FSF gegen „zu“ sicheres Booten

Oktober 19, 2011 um 11:16 am | Veröffentlicht in DRM, Free Software/Open Source, GNU/Linux, Microsoft, Ubuntuusers | 20 Kommentare

Seit bekannt ist, dass Microsoft nur solche Geräte als Windows 8 kompatibel auszeichnen wird welche das sogenannte Secure Boot unterstützen und standardmäßig eingeschalten haben ist eine Diskussion in der Free Software Community entflammt. So wurde kolportiert, dass es den Herstellern zu aufwändig sein könnte dieses „Feature“ unter die Kontrolle des Nutzers zu stellen, sprich: abschaltbar zu machen.

Zur Info: Secure Boot nennt sich ein Verfahren, welches nur Kernel booten soll welche mit einem hinterlegten Schlüssel signiert sind. Die Befürchtungen gehen in die Richtung, dass der Nutzer selbst keine Schlüssel hinzufügen kann (z.B. für den eben selbst kompilierten Kernel) oder nicht in der Lage sein wird Secure Boot etwa durch abschalten zu umgehen. Das hätte zur Folge, dass nur Windows 8 auf diesem Computer lauffähig wäre, da sich nicht einmal eine LiveCD zur Installation starten ließe.

Die FSF hat, als Vorsichtsmaßnahme, eine Stellungnahme veröffentlicht in welcher sie Hardwarehersteller und Microsoft dazu auffordert darauf zu achten, dass durch Secure Boot (welches die FSF Restricted Boot nennt, für den Fall, dass sich die Befürchtungen bewahrheiten) die Freiheiten der Nutzer alternative Software auf dem Computer zu installieren nicht beschnitten wird. Dazu hat die FSF auch eine Unterschriftenaktion gestartet.

Man kann über die FSF (und Richard Stallman) sagen was man will, ich sehe den Sinn dieser Kampagne vor allem darin die Aufmerksamkeit von Hardwareherstellern zu erlangen. Wenn Secure Boot einmal implementiert ist werden die wenigsten Hersteller dazu geneigt sein es im Nachhinein groß anzupassen.

=-=-=-=-=
Powered by Blogilo

20 Kommentare »

RSS feed for comments on this post. TrackBack URI

  1. Habe es gerade unterschrieben.

    Eine bitte an Alle, sagt auch euren nicht-free-software Freunde und Bekannte bescheid und erklärt ihnen auch warum:
    Konkurrenz durch Open-Source hilft auch den Nutzer von Closed-Source. Prominentes Bespiel ist der IE, der ohne Firefox nicht so schnell entwickelt würde.

    Danke.
    P.S.: Noch schöner wäre es, wenn dabei auch einige zu Open-Source „überlaufen“. Wobei Missionierung nicht zum Ziel führt, nutzt einfach Open-Source und zeigt es auch.

  2. Nach dem, was zu Win8 in der vorletzten c’t Stand ist Secure Boot eine _Option_ von Win8, welche so wie so nur UEFI funktioniert, nicht mit dem normalen BIOS. Da das normale BIOS aber immer noch weit verbreitet ist, ist da IMHO nicht zu viel „Ärger“ zu erwarten…

    • Bei UEFI handelt es sich um eine Alternative zu BIOS. Microsoft verlangt von den OEMs, dass dies Funktion implementiert und standardmäßig eingeschalten ist. Win8 bootet nicht von BIOS aus und auch nicht von UEFI ohne Secure Boot. Damit ist defacto von haus aus jedes alternative System gesperrt, wenn der Kernel nicht signiert ist.

      • Windows8 wird man auch ohne SecureBoot installieren können. Es geht der FSF auch nicht um das vorhanden sein von SecureBoot, sondern darum, das die Boardhersteller zumindest immer einen Schalter zum deaktivieren von SecureBoot einbauen, um eben weiterhin die Möglichkeit zu erhalten, andere Systeme zu booten bzw. zu installieren.

        • Ich habe mir eingebildet gelesen zu haben, dass Windows den Bootvorgang verweigert, wenn es feststellt, dass es nicht mit SecureBoot gebootet wurde. In einer kurzen Recherche habe ich jetzt aber keine Artikel gefunden die das belegen. Ich habe diesen Teil in meinem vorherigen Kommentar deshalb gestrichen.

  3. Beschränkt das eigentlich auch die Ausführung von Win8 in virtuellen Maschinen?

    • Da Win8 ohne Secure Boot nicht startet vermutlich ja, zumindest sofern die Virtuelle das nicht unterstützt.

  4. Würde mich wundern, wenn das so Rechtens ist. Also Rechner zu verkaufen, die nur Win8 booten können. Wenn ich das Gerät kaufe dürfte ich doch installiere was ich will.
    Oder sehe ich das Falsch?

    Das MS mal wieder Knebel-Monopol-Verträge ausheckt ist ja aber sonst nichts Neues.

    • Da es keine Gesetze gibt, die die Wahlfreiheit am Computer bekräftigen fürchte ich, dass er sehr wohl rechtlich nicht anfechtbar ist. Sonst wäre ja jede proprietäre Software illegal.

      • Wenn der Hersteller vorher dem Kunden mitteilt (im Kleingedruckten) das auf diesen Rechner nur „Win8“ läuft , ist das nicht Illegal …. sonnst wären ja fast alle Apple Rechner oder Smartphone auch Illegal.
        Klar will Microsoft hier lästige Konkurenz loswerden oder zumindest zur Lizensierung „zwingen“ um dann mit allen Herstellern von Linux Distributionen Lizenz-Gebühren Vertäge abzuschließen.
        Das zudem noch als ein „Sicherheits Feather“ verkaufen kann … ein Genialer Trick.
        Andererseit kann ja jeder Hersteller auch Linux Rechner Anbieten … auf dem sich dann kein Windows Installeren lässt ….. nur ob sich diese Verkaufen lassen?

  5. Ich hab mal unterschrieben.

    Bin hier mal ausnahmsweise voll einer Meinung mit der FSF. Wenn Secure Boot die Möglichkeit bietet, auf einfache Art und Weise einen neuen Key zu hinterlegen, ist es ein Gewinn. Denkbar wäre meines Erachtens ein Verfahren wie bei den PPAs, wo man die Option beim Booten bekommt, den Key zu hinterlegen.

    Wenn man entweder im Sinne eines Restricted Boots nur auf die Standardkeys beschränkt ist (was ich nicht glaube) oder das Hinterlegen eigener Keys eine Wissenschaft für sich ist (was wahrscheinlich der Fall sein wird), dann kann man sich dieses Feature gleich schenken! Ich habe keine Lust vor der Linuxinstallation auf einem neuen Hobel erstmal paar Stunden mit dem Hinterlegen von Keys mich aufzuhalten. Von mir aus soll halt Secure Boot im BIOS deaktivierbar sein, mir wurst wenn danach win8 nicht mehr aufrufbar ist, der Mist kommt mir nicht auf ein Produktivsystem.

    Hoffen wir halt mal, dass die Hardwarehersteller sich nicht zu sehr von MS einwickeln lassen, eine quasi windows-only-Konfiguration zu produzieren. Wenn doch hoffe ich auf drakonische Strafen von der EU Kommission wie damals beim IE😉

    • Hoffen wir halt mal, dass die Hardwarehersteller sich nicht zu sehr von MS einwickeln lassen, eine quasi windows-only-Konfiguration zu produzieren.
      Genau dagegen kämpft diese Initiative.

      Wenn man entweder im Sinne eines Restricted Boots nur auf die Standardkeys beschränkt ist
      Das ist die Gefahr. Wenn man selbst Keys hinterlegen kann, dann darf es ruhig kommen.

    • …eine quasi windows-only-Konfiguration zu produzieren. Wenn doch hoffe ich auf drakonische Strafen von der EU Kommission wie damals beim IE😉

      Gegen wem sollten da geklagt werden ? … gegen ca. 100 Mainboardhersteller aus Fernost? … Unwarscheinlich.
      MS ist ja nur Indirekt dafür Verantwortlich, denn ihr Windows Bootet auch ohne Secure Boot.
      Secure Boot problemlos „Abschaltbar“ zu gestalten vielleicht noch von „außen“ vor dem Booten wie beim Bios , würde ja den Sinn von Secure Boot völlig zuwieder laufen.
      Secure Boot soll ja gerde die Sicherheit bieten das mit einem USB – Stick oder Live-CD gebootetes OS keine Daten mehr aus dem installieren Beriebssystem gelesen werden können, bzw damit gleich deren Booten unterbunden wird.
      Das ist keine Forderung von Microsoft sondern der Industrie und staatlichen Behörden , die dann gegen sich selbst Klagen müssten.

      • Secure Boot problemlos „Abschaltbar“ zu gestalten vielleicht noch von „außen“ vor dem Booten wie beim Bios , würde ja den Sinn von Secure Boot völlig zuwieder laufen.

        Nicht ganz. Der Sinn ist es, dass diese Einstellungen nicht von einem Programm vorgenommen werden können sondern nur vom Nutzer über die „offizielle“ Schnittstelle, sprich die UEFI-GUI. Es soll verhindern, dass sich schadhafter Code bereits beim Booten aktiviert und damit die OS-basierten Sicherheitsmechanismen umgeht.

        Natürlich ist Microsoft nicht verantwortlich dafür wie die MainBoard-Hersteller UEFI implementieren. Sie sind aber dafür verantwortlich nur solchen PCs ein Win8-Logo auszustellen welche SecureBoot implementieren und standardmäßig einschalten. Das allein darf natürlich nicht als böse Absicht ihren Konkurrenten gegenüber ausgelegt werden. Deswegen richtet sich die FSF-Kampagne auch nicht an MS alleine sondern an Hersteller von Hardware und an öffentliche Stellen.

  6. Moin,

    das ist echt ein starkes Stück was MS da versucht. Frage mich in wie weit sich das auf andere OS von MS auswirkt. In der Firma verkaufen wir fast nur Windows XP Embedded und neuerdings auch W7 Embedded. Wenn sich diese nicht installieren lassen, bekommen wir irgendwann sicher Probleme.
    Habs auch unterschrieben und wenn es recht ist, verlinke ich in meinem Blog mal auf die Seite hier.

  7. […] Genaueres gibt es hier. […]

  8. IMHO wird der Bootloader signiert, also bsp. NTLDR oder GRUB. Dieser lädt ggf. nur einen signierten Kernel. Bleiben die Fragen: Woher bekommt GRUB seine Signatur? Was passiert bei Updates? Wie verwaltet man die Schlüssel? Da würde ich erst auf Implementierungen seitens der Industie warten. Papier ist zu geduldig.

    Abgesehen dürfte „ihnen“ SB wenig nutzen, solange im Userland weiter quasi alles ausgeführt wird und es Kernelexploits gibt, die Signaturen umgehen. Wäre einfach nur ein weiteres Schloß an einer Holztür, erhöht das Fehlerpotential sowie den Hardwarepreis😉

  9. Die Industrie wird das sicher Gefallen, denn es ließe sich auf diese Rechner dann auch kein „neues“ Windows mehr Installieren , also bei Win „9“ wäre dann auch gleich eine Neue Hardware nötig …… das freut doch jeden Händler und Hersteller … nur den Kunden nicht.
    Es wird sicher kommen , die Nerds werden darauf Achten das Secure Boot abschaltbar ist … aber die große Allgemeinheit welche ihre Rechner bei Aldi oder „Geiz Laden“ kaufen wird es sicher Egal sein? …. damit wurde der potenzielle Marktanteil für Linux oder andere alternativen OS noch geringer und in mittlerer Zukunft müsste man dann extra Rechner für das jeweilige OS Kaufen.

    • Womit wir wieder in den finsteren Zeiten wären die herrschten bevor UNIX das Licht der Welt erblickte und auf verschiedene Plattformen geportet wurde.

      Das ist eine sehr dunkle Befürchtung und ich hoffe wirklich, dass sie nicht wahr wird. Bei Aldi-PCs kann ich es mir aber durchaus vorstellen.

  10. […] Gefahr für die Freiheit des Nutzers als die, noch nicht bestätigten, Befürchtungen zu Secure Boot. Was ist deine Meinung dazu? Hast du dir frühere EULAs durchgelesen? Siehst du den Inhalt der […]


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.
Entries und Kommentare feeds.

%d Bloggern gefällt das: