Linus Torvalds: "Secure boot is geen groot probleem"

[Vistaus]

http://tweakers.net/nieuws/82517/torvalds-secure-boot-geen-groot-probleem-voor-linux.html

Ben benieuwd of ie gelijk gaat hebben...

[Bloom]

De man snapt kennelijk niet dat het over het principe gaat. Ja, natuurlijk gaat die secure boot gekraakt worden. Maar als Microsoft de BIOS-makers kan verplichten hun beveiligingssysteem in te bouwen, is dat al een overwinning. Uiteraard wordt die dan wel opgevolgd door eentje die effectief de concurrentie volledig kan uitsluiten! Eens zien of Torvalds er dan nog zo lichtvoetig over heengaat.

[Vistaus]

"Ja, natuurlijk gaat die secure boot gekraakt worden."

Wat zeg je dat overtuigend... je weet dat je het zo kunt encrypten dat het onhackbaar wordt? Als zulk soort bootloaders echt zo makkelijk te kraken waren dan was die van de Motorola Milestone-serie ook allang gekraakt en daar zaten en zitten een aantal experts nota bene bovenop.

Dus tuurlijk zullen er wel hacks komen, maar kraken vraag ik me dan toch af of dat wel gaat lukken.

[Tom]

Ach als u over 10 jaren eventueel afgestudeerd bent ,maak je wel een hack voor ons of kraakt dat ding .. nietwaar.

[foxofinfinety]

De man snapt kennelijk niet dat het over het principe gaat. Ja, natuurlijk gaat die secure boot gekraakt worden. Maar als Microsoft de BIOS-makers kan verplichten hun beveiligingssysteem in te bouwen, is dat al een overwinning. Uiteraard wordt die dan wel opgevolgd door eentje die effectief de concurrentie volledig kan uitsluiten! Eens zien of Torvalds er dan nog zo lichtvoetig over heengaat.

UEFI en de daarbij behorende SecureBoot functie zijn gemaakt door Intel, niet door Microsoft.
en Microsoft heeft al aangegeven dat het niet verplicht is om te zorgen dat SecureBoot niet uit zou kunnen,
dat licht aan de fabrikant, SecureBoot is enkel nodig voor het WLP (Windows Logo Program), en daarvoor mag hij gewoon door de gebruiker uit te zetten zijn.

sterker nog, in de firmware setup MOET je hem uit kunnen zetten:

System.Fundamentals.Firmware.UEFISecureBoot
Target Feature: System.Fundamentals.Firmware
Title: All client systems must support UEFI Secure boot
Applicable OS Versions
Windows 8 Client x86
Windows 8 Client x64
Windows RT
Windows Server 2012

[...]

18. Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

[Vistaus]

Ach als u over 10 jaren eventueel afgestudeerd bent ,maak je wel een hack voor ons of kraakt dat ding .. nietwaar.

Ik ben in februari 2013 afgestudeerd en ik doe geen hack-opleiding, dus dat zal het wel niet worden

[Gandyman]

Ik vraag me af of je de moeite moet nemen om het te gaan kraken.

Het zit veilig in de bios.
Echter het lijkt me dat er wel een mogelijkheid is om de bios te updaten ?

Hoe moeilijk is het dan de firmware backwards te engineren en alles eruit te slopen wat je niet aanstaat ?
Vervolgens flash je de bios weer zonder allerhande beperkingen.

Dus die Secure boot lijkt me idd geen groot probleem 

Het word nu al dagelijks gedaan dus er is ervaring genoeg in de community.

[SeySayux]

Hmm, nu begint er plots andere wind te waaien...

Fedora betaalt 99 dollar "belasting" aan Microsoft.

Neen, Fedora heeft een sleutel van VeriSign gekocht, niet van Microsoft. Dat ze dit willen doen is hun zaak. Een officiële key hebben om software mee te tekenen is altijd een voordeel.

Microsoft dwingt secure boot af, anders start Windows 8 niet op.

Neen, een hardwareverkoper krijgt anders gewoon niet een "Windows 8 Certified" label.

Op ARM-systemen mag secure boot niet uit te schakelen zijn om Windows 8 te draaien.

Neen, zoals hierboven, het gaat om het "Windows 8 Certified" label, en bovendien worden de intenties van Microsoft hier verdraaid: namelijk, het is een *vereiste* dat op Intel systemen secure boot uitschakelbaar is (weeral, enkel voor het Certified label), op ARM wordt dit gewoon niet *vereist*. Dat is iets anders dan zeggen "Op ARM systemen mag secure boot niet uit te schakelen zijn en op Intel ligt de keuze aan de fabrikant", als het juist andersom is. (Op ARM systemen ligt de keuze aan de fabrikant, op Intel systemen *moet* het uitschakelbaar zijn).

Dus kunnen we de volgende keer ons van de echte feiten op de hoogte stellen, geen FUD gaan verspreiden, en niet vervallen tot quote mining en andere drogredenen? Met andere woorden, neutraal blijven en geen zelotisch Ubuntu-apologisme bedrijven; i.e. de oogkleppen af? Hoop dat ik hier duidelijk ben...

- SeySayux

[Vistaus]

Nee, op ARM ligt de keuze helemaal niet bij de fabrikant; op ARM staat secure boot verplicht aan. Dat zijn allang de feiten aangezien meneer Ballmer dat zelf gezegd heeft en ik kan me niet voorstellen dat ie dat fout zegt tijdens een keynote...

[emiel1976]

@SeySayux, ja voor arm systemen geld dat maar voor alle niet arm systemen niet.
Ofwel tablet's en dergelijke zullen niet vrij zijn.

Al vraag ik mij af nu Cononical er voor betaald of ze wel op de arm systemen kunnen komen.
Je hoeft dan niet meer je secure boot uit te zetten dus in principe zou het moeten werken.

De Bios zal wel straks te downloaden zijn zonder die beveiliging en dan heb je het zo op een arm systeem ook gezet.

Ik maak mij niet zo druk er om. Als het straks allemaal gelokt is en je kunt er niets mee en ik wil wat anders dan Win 8 dan kan ik altijd nog een Android systeem kopen. Voor de desktop blijft toch alles open en dat vind ik belangrijker.

[Vistaus]

"Al vraag ik mij af nu Cononical er voor betaald of ze wel op de arm systemen kunnen komen."

Het geldt alleen voor Windows 8-tablets, niet voor tablets in het algemeen Dus als Canonical nu een deal met bijv. HTC maakt voor een Ubuntu-tablet dan is er geen sprake van secure boot.

[koos4401]

@Wanda: bedankt voor het plaatsen van de toelichting op #4.

[Vistaus]

@Wanda: bedankt voor het plaatsen van de toelichting op #4.

Sinds wanneer is dat een toelichting als hij een knipoog-opmerking naar mij maakt Lees dan ook mijn 'toelichting' onder Wanda's toelichting.

[emiel1976]

"Al vraag ik mij af nu Cononical er voor betaald of ze wel op de arm systemen kunnen komen."

Het geldt alleen voor Windows 8-tablets, niet voor tablets in het algemeen Dus als Canonical nu een deal met bijv. HTC maakt voor een Ubuntu-tablet dan is er geen sprake van secure boot.

Dat idee had ik ook al. Is goed voor HTC en Ubuntu.

Alleen wat ik bedoel, kunnen ze als ze er voor betalen ook op de tablet van Win 8?