View previous topic :: View next topic |
Author |
Message |
ixo Guru
Joined: 09 Jul 2005 Posts: 375
|
Posted: Wed Aug 15, 2012 2:05 pm Post subject: |
|
|
Hallo,
da mir das Thema quer runtergeht, möchte ich hier noch einen anderen Aspekt beitragen:
Linux hat einen Anteil von 6% am Servermarkt. Die Hardware-Margen sind für die Hersteller äußerst bescheiden. Soweit ein paar Fakten.
Wenn nun Windows UEFI erfordert, bleibt den Herstellern nichts anderes übrig, als das einzubauen. Wenn in absehbarer Zukunft RedHat (und SUSE) UEFI unterstützen, werden diese Linuxe auch zunehmend mit UEFI installiert werden, da sie sonst ja "unsichter" sind. Zumindest marketingtechnisch wird das so laufen. In den "richtigen" Rechenzentren werden übrigens zu großen Teilen RedHat (RHEL) und SUSE (SLES) verwendet. (1) Das bedeutet, dass der Anteil der Systeme, die mit Linux auf Servern ohne UEFI laufen müssen (wie Debian oder Gentoo) deutlich kleiner als 6% sein wird. Die Marketingmaschinerie (vor allem von Microsoft, Stichwort FUD) wird ihren Teil dazu beitragen, diese System als "unsicher" zu verunglimpfen, was zu weiteren Umstellungen Richtung UEFI führen wird.
Für die Hersteller von Servern bleibt also nur noch ein kleiner Teil von Servern, die UEFI abschaltbar haben müssen (was dann angeblich auch eine Sicherheitslücke ist). Die Frage ist also, reicht z.B. 1.% der Server noch aus, um ein komplexeres BIOS zu rechtfertigen?
Sehen wir uns die Arbeitsplatzrechner an: Bei den "professionell" genutzten Arbeitsplatzrechnern sieht der Linux-Anteil noch schlechter aus als bei den Servern. Ansonsten; siehe oben.
Bei den privat genutzten Rechner wird der Linux Anteil heruntergehen, einfach weil man im BIOS herumfummeln muss, damit es überhaupt bootet - und zwar nicht nur einmal, sondern jedes Mal, wenn man statt Windoze Linux booten will (sei's von Platte, von USB-Stick oder von CD). Dazu hat Lieschen Müller (oder auf Englisch "Joe Sixpack") keine Lust. Das heißt wiederum, wenn überhaupt nimmt man RedHat oder irgendwas anderes, was UEFI unterstützt. Auch hier stellt sich wieder die Frage, ob man Boot ohne UEFI unterstützen will (Pflege, QA, Support). Bei - mal angenommenem - einem Euro Mehrkosten pro Rechner kommt da unterm Strich einiges zusammen (für einen großen Anbieter).
Das ist meine mir gar nicht gefallende Sicht der Dinge. Sagt mir bitte, dass ich Unrecht habe, aber dieses UEFI Zeugs könnte sich noch äußerst übel entwickeln.
ixo
(1) RZs wie z.B. die von Google und 1&1 nehme ich hier aus, die bauen meist sowieso ihre eigene Hardware und sind keine Kunden für die Hersteller. |
|
Back to top |
|
|
firefly Watchman
Joined: 31 Oct 2002 Posts: 5317
|
Posted: Wed Aug 15, 2012 2:18 pm Post subject: |
|
|
UEFI != SecureBoot! Secureboot ist nur Bestandteil von UEFI 2.3.x _________________ Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
Back to top |
|
|
ixo Guru
Joined: 09 Jul 2005 Posts: 375
|
Posted: Wed Aug 15, 2012 2:21 pm Post subject: |
|
|
Ok, danke; dann tausch die Begriffe aus.
Grüße, ixo |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Mon Jan 06, 2020 7:16 pm Post subject: |
|
|
Inzwischen sind ja ein paar Jährchen ins Land gezogen und wir alle um die eine oder andere Erfahrung reicher.
Hier mal meine:
Inzwischen gibt es kaum noch ein Gerät bei dem SecureBoot nicht mit dabei wäre und das üblicherweise auch gleich standardmässig eingeschaltet. Und wie erwartet wird das ganze in eigentlich allen Fällen nur mit den Microsoft-Zertifikaten ausgeliefert, was natürlich bedeutet das nun alle zum signieren zu Microsoft rennen wenn sie wollen das ihre Software möglichst überall OOTB läuft. Aber es gibt auch Lichtblicke.
Zumindest bei den besseren Geräten (üblichweise Business-Modelle) wird SecureBoot offenbar gemäss den Spezifikationen implementiert. Was bedeutet das man es dort problemlos Ein-/Ausschalten kann und man kann in der Regel auch den Zertifikats-Speicher auf irgendeine Art und Weise frei konfigurieren. Klar warnen kann man eigentlich nur vor den Consumer-Modellen, dort ist völlig unklar in welcher Qualität das ganze umgesetzt wird.
Mein kürzlicher Versuch das SecureBoot von meinem Tuxedo-Laptop nach meinen Vorstellungen einzurichten verlief überraschend positiv, was aber auch zu grossen Teilen der wirklichen guten Doku von Sakaki zu verdanken ist.
https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Configuring_Secure_Boot _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Tue Jan 07, 2020 9:37 am Post subject: |
|
|
Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest. Also ich hatte bislang 2 Modelle von HP, immer unterste Preisklasse, ließ sich im BIOS ohne Probleme ausschalten. Genauso wie bei meinen PCs, die ich mir eh alle selber zusammenbaue. Bei jedem separat gekauften Mainboard war Secureboot komplett abschalt und konfigurierbar. Aber man weiß halt vorher nie, was da irgendwelche OEMs verbasteln.
Einfach im Geschäft kaufen und vor dem Kauf nachsehen.
Und ich hatte noch nie ein Bedürfnis, es zu aktivieren. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Tue Jan 07, 2020 9:50 am Post subject: |
|
|
Klaus Meier wrote: | Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest.
... |
Ja, ich meinte hauptsächlich Laptops. Sorry, hätte da etwas genauer sein sollen.
Im Desktop-Bereich kenne ich nichts anderes als die eher besseren Business-Geräte oder eben Selbstbau-Teile und da lies sich SecureBoot bis jetzt auch immer ohne Probleme abschalten.
Klaus Meier wrote: | Und ich hatte noch nie ein Bedürfnis, es zu aktivieren. |
Ich hab es primär auch nur gemacht um mal erste Erfahrungen damit zu sammeln und weil das ganze (natürlich mit eigenen Zertifikaten im Speicher) beim Laptop möglicherweise auch gar nicht mal so verkehrt ist. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2400 Location: Germany
|
Posted: Wed Jan 08, 2020 10:21 pm Post subject: |
|
|
Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren?
So hatte sich das doch dann auch aufgelöst. Ich hab es auch immer ausgeschaltet, aber wenn man auch selber eine Signatur nutzen kann wäre es noch besser.
Auf der anderen Seite gefällt mir folgender Ansatz noch besser: Coreboot, Pureboot und U-Boot.
Pureboot wurde halt von den Leuten hinter Librem5 entwickelt die halt auch das Pureos machen. Es setzt glaub ich auch auf Coreboot auf. Ist halt dann gleich der nächste Schritt bei dem man auch dem Bios nicht mehr Vertraut und es durch was anderes ersetzt.
Aber da muss man dann auch bei der Hardware schauen oder selber noch größere "Klimmzüge" machen wenn das Board das nicht unterstützt.
Das mit den eigenen Zertifikaten im Speicher, ist wirklich interessant schmidicom. Hatte ich bisher so gar nicht im Blickfeld das es da schon was gibt das man mal umsetzen könnte. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1970 Location: Schweiz
|
Posted: Thu Jan 09, 2020 9:47 am Post subject: |
|
|
ChrisJumper wrote: | Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren? |
Schön wärs...
Microsoft wird diesen Schlüssel niemals aus der Hand geben.
Der einzige Grund warum Distributionen wie RedHat, Fedora, Debian, Ubuntu und so weiter auf Maschinen mit aktivem SecureBoot (wo der Zertifikatsspeicher nicht angepasst/erweitert wurde) überhaupt noch booten können ist der Zwischenbootloader "Shim" [1]. Und "Shim" ist im Prinzip nichts anderes als ein Hack, ein Bootkit mit guten Absichten, das zur Überraschung von vielen den Signierungsprozess bei Microsoft ohne grosse Probleme überstanden hat.
Nur so als Info am Rande, die Signierung von GRUB oder eines fertig kompilierten Linux-Kernel lehnte Microsoft bis jetzt immer ab.
[1] https://www.pro-linux.de/news/1/19063/uefi-secure-boot-technische-beschreibung-von-shim.html
EDIT:
Ich weiss nicht warum Microsoft den Zwischenbootloader "Shim" im Gegensatz zu GRUB oder dem Linux-Kernel für OK genug hält um das mit ihrem Schlüssel zu signieren, aber vielleicht wollten sie ja auch einfach einen weiteren "M$ ist ein böses Monopol, Fight it!"-Shitstorm vermeiden und da kam ihnen "Shim" gerade recht. Und/Oder sie wollten den Kartellwächtern keinen weiteren Grund geben ihnen aufs Dach zu steigen... _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
Erdie Advocate
Joined: 20 May 2004 Posts: 2649 Location: Heidelberg - Germany
|
Posted: Mon Feb 10, 2020 12:43 pm Post subject: |
|
|
Irgendwie klingt das alles nach Murks, auch wenn es funktioniert. Zwar bietet Secure Boot eine (scheinbare) Sicherheit, aber auf der anderen Seite ist UEFI so mächtig und komplex, dass dort wiederum Scheunentore offenstehen und das Ganz ad absurdum geführt wird. Dann hätte man besser gleich alles auf dem Stand von vor 10 Jahren lassen können. _________________ Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|