüsselte Datenträger).
Allerdings sollte man dann auch so konsequent sein, das sich der "Kunde" zu dem Mainboard einen entsprechenden Schlüssel generieren kann damit er anschließend die Kernel selber signieren kann. Der springende Punkt ist ja das die wohl nur den Hardware-Herstellern und Lieferanten vorbehalten zu sein scheint. Allerdings hoffe ich das man sich bei einem Komponenten-Kauf entsprechende Schlüssel generieren oder es eben aktivieren/deaktivieren kann.
Zudem halte ich es für unwahrscheinlich das man es so komplett unterbinden wird die Firmware von dem Mainboard zu flashen.
Sollte Windows so verfahren, habe ich das dann richtig Verstanden das ein Kunde eines vorinstallierten Windows 8 Systems, kein Windows XP oder Windows Vista mehr installieren kann, wenn dies nicht signiert ist/wird? Langsam verstehe ich warum Microsoft dies anstrebt.
Scherz beiseite. Ich halte das wirklich für ein wichtiges "sicherheits-feature". Allerdings ist es doch nicht konsequent wenn man die Trust of Chain nicht bis in die VM weiterreicht. |
|
Back to top |
|
|
franzf Advocate
Joined: 29 Mar 2005 Posts: 4565
|
Posted: Sat Sep 24, 2011 7:08 am Post subject: |
|
|
Im BIOS Booten von CD/Stick/... deaktivieren, BIOS mit Passwort schützen und schon sollte niemand mehr "einfach so"den Rechner ankriegen. Zusammen mit einer Festplattenverschlüsselung sollte das System mindestens so sicher sein, wie mit diesem "Secure Boot". Es ist halt ein gewisser Aufwand, der für DAUS eine Hürde darstellt - wenn diese aber dann munter alles anklickt was sie anblinkt hilft auch das beste SecureBoot nichts mehr...
Ich empfinde das als rechtwidrige Bevormundung. Wenn ich mir (teuer) Hardware kaufe und dann nur das vorinstallierte OS starten kann, wäre mir das glatt eine Klage wert! |
|
Back to top |
|
|
Finswimmer Bodhisattva
Joined: 02 Sep 2004 Posts: 5467 Location: Langen (Hessen), Germany
|
|
Back to top |
|
|
Josef.95 Advocate
Joined: 03 Sep 2007 Posts: 4644 Location: Germany
|
Posted: Sat Sep 24, 2011 11:57 am Post subject: |
|
|
Naja, m Grunde genommen ja eine gute Sache, doch wenn der Administrator nicht mehr selbst entscheiden kann was für ein OS auf der Hardware installiert und genutzt werden kann finde ich das schon sehr bedenklich. Ich würde solche Hardware gar nicht erst kaufen.
Siehe zb im Blog von Matthew Garrett
UEFI secure booting
und
UEFI secure booting (part 2)
Und dann das Update aus Microsoft: Secure Boot schließt andere Systeme nicht aus (heise) Quote: | [Update]
Red-Hat-Mitarbeiter Matthew Garrett, der die ganze Diskussion ins Rollen gebracht hatte, weist in einem Blog-Beitrag darauf hin, dass Sinofsky seiner ursprünglichen Analyse in keinem Punkt widerspricht. Mit Secure Boot werde es schwieriger oder unmöglich, alternative Systeme zu installieren. Eine Zertifizierung für Windows 8 verlange zwar, dass die Hardware Secure Boot unterstützt, aber weder, dass der Anwender die sichere Boot-Option abschalten könne, noch die Mitlieferung anderer Schlüssel als desjenigen von Microsoft. Einige Hardware-Hersteller, so Garrett, hätten bereits gesagt, dass sie Secure Boot nicht abschaltbar machen wollten. Wenn solche Systeme nur mit einem Microsoft-Schlüssel ausgeliefert werden, sei es nicht möglich, darauf ein anderes Betriebssystem zu installieren. |
|
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2253 Location: My own world! I and Gentoo!
|
Posted: Sat Sep 24, 2011 2:42 pm Post subject: |
|
|
Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus? _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2396 Location: Germany
|
Posted: Sun Sep 25, 2011 3:38 pm Post subject: |
|
|
Max Steel wrote: | Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus? |
Zusammengefasst: Wenn in der Firmeware von deinem Mainboard ein Schlüssel/Signatur (für den Kernel der Ultimate-Boot-CD) installiert ist, startet es normal. Wenn das nicht der Fall ist. Wirst du beim booten darauf hingewiesen und musst ein Passwort eingeben und kannst es dann auch wie gewohnt nutzen.
Wenn man es nicht definitiv abschalten kann, das nach einem Passwort gefragt wird, ist es bei Gentoo wirklich störend. Ich sehe aber auch keinen Sicherheitsgewinn in diesem Unterfangen, wenn man nicht in der Lage ist die Schlüssel selber zu signieren oder zu erstellen.
Zwar werden hier die Bootsektor-Viren genannt, aber sofern der Bereich für UEFI beschreibbar ist. Wahrscheinlicher werden dann die alternativen zum heutigen Bios stärker benutzt.
Aber hier stellt sich mir dann die Frage ob die zu bootenden Kernel auch eine Signatur-Prüfung des "UEFI-Systems" vornehmen und überhaupt starten....
Last edited by ChrisJumper on Mon Sep 26, 2011 9:29 am; edited 1 time in total |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Mon Sep 26, 2011 8:56 am Post subject: |
|
|
Josef.95 wrote: | Ich würde solche Hardware gar nicht erst kaufen. |
Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.
Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.
Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.
*mal symbolisch "Wehret den Anfängen!" ruft* |
|
Back to top |
|
|
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Mon Sep 26, 2011 3:04 pm Post subject: |
|
|
Quote: |
Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.
Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.
|
Höööhööö wieviel Raucher haben gesagt, dass sie nicht mehr in die Kneipen gehen, ich lach mich schief, zwei Hand voll Idealisten werden das Boykott durchziehen und bis zum Sankt Nimmerleins Tag ihren 64er versuchen mit Linux zu malträtieren.
Quote: |
Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.
|
60W...
Ich glaub nicht, dass sich sowas durchsetzen kann. Und wenns ne 3 Tage Bastelarbeit wird, das Linux da drauf zu booten - mir solls egal sein. Aber leider wäre das dann ein herber Schlag in die Eier, viele Entwickler werden sich zurückziehen, neue kaum noch kommen, wenn der Einstieg noch nichtmal klappt... _________________ 1 ha == 1 Hekto-Ar == 1 Hektar |
|
Back to top |
|
|
Josef.95 Advocate
Joined: 03 Sep 2007 Posts: 4644 Location: Germany
|
Posted: Mon Sep 26, 2011 8:56 pm Post subject: |
|
|
slick wrote: | Josef.95 wrote: | Ich würde solche Hardware gar nicht erst kaufen. |
Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann. | Da gibt es keinen Druck
Aus dem alter bei Facenook, oder ähnlichen Netzwerken meine privaten Daten preiszugeben bin ich raus - wer das dennoch macht ist selbst schuld wenn die Daten vermarktet werden.
Gibt ja auch noch EMail, Brief-post, Jabber, und das gute alte Telefon - das muss reichen.
slick wrote: | Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt. | Nunja, ich denke aktuell macht Microsoft es der Industrie, den Hardwareherstellern schmackhaft möglichst die "sichere Boot-Option" nicht abschaltbar zu machen und auch keine Keys bereitzustellen, und die Industrie springt drauf an um sie mit dem begehrten "Designed for Microsoft Windows 8 Logo" besser vermarkten zu können.
Was nützt mir Hardware auf der zb weder GRUB noch ein selbst konfigurierter Kernel sich nutzen lässt...
nichts, und daher würde ich sie gar nicht erst kaufen (vorausgesetzt es kommt tatsächlich so wie Microsoft und UEFI sich das zZt vorstellen)
slick wrote: | Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen. | Gibt ja auch noch 200 Watt mit E40 Fassung...
slick wrote: | *mal symbolisch "Wehret den Anfängen!" ruft* | Ja, wenn dies bezüglich des Microsoft Monopols gemeint ist - dann ja, das sollte man möglichst verhindern. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Wed Sep 28, 2011 8:27 am Post subject: |
|
|
Selbst wenn diese "Sicherheitsmassnahme" letzten Endes so funktioniert wie sie sollte bin ich davon alles andere als begeistert. Wieder ein völlig überflüssiges Feature mehr das einem bei der Installation eines Betriebssystem oder bei der Fehleranalyse auf die Nerven gehen kann.
Und überhaupt finde ich allein schon den Versuch dem Kunden vorschreiben zu wollen was für ein OS er benutzen soll eine verdammte Frechheit!
Das so etwas auf legalem weg realisiert werden kann wundert mich doch sehr.
EDIT:
Ich hoffe ja nur das man, wenn es denn so weit ist, dann auf ein funktionierendes Coreboot zurückgreifen kann (Im Moment scheint deren Code noch etwas verbugt zu sein denn beim bauen eines BIOS für den Tyan S2895 bricht das ganze immer wieder ab). Oder alternativ, wie in einigen Blogs und News behauptet wird, diese Überprüfung im UEFI auch wirklich noch nachträglich anpassen/abschalten kann. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
3PO Veteran
Joined: 26 Nov 2006 Posts: 1110 Location: Schwabenländle
|
Posted: Thu Sep 29, 2011 4:05 pm Post subject: |
|
|
Da ja am 21.12.2012 sowieso die Welt untergeht, ist mir das relativ egal, denn bis dahin komme ich noch mit meiner jetzigen Hardware aus.
Sollte die Welt an o.g. Datum nicht untergehen, bin ich überzeugt, dass es findige Hacker gibt, die einen BIOS-Hack veröffentlichen, der diesen Quatsch umgehen kann. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
|
Back to top |
|
|
disi Veteran
Joined: 28 Nov 2003 Posts: 1354 Location: Out There ...
|
Posted: Fri Aug 03, 2012 8:44 am Post subject: |
|
|
Ich achte schon seit Jahren darauf keine Windows OEM Version mit Hardware zu kaufen. Da schliesse ich mich 100% an und solche Hardware kommt mir nicht ins Haus, wenn ich es vermeiden kann. _________________ Gentoo on Uptime Project - Larry is a cow |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 567 Location: münchen.de
|
Posted: Fri Aug 03, 2012 9:46 am Post subject: |
|
|
Danke für den Hinweis.
Prinizipiell ist Secure Boot ja nicht verkehrt. Trotz verschlüsselter Festplatte bleibt bisher zumindest die Boot Partition unverschlüsselt. Wenn also jemand Hardware Zugriff hat, kann der Kernel ausgetauscht und manipuliert werden. Mit selbst generiertem Schlüsseln könnte man das verhindern. Allerdings muss man dann wohl bei jedem Kernel Update die Schlüssel aktualisieren. Da stellt sich die Frage, wie umständlich und zeitaufwendig das ist.
Ich bau meine Rechner immer aus Einzelteilen. Da können die Hersteller nicht einen festen unveränderlichen Schlüssel mit dem Mainboard ausliefern ohne es komplett unbrauchbar zu machen. Bei Laptops und Komplettsystemen mit vorinstalliertem OS sieht das natürlich anders aus.
Aber was wird dann aus den normalen Consumer PCs? Wenn dort ein unveränderlicher Schlüssel eingetragen ist und sich jemand die Windows Installation zerschießt, ist das Gerät kaputt. Selbst wenn noch ein zweiter Schlüssel für die Recovery Partition eingetragen ist, bräuchte man doch nach der erneuten Installation von Windows wieder einen neuen Schlüssel. Das ist natürlich auch eine Möglichkeit, die Haltbarkeit von Geräten zu beschränken. Software kaputt --> Gerät kaputt. Das wär ein neuer ganz großer Schritt für die geplante Obsoleszenz.
Es gibt auch eine interessante Diskussion auf der Gentoo Mailinglist. Einer der Coreboot Entwickler gibt dort interessante Einblicke. Es ist selbstverständlich eine Menge Arbeit Coreboot zu entwickeln und sich mit den Herstellern rumzuärgern. Leider wird meine Hardware nicht vollständig unterstützt (1, 2) und ich bin doch noch etwas ängstlich das BIOS zu tauschen _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
disi Veteran
Joined: 28 Nov 2003 Posts: 1354 Location: Out There ...
|
Posted: Fri Aug 03, 2012 9:59 am Post subject: |
|
|
forrestfunk81 wrote: |
Danke für den Hinweis.
Prinizipiell ist Secure Boot ja nicht verkehrt. Trotz verschlüsselter Festplatte bleibt bisher zumindest die Boot Partition unverschlüsselt. Wenn also jemand Hardware Zugriff hat, kann der Kernel ausgetauscht und manipuliert werden. Mit selbst generiertem Schlüsseln könnte man das verhindern. Allerdings muss man dann wohl bei jedem Kernel Update die Schlüssel aktualisieren. Da stellt sich die Frage, wie umständlich und zeitaufwendig das ist.
Ich bau meine Rechner immer aus Einzelteilen. Da können die Hersteller nicht einen festen unveränderlichen Schlüssel mit dem Mainboard ausliefern ohne es komplett unbrauchbar zu machen. Bei Laptops und Komplettsystemen mit vorinstalliertem OS sieht das natürlich anders aus.
Aber was wird dann aus den normalen Consumer PCs? Wenn dort ein unveränderlicher Schlüssel eingetragen ist und sich jemand die Windows Installation zerschießt, ist das Gerät kaputt. Selbst wenn noch ein zweiter Schlüssel für die Recovery Partition eingetragen ist, bräuchte man doch nach der erneuten Installation von Windows wieder einen neuen Schlüssel. Das ist natürlich auch eine Möglichkeit, die Haltbarkeit von Geräten zu beschränken. Software kaputt --> Gerät kaputt. Das wär ein neuer ganz großer Schritt für die geplante Obsoleszenz.
Es gibt auch eine interessante Diskussion auf der Gentoo Mailinglist. Einer der Coreboot Entwickler gibt dort interessante Einblicke. Es ist selbstverständlich eine Menge Arbeit Coreboot zu entwickeln und sich mit den Herstellern rumzuärgern. Leider wird meine Hardware nicht vollständig unterstützt (1, 2) und ich bin doch noch etwas ängstlich das BIOS zu tauschen |
Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben... _________________ Gentoo on Uptime Project - Larry is a cow |
|
Back to top |
|
|
forrestfunk81 Guru
Joined: 07 Feb 2006 Posts: 567 Location: münchen.de
|
Posted: Fri Aug 03, 2012 10:05 am Post subject: |
|
|
disi wrote: | Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben... |
Super, vielen Dank für den Tipp. Das werd ich auf jedenfall mal ausprobieren. Die Bios Chips gibts ja schon für unter 10 €. _________________ # cd /pub/
# more beer |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Fri Aug 03, 2012 12:39 pm Post subject: |
|
|
disi wrote: | Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben... |
Hat er auch was zu dem Tianocore-Payload gesagt?
Habe gerade nach einer Doku gesucht die einem erklärt wie man das UEFI von Tianocore als Payload für Coreboot zusammenbasteln kann aber leider ist die Webseite von Tianocore eine einzige Katastrophe in Sachen Übersichtlichkeit und auf der Webseite von Coreboot gibts einfach nur einen Link zu der von Tianocore. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Fri Aug 03, 2012 7:22 pm Post subject: |
|
|
Ich sag mal so, erst mal nicht verrückt machen, Panik schadet mehr, als sie nutzt. Fakt ist, Secureboot ist aktuell bei x86 abschaltbar, und bei den Boards die es schon haben, da muss man es erst mit viel Aufwand aktivieren. Und betroffen ist ja nicht nur Gentoo, sondern fast jedes andere Linux und alle Rettungsmedien, Partitionierungstools usw. Und davon gibt es auch für Windows jede Menge, die kann man denen ja auch nicht einfach so nehmen.
Frage ist, bleibt es so, oder wird Secureboot irgendwann mal nicht mehr optional. Und in dieser Hinsicht können wir uns in erster Linie bei unseren Freunden von Red Hat und Ubuntu bedanken. Anstatt eine geschlossene Abwehrfront zu bilden und geschlossen zu sagen: "Nein", kann jetzt Microsoft immer sagen, was wollt ihr denn, Red Hat und Ubuntu haben es doch hinbekommen, also, es geht doch
Beim aktuellen Stand der Dinge besteht keine Gefahr. Es geht darum, etwas anderes zu verhindern.
Und da sehe ich zu Zeit Red Hat als Hauptansprechpartner. Die haben sich ja wie verrückt auf Secureboot gestürzt. Und das sehe ich inzwischen so, dass sie es nicht tun, um weiterhin ihre Produkte verkaufen zu können, sondern um es selber für sich zu nutzen. Was ist der Plan? Ein GnomeOS für Mobilgeräte mit eigenem Appstore und eigener Paketverwaltung. Die Extensions können schon nicht mehr über die normale Paketverwaltung aktualisiert werden.
Denken wir immer an Richard Stallman und daran, dass das frei für Freiheit steht und nicht für Freibier. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Fri Aug 03, 2012 7:42 pm Post subject: |
|
|
@Klaus Meier
Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".
Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Fri Aug 03, 2012 8:00 pm Post subject: |
|
|
schmidicom wrote: | @Klaus Meier
Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".
Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist. | Bitte nenne es nicht "Lösung". Weiter unten hast du es ja auch in Anführungsstrichen geschrieben. Ich hatte den gleichen Gedanken. Red Hat ist das Problem, nicht die Lösung. Und daran werde ich immer denken. |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2396 Location: Germany
|
Posted: Sun Aug 05, 2012 11:11 am Post subject: |
|
|
Nun ich hoffe ganz einfach das die LÖSUNG genau so ist wie überall wo mit Signaturen gearbeitet wird:
Jeder der Mündig ist (weil er ein Gerät gekauft hat und es in seinen Eigentum überging und daher auch die Hardware besitzt) kann einfach seine eigenen Signaturen erstellen denen er vertraut und somit auch seine eigenen Zertifikate erstellen und die eigenen Kernel dann selber signieren.
Im Grunde geht es ja immer nur um Vertrauen. Wenn diese verrückte Hardware irgendwann existiert die dritte knechten und ihnen ihrer Freiheiten berauben möchte dann muss halt wieder der Lötkolben ran um dieses Monster der Realität anzupassen.
Quote: | Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist. |
Nun die Chain of Trust, ist kein Mist. Mir persönlich gefällt es auch nicht wenn versucht wird mit einem solchen Entwurf DRM-Maßnahmen durch zu prügeln. Doch Sicherheitstechnisch hat es auf jeden Fall seine Berechtigung. Der Vorschlag von Red Hat klingt für mich auch wie ein Exploit des Systems. Der User wird sich bedanken wenn das Knoppix dann trotzdem startet.
Hier hätte ich lieber das per Default das System immer startet, aber bei unsignierten Kernen z.B. die Netzwerkkarte und USB nur eingeschränkt verfügbar ist. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|