Tagesthema: Was Microsoft Secure Boot bedeutet für die Zukunft von Linux

Most recent:
  • ‘Flash Gordon’: Taika Waititi retrieves the galactic hero in an animated movie for Fox/Disney
  • The update with rain in Gran Turismo Sport comes this week
  • Google explains the 16 reasons by which to publish applications and games on the format Android App Bundle
    Cyberpunk 2077 will not have a system of morality, confirms CDPR


    In Depth: Was Microsoft Secure Boot für die Zukunft von Linux bedeutet

    Secure Boot, Microsoft-Implementierung von UEFI, war ein Grund zur Besorgnis für Linux-Anwender, seitdem es im Januar 2012 angekündigt wurde. Wir haben es bei ein paar Mal vor aussah, aber als sich der Staub noch Absetzen ist, haben wir beschlossen, es zu überdenken.

    Aber bevor wir vorgreifen, gehen wir zurück an den Anfang und herauszufinden, was genau Secure Boot ist.

    Vor 2012 gestartet alle PCs mit BIOS. Dies war ein Relikt aus den 80er Jahren, dass viele Hersteller miss-implementiert, was zu einer kludgey Art von System, die durch das digitale Äquivalent Gaffa fand führen. Es funktionierte, aber nur wegen der harten Arbeit der Entwickler, die ihre Zeit damit verbracht haben, kommen mit viel cooler Dinge als Boot-Schnittstellen könnten, wenn sie nicht das Hantieren versuchen, um die verflixte Dinge mehr reibungslos funktionieren.

    Also, wenn Microsoft mit den Herstellern über die Möglichkeit der Ersetzung des alten Systems zu sprechen begann, war jeder ganz froh über das bevorstehende Untergang des BIOS.

    UEFI ist in vielerlei Hinsicht eine weit überlegene System. Es gibt den Boot-Programme mehr Raum zu arbeiten und besser unterstützen kann mehr moderne Hardware. Wenn es hatte alles, was es verlassen worden ist, würden die meisten Menschen glücklich gewesen.

    Allerdings war es nicht. Sie bastelten. Sie mussten einen Schritt weiter gehen und das hinzugefügt Secure Boot. Dies ist eine Erweiterung, die UEFI booten nur Systeme, die kryptographisch signiert haben mit einem vertrauenswürdigen Schlüssel einschränkt. Und der Stachel im Schwanz: Microsoft steuert den Master-Schlüssel. Crafty.

    Natürlich, wie wir wissen, ist dies wenig hinaus macht es nicht völlig unmöglich für Linux auf Secure Boot-Systemen booten, es macht es ein bisschen schwierig.

    Sicherheitsrisiko

    Natürlich, es wäre einfach zu behaupten, dass es alles nur ein zynischer Versuch von Microsoft zu einer weiteren Straffung seinen Einfluß auf der PC-Industrie – und es gibt ziemlich viele Menschen die halten, dass bestimmte Ansicht.

    Es wird jedoch auf einem echten Sicherheitsrisiko in Windows gefunden werden basierend: Bootsektor-Viren. Dies ist eine Klasse von Malware, die den Master Boot Record (MBR), die am Anfang einer Scheibe sitzt infiziert. Wenn der Benutzer bootet, läuft das BIOS den Code im MBR. Wenn alles gut geht, in einem laufenden System richtig, diese dann bootet das Betriebssystem. Allerdings kann ein Bootsektor-Virus entführen diesen Prozess und laufen einige schädliche Aktion vor dem Booten des Betriebssystems.

    Unter dem Secure Boot System, wird das System booten nur signierte Code, so im Prinzip solche Viren nicht in der Lage zu booten. Klingt gut, nicht wahr? Nun, es gibt ein paar nicht unerhebliche Probleme mit ihm.

    Erstens stützt sie sich auf eine einzige Taste, und historisch einzelnen Tasten haben nicht vermocht, lange geheim bleiben (Sie erinnern sich, wenn PlayStation und Blu-ray-Tasten waren geheim?). Zweitens, und vielleicht noch wichtiger, waren Bootsektor-Viren gemeinsam zurück in die Tage von MS-DOS. Die Welt hat auf einer Messe etwas seither bewegt und Malware-Autoren sind keine Ausnahme.

    Secure Boot ist ein großer Umbruch, ein Problem, dass das Sterben auf seine eigene war zu lösen. Ehrlich gesagt, es gibt weit mehr drängendsten Sicherheitsprobleme für Windows, das völlig unabhängig von ihm sind.

    Microsoft spricht

    Secure Boot

    Also, es ist nicht wahrscheinlich, haben einen Einfluss auf die Welt von schädlicher Software auf Windows. Es ist auch nicht besonders effektiv bei der Blockierung anderer Betriebssysteme von PCs. In den Windows 8 Hardware Certification Richtlinien, Microsoft Staat:..

    “17 Mandatory Auf Nicht-ARM-Systemen müssen die Plattform implementieren die Fähigkeit für eine physisch anwesend Benutzer zwischen zwei Secure Boot-Modi in der Firmware-Setup wählen : “Custom” und “Standard” Custom-Modus sorgt für mehr Flexibilität, wie im folgenden angegeben:. a. Es muss möglich sein, für ein physisch anwesend Benutzer den benutzerdefinierten Modus Firmware-Setup-Option verwenden, um den Inhalt der Secure Boot Signatur-Datenbanken ändern. und der PK. Dies kann, indem einfach die Möglichkeit, alle Secure Boot-Datenbanken (PK, KEK, db, dbx), die das System stellt in Setup-Modus deaktivieren umgesetzt werden.

    18. Vorgeschrieben. Aktivieren / Disable Secure Boot. Auf Nicht-ARM-Systemen, ist es erforderlich, die Möglichkeit, Secure Boot via Firmware-Setup deaktivieren umzusetzen. A physisch anwesend Benutzer erlaubt sein muss, Secure Boot via Firmware-Setup ohne Besitz PKpriv deaktivieren. Ein Windows Server kann auch deaktivieren Secure Boot remote über ein stark authentifiziert (vorzugsweise Public-Key-based) out-of-Band-Management-Verbindung, z. B. zu einem Baseboard Management Controller oder Service-Prozessor. Programmatische Sperrung des Secure Boot entweder während Boot Services oder nach dem Verlassen EFI-Boot-Dienste dürfen nicht möglich sein. Deaktivieren Secure Boot darf nicht auf ARM-Systemen möglich ist. ”

    Was dies bedeutet ist, dass (solange Ihr Computer nicht ein mit einem ARM-Prozessor) ein Windows 8 zertifizierte Maschine müssen Sie auf beiden Add Tasten erlauben ein anderes System booten und deaktivieren Secure Boot. . Natürlich gibt es keine Möglichkeit zu wissen, ob es ähnliche Anforderungen für die Zertifizierung in zukünftigen Versionen von Windows sein,

    Und hier liegt der entscheidende Punkt: Secure Boot, ist in seiner jetzigen Form nicht sperren Linux aus eines Computers, aber es beginnt uns auf einen Weg, wo man bestimmte Hardware auf dem PC zugreifen kann durch den Anbieter gesperrt werden. Wir können nur spekulieren, wo dies gehen wird, aber es ist nicht schwierig, eine Zukunft, in der es immer schwieriger wird, das Betriebssystem Ihrer Wahl auf Ihrer Hardware zu installieren.

    Understanding Unterschriften

    Um vollständig zu verstehen, müssen wir einen Blick auf digitale Signaturen zu nehmen. Wenn Sie einen Brief auf die altmodische Art und Weise zu schreiben, werden Sie wahrscheinlich beenden Sie es mit Ihrer Unterschrift. Dies ist ein Zeichen eindeutig zuzuordnen sind, so dass die Person, die es zu lesen weiß, dass es wirklich war, wer den Brief geschrieben. Es funktioniert, weil jeder schreibt in einer etwas anderen Weise, so ist es recht einfach, eine Marke, die einfach für Sie zu machen und daran erinnern, ist zu schaffen, aber das ist sehr schwer für andere Menschen zu kopieren.

    Der geheime Schlüssel

    In der digitalen Welt, Signaturen oberflächlich ähnlich sind (indem sie überprüfen, wer die Nachricht gesendet hat), aber sie sind sehr unterschiedlich umgesetzt. Sie beginnen mit einer Raute (auch als Einweg-Verschlüsselung bekannt), ein digitales Objekt reduziert (sei es ein Text-Dokument, ZIP-Datei, Betriebssystem-Kernel oder etwas anderes), und wandelt sie in eine Reihe. Es gibt keine Möglichkeit der Arbeit zurück aus der Anzahl der ursprünglichen Dokuments (also one-way-Verschlüsselung), und wenn Sie das Original-Objekt ändern möchten, wird es einen anderen Hash erzeugen.

    Der zweite Teil betrifft einen öffentlichen / privaten Schlüsselpaar. Diese Tasten sind ein wenig wie Passwörter und kann verwendet werden, um Dokumente zu verschlüsseln, aber die Arbeit in einer Weise, dass alles verschlüsselt mit dem öffentlichen Schlüssel entschlüsselt werden mit dem privaten Schlüssel, und umgekehrt werden kann. Der öffentliche Schlüssel kann jedem gegeben werden, aber der private Schlüssel muss geheim gehalten werden.

    Um etwas zu unterschreiben, dann müssen Sie diese beiden Elemente zusammenzubringen. Zunächst müssen Sie die Hash-binären Objekts, und dann verschlüsseln mit Ihrem privaten Schlüssel, um eine Signatur zu erstellen eindeutig zuzuordnen sind. Diese Signatur kann dann neben dem binären Objekt übergeben werden.

    Der Empfänger des Objekts und die Unterschrift dann unencrypts die Signatur mit Ihrem öffentlichen Schlüssel zu Ihrem Hash enthüllen, dann wieder Hashes das Objekt selber. Wenn die beiden Hashes gleich sind, dann wissen sie, dass das Objekt die gleiche, die Sie unterschrieben ist. Wenn sie es nicht sind, dann entweder das Objekt geändert worden war, oder die Unterschrift gefälscht wurde. So oder so, sie wissen, um es zu verwerfen.

    Im Falle von Secure Boot, Microsoft den öffentlichen Schlüssel in den Mainboard-Firmware ist im Preis inbegriffen, so dass alles, was sie mit ihrem privaten Schlüssel (ob es um ein Betriebssystem oder ein neuer Schlüssel zufällig) unterzeichnen, bevor überprüft werden können verwendet wird.

    Platform Stiefel

    Secure Boot

    Lassen Sie uns nun einen genaueren Blick auf, wie Secure Boot funktioniert. Es dreht sich um vier Dinge in den Mainboard-Firmware statt: die Platform Key (PK), die Key Exchange Key (KEK), die Signatur-Datenbank (db) und die Signaturen widerrufen Datenbank (dbx).

    Keiner von ihnen sind auf PCs hart codiert, und sie kann durch eine physisch anwesend Benutzer geändert werden, auch wenn sie nicht wissen, einem der vorhandenen Schlüssel (zum Beispiel, haben Sie, um das System neu zu starten und das Setup, so kann es nicht über SSH, VNC oder einer anderen Remote-Protokoll durchgeführt werden).

    Die Plattform Key ist die höchste Stufe Schlüssel und kann verwendet werden, um neue KEKs unterzeichnen. Der Key Exchange Key kommt auf der nächsten Ebene. Dies kann verwendet werden, um neue Einträge in der db und dbx unterzeichnen. Es kann mehr als eine KEK von der Hauptplatine gespeichert sein. Db und dbx sind die wichtigsten Stücke, die die Arbeit tun. Db öffentlichen Schlüssel enthält, die vom System Code unterzeichnen, damit sie ausgeführt werden können als vertrauenswürdig eingestuft werden. Dbx-, auf der anderen Seite, enthält öffentlichen Schlüssel, die explizit nicht vertrauenswürdig sind (z. B. diejenigen, die bekanntermaßen beeinträchtigt werden).

    In der Standardeinstellung, wenn Sie ein Windows 8 zertifizierten Computer kaufen, wird die PK sein des Herstellers Taste. Es wird eine KEK, die Microsoft KEK ist sein, und es wird ein Eintrag in die db Microsofts UEFI Schlüssel sein wird. Wenn Sie Windows 8 laufen, wird das Motherboard den Windows 8 Kernel Unterschrift gegen den Tasten in db und dbx überprüfen. Es findet es passt mit dem Eintrag in db, und es wird nichts in dbx sein, so wird es ermöglichen, zu booten.

    Eine Auswahl von drei

    Also, wie funktioniert Linux arbeiten? Nun, es gibt ein paar Optionen. Eine Verteilung produzieren könnte seine eigene KEK, dass die Nutzer könnten manuell in ihre Systeme zu laden, und melden Sie sich dann all ihren Kernel mit, dass. Sie könnten sogar versuchen, die Hersteller ihre KEK mit ihren PK unterzeichnen, und so verteilen sie zusammen mit ihren Installationsmedien. Allerdings ist die erste von ihnen ziemlich technisch ist zu tun, und diese erfordert ein gewisses Maß an Einfluss wenige, wenn überhaupt, haben Distributionen.

    Es gibt einen dritten Weg. Für eine einmalige Gebühr von $ 99, wird Microsoft unterzeichnen bootfähige Software – aber es gibt einen Haken: Die Software muss sich sein, was sie so sicher zu beschreiben. Das heißt, dass es weiterhin die Kette von Signaturen und nicht zulassen, dass nicht vertrauenswürdiger Code übernehmen die Maschine.

    Wenn es nicht für diesen Fang, könnte der Linux-Community erhalten nur ein Bootloader signiert, und verwenden Sie dann, dass so frei wie wir derzeit Grub. Natürlich, wenn es nicht für diesen Fang, und eine normale Bootloader unterzeichnet wurde, konnte Virenschreiber verwenden diese unterschrieben Bootloader, um ihre Malware zu starten, und es würde den Punkt der sicheren Boot besiegen.

    Die Lösung kommerziell gesponserte Distributionen werden mit dem Gehen im Moment ist, um einen Shim Bootloader verwenden. Ubuntu, Fedora und OpenSuse alle tun dies. Die Shim Stiefel, bevor irgendetwas anderes, und tut sehr wenig anderes als extra eine Taste, die spezifisch für die Verteilung ist. Diese zusätzliche Taste kann verwendet werden, um eine normale Linux Bootloader (Grub in der Regel 2), die wiederum lädt eine signierte Linux-Kernel und die Kette des Vertrauens vollständig zu unterzeichnen.

    Es gibt jedoch ein paar Probleme mit diesem. Erstens bedeutet es, dass der Benutzer nicht kompilieren eigenen Kernels (da sie nicht unterschreiben Sie es mit der Distribution-Taste). Zweitens bedeutet es, dass Microsoft konnte die Signatur für den Bootloader Shim kündigen (das ist, fügen Sie es dbx) an jedem Punkt, wenn sie wollten. Welche könnte verlassen Sie rechts im Stich.

    Es gibt aber noch einen anderen Weg, die gerade erst veröffentlicht worden, und zum Zeitpunkt des Schreibens, wird von keinem Distributionen verwendet ist. Da es sich nicht um eine Distribution immer nichts unterschrieben, erwarten wir, dass sie schnell die bevorzugte Methode der Wahl für kleinere oder nichtkommerziellen Linux-Distributionen geworden. Diese Methode verwendet einen Pre-Bootloader ähnlich dem Shim, die von der Linux Foundation entwickelt worden ist. Es ist auch von der Microsoft-Schlüssel signiert, aber statt mit Distributions-spezifische Tasten, verwendet es Benutzer-added Hashes. Dies bedeutet, dass, wenn ein Benutzer Aktuelles ihre Kernel, müssen sie einen neuen Hash des Pre-Bootloader-Datenbank hinzuzufügen.

    Im Prinzip könnte dies automatisch erfolgen, aber das würde die Kette des Vertrauens zu brechen, die Signaturen zu erstellen. Dies sollte in der Theorie so einfach sein wie der Benutzer eine Taste, um zu bestätigen, dass sie dies tun wollen. Allerdings hat dies beim Booten passieren, so kann es nicht automatisiert werden. Die Kette des Vertrauens wird dann erhalten, weil es die Wirkung eines physisch präsenten Benutzer ist und kann nicht von einem Malware durchgeführt werden. Es ist zu hoffen, dass in zukünftigen Versionen der Keil und der Linux-Stiftung Pre-Boot-Loader so kombiniert werden, dass eine einzige Pre-Boot-Loader über mehrere Distributionen verwendet werden können.

    Wie funktioniert es?

    Das letzte, was wir uns anschauen müssen, ist, wie gut das alles in der Praxis funktioniert. Um ehrlich zu sein, hatten wir nicht schrecklich große Hoffnungen, wenn wir einen Windows 8 PC empfangen. Wir luden eine Auswahl von Distributionen, verbrannten sie auf DVDs und begann Schlacht.

    Also haben wir gegenwärtig waren überrascht zu erfahren, dass im Großen und Ganzen, die Dinge einfach gearbeitet. Oder zumindest taten sie, wenn Sie die Standard-Optionen ausgewählt. Auf Ubuntu, OpenSuse und Fedora konnten wir auf unseren Secure Boot-fähigen PC installieren, ohne sich mit Tasten, Bootloader oder irgendetwas anderes, Geige, für diese Angelegenheit. Allerdings hatten wir ein paar Probleme, wenn wir, um benutzerdefinierte Partitionen auf der Disc oder Dual-Boot zu erstellen versucht.

    Als bekannt wurde, dachten viele Leute, Secure Boot würde aus Linux PCs sperren. Zum Glück, das ist einfach nicht der Fall ist, und eine Reihe von großen Distributionen unterstützen bereits dieses System. Viele weitere werden wahrscheinlich bald unterstützt jetzt, dass der Linux Foundation Pre-Boot-Loader bereit, verwendet werden soll. Wir können nur hoffen, dass diese Lösungen mit zukünftigen Versionen von Secure Boot weiter arbeiten.

    In diesem Artikel haben wir lässig über eine der größten Einschränkungen von Secure Boot übersprungen. Das heißt, die Notwendigkeit, dass sie nicht auf ARM Systemen deaktiviert werden. Wir können bei diesem ein paar verschiedene Möglichkeiten zu suchen.

    Wir könnten lässig ignorieren, da es so wenige Windows-RT-Maschinen zur Verfügung stehen – und zwar unabhängig von Secure Boot, scheinen nur wenige Menschen geneigt, sie zu kaufen. Wir könnten auch auf die Tatsache, viele der derzeit meistverkaufte (pre-Windows 8) ARM-Rechner gesperrt haben Bootloader (iPad und iPhone unter ihnen) zu verweisen.

    Wir könnten sogar nahe, dass viele der meistverkauften ARM Computer, die nicht-Telefone oder Tabletten haben freischaltbare Bootloader (Chromebook, RaspberryPi). Alle diese kommen zusammen, um den Fall, dass wir nicht brauchen, um über Secure Boot ist für ARM-Rechner gesperrt besorgt machen.

    Aber es ist ein weiterer Winkel um alles. Microsoft wohl nicht darauf bestanden, dass die Hersteller den Bootloader auf x86-Rechner sperren haben. In der EU zumindest, würde dies mit ziemlicher Sicherheit als Missbrauch einer marktbeherrschenden Stellung angesehen werden, und das hat Microsoft in Schwierigkeiten, bevor einsehen.

    Mit ARM obwohl sie nicht über eine marktbeherrschende Stellung, so sind rechtlich frei, ihre nicht-beherrschenden Stellung, so viel sie wollen, zu missbrauchen. Vor diesem Hintergrund haben einige Leute spekulierten, dass ist Secure Boot auf ARM, was Microsoft tun wollen, und auf x86 es ist, was sie schon immer gezwungen, zu tun.

    In der Zukunft, diese Menschen zu spekulieren, die x86-Version wird näher und näher zu kriechen, wie es ist auf ARM, bis sie einrastet schließlich Benutzern aus ihren eigenen Computern.

    Cathy Malmrose, CEO von ZaReason, ist eine solche Person, und sie sprach mit uns vor kurzem. Werfen Sie einen Blick auf das Interview für ihre Ansichten zu diesem Thema.

    Für jetzt aber, funktioniert Linux sehr gut auf beiden x86 Windows 8 Maschinen – aber wir sind immer noch ein sehr wachsames Auge auf, wie Secure Boot Änderungen in zukünftigen Versionen zu halten.


    Techradar – Alle aktuellen Technologie-Nachrichten

    Tagesthema: Was Microsoft Secure Boot bedeutet für die Zukunft von Linux
    Source: www.xatacandroid.com  
    June 23, 2013

    Next Random post