staging.inyokaproject.org

Richtungswechsel bei Secure Boot

ubuntu_logo.png

Mit der kommenden Windows-Version fordert Microsoft von den Hardwareherstellern, eine Funktion namens Secure Boot in ihren Geräten ab Werk einzuschalten. Fedora und Canonical haben darauf auf unterschiedliche Weise reagiert, doch die Firma hinter Ubuntu ändert nun die Richtung.

Secure Boot soll verhindern, dass Schadsoftware bereits beim Startvorgang des Rechners ausgeführt wird und erreicht dies dadurch, dass nur mittels Zertifikat signierte Bootloader durch den BIOS-Nachfolger EFI gestartet werden. Während sich Fedora seinen Bootloader von Microsoft zertifizieren lässt und damit auf allen Windows-8-konformen Geräten starten kann, stellt Canonical eigene Zertifikate zur Verfügung, die von den Hardwareherstellern in ihre Produkte integriert werden sollen.

Im Zusammenhang damit plante Canonical auch, den bisher verwendeten Bootloader GRUB 2 gegen den von Intel entwickelten efilinux auszutauschen. Dies war nicht technisch begründet, sondern durch die BSD-Lizenz von efilinux, da Canonical befürchtete, dass sie durch die GPLv3, unter der GRUB veröffentlicht wird, gezwungen werden könnten, auch den privaten Schlüssel herauszugeben, der zur Signierung des Bootloader verwendet wurde. Mit diesem Schlüssel könnten beliebiger weiterer Code signiert werden und würde dann von jedem Rechner mit dem Canonical-Zertifikat als „sicher“ anerkannt und gestartet werden. Außerdem würden die Hersteller dieses Zertifikat dann aus ihren Geräten entfernen.

In Gesprächen mit der Free Software Foundation, die die Rechte an GRUB 2 halten, brachte diese klar zum Ausdruck, dass die Herausgabe privater Schlüssel nicht notwendig sei und der Einsatz von GRUB 2 mit Secure Boot kein Risiko darstelle. Daher wird Ubuntu 12.10 letztendlich doch wieder auf GRUB 2 setzen, wenn es um den Systemstart geht.

Quelle: Canonical Blog 🇬🇧, Pro-Linux

Veröffentlicht von mfm | 21. September 2012 23:30 | Kategorie: Rund um Ubuntu | # Fehler im Artikel melden

DerHans

1 22. September 2012 00:09

Ich frage mich immer noch ob sich die Hardware Hersteller überhaupt für so ein kleines OS wie Ubuntu interessieren und ob jedes board das Ubuntu Zertifikat haben wird.

Ootmann

2 22. September 2012 01:42

"Freut" mich ja richtig, dass nicht mal Canonial weiß, wie die GPL richtig zu interpretieren ist 😐

The-Raven

Avatar von The-Raven
3 22. September 2012 09:37

Ein riisen "tamtam" für etwas was am ende vermutlich eh umgangen werden kann. 🙄 Die eigentliche absicht hinter secure boot ist bestimmt nicht sicherheit sondern eher etwas marketing technisches. Erinnert mich irgendwie etwas an CI+ das ganze... 🙄 Mal sehen wie sich das entwickelt. Mir gefällt es jedenfalls nicht.

tuxtuxtux

Avatar von tuxtuxtux
4 22. September 2012 10:01

also wie sich die Linux Welt schon dagegen auflehnt wundere ich mich eig., das man nicht schon längst mal beim Kartellamt angeklopft hat , irgenein Linuxianer wird doch auch Anwalt sein, oder?

Wie soll denn bitte ein Betriebssystem erfolgreich werden, wenn die nutzer entweder genug erfahrung haben secure boot abzuschalten, oder man das system von win zertifizieren lassen muss?

Gut währe vileicht eine Europäische Zertifizierungsstelle, wo sich jedes system für 10-20 € zertifizieren lassen kann und vorallem Window nicht an der Zertifizierung verdient, das ist doch bestimmt nicht gesetzkonform (wie schon gesagt : Bundeskartellamt?)

Wenigstens finde ich sollten wir alle mal eine Petition gegen secure boot unterzeichenen: http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de

aphixnet

Avatar von aphixnet
5 22. September 2012 11:29

Was MS da abzieht ist ein neuer Schritt gegen general purpose computation. Wir sollen schön geschlossene Systeme nehmen.

Unter dem Label Security wurde uns schon ganz anderer Mist verkauft. Aber mal ehrlich, 100% Sicherheit gibt es doch nicht.

@4 Wenn es alle freiwillig wollen (Windows^^), ist das dann ein Kartell? *hust*

ramnit

Avatar von ramnit
6 22. September 2012 11:55

V_for_Vortex

Avatar von V_for_Vortex
7 22. September 2012 14:29

Mir fällt dazu Richard Stallmans Aussage über den ähnlichen Ansatz des Trusted_computing ein:

"Trusted computing" is the proponents name for a scheme to redesign computers so that application developers can trust your computer to obey them instead of you. For their point of view, it is "trusted". From your point of view, it is "treacherous".

ubuntu_neuer

Avatar von ubuntu_neuer
8 22. September 2012 16:50

Secure Boot soll verhindern, dass Schadsoftware bereits beim Startvorgang des Rechners ausgeführt wird

Die Zeit der Bootsectorviren ist doch schon lange vorbei. Wenn es sowas vor 15 Jahren gegeben hätte, ja dann ...

Lsf_Lf

9 22. September 2012 20:08

Das ganze "Sicherheitsgeschwafel" von und im Zusammenhang von M$ ist für mich eh nur vorgeschoben und Alibi, weil es in Wahrheit bei den Redmondern nur darum geht irgendwie den Raubkopien einen Riegel vorzuschieben. Meinerseits werde ich einen Teufel tun M$ und deren Signaturen vertrauen. Ich nutze schon deren System aus gutem Grunde nicht, da werde ich erst recht nicht irgendwas von M$ signiertes auf meiner Kiste erlauben. Soweit kommt es noch, bin froh diese "Virenschleuder" los zu sein. Wenn Distributoren (wie Ubuntu) eigene Signaturen unabhängig von M$ Gnaden anbieten werden meinetwegen, aber sonst wird das bei mir kurzer Hand abgeschaltet und fertig. 😉

ArnoW

Avatar von ArnoW
10 24. September 2012 18:00

Meiner Ansicht nach ist ein Bootvorgang auch so schon kompliziert und fehleranfällig genug. Und jetzt auch noch mit Verschlüsselung und Zertifikaten, da kann ich nur sagen "Gute Nacht". Auch unter Windows erwarte ich massenhaft technische Probleme.

Dass Canonical nicht bei Microsoft zertifizieren will, ist aber schon mal ein Lichtblick. Trotzdem scheint mir das ganze UEFI-Zeugs mehr neue Probleme zu bringen, als es löst. Da braucht man nur mal hier im Forum nachzulesen, was für seltsame Effekte beim Installieren und beim Systemstart so auftreten.

kaputtnik

11 25. September 2012 22:07

Ist das nicht das gleiche wie mit dem vorinstallierten IE bei Windows? Da hat Microsoft ja auch ganz schön blechen und ein Alternativensystem einführen müssen. Zumindest in Europa.

tuxtuxtux

Avatar von tuxtuxtux
12 26. September 2012 20:41

@11 leider ist dieses Altanativ Programm wirklich nur auf europäischen CD's, da nicht jeder Rechner aber auch ein Windows aus Europa hat habe ich trotz vielen Win installationen (Leute, die nur damitt auskommen und nichmal das gut)nur eins mit diesem Altanativ Programm gesehen und auch da war glaube ich der ie stark im Vordergrund.

nosi.1999

13 29. September 2012 17:54

@9: mit windows werdern wir alle unsere PCs ürkendwn hasen denn es ist nicht sicher daran werden irgentwelche sicknaturn auch nichts endern