bootslot

[RikRik]

Zou Ubuntu ook last hebben van SecureBoot 

Linux-distro Fedora 18 had al uit moeten komen volgens zijn halfjaarlijkse release-schema, maar bugs houden het OS in bèta. Fedora heeft onder meer problemen met de gewraakte bootmethode UEFI.

SecureBoot problematisch
De oplossing om Linux werkend te krijgen onder SecureBoot is een workaround om Grub2 van een certificaat te voorzien. De bootloader van Fedora bevat een shim die is getekend met een Verisign-certificaat, zodat de kernel wordt herkend en kan opstarten. Maar op het bugoverzicht van de Fedora-bèta is te zien dat deze shim nog altijd niet is getekend.

Microsoft eist dat machines die gecertificeerd zijn voor Windows 8 deze bootmethode gebruiken. Volgens Microsoft staat de omstreden methode Linux niet in de weg, maar in de praktijk lopen Linux-makers wel degelijk tegen problemen op door het bootslot.

Overigens is deze methode niet onomstreden, want kleinere Linux-makers zouden niet kunnen zorgen voor zo'n shim. De Linux Foundation is ondertussen zelf met een oplossing voor het bootslot gekomen in de vorm van een preloader waarbij de gebruiker toestemming moet geven door te starten. Dit houdt de bootloader veilig en zorgt ervoor dat er geen certificaat hoeft te worden gekocht.

http://webwereld.nl/nieuws/112434/windows-8-bootslot-blokkeert-release-fedora-18.html

[foxofinfinety]

wat een onzin weer, ze willen gewoon geloven dat het perse omzeilt moet worden hé?
in die zelfde eis van Microsoft staat ook dat het uit moet kunnen, maar in plaats van mensen instrueren over hoe je dat doet maken we er een leuke crack voor zodat we niet even een instelling moeten aanpassen..


ik heb ondertussen meer last van die onzin over SecureBoot met het omzeilen ervan dan van SecureBoot zelf.
en ter info: ja ik heb al een PC gehad met SecureBoot, ja die was Windows 8 certified, bij het opstarten op F2 drukken -> Advanced -> SecureBoot: Disabled en linux werkt zonder enige extra onzin.

[RikRik]

@foxofinfinety. dus de z.g.n.  Verisign-certificaat is dan onzin. Linux opstarten altijd eerst op  F2 drukken?

[Vistaus]

wat een onzin weer, ze willen gewoon geloven dat het perse omzeilt moet worden hé?
in die zelfde eis van Microsoft staat ook dat het uit moet kunnen, maar in plaats van mensen instrueren over hoe je dat doet maken we er een leuke crack voor zodat we niet even een instelling moeten aanpassen..


ik heb ondertussen meer last van die onzin over SecureBoot met het omzeilen ervan dan van SecureBoot zelf.
en ter info: ja ik heb al een PC gehad met SecureBoot, ja die was Windows 8 certified, bij het opstarten op F2 drukken -> Advanced -> SecureBoot: Disabled en linux werkt zonder enige extra onzin.

Leuk voor jou en voor Lenovo-bezitters (m.u.v. de B-serie) maar er zijn ook enkele merken die dat niet uitschakelbaar maken dus om het meteen als onzin af te doen vind ik wel erg grof van je...

[foxofinfinety]

wat een onzin weer, ze willen gewoon geloven dat het perse omzeilt moet worden hé?
in die zelfde eis van Microsoft staat ook dat het uit moet kunnen, maar in plaats van mensen instrueren over hoe je dat doet maken we er een leuke crack voor zodat we niet even een instelling moeten aanpassen..


ik heb ondertussen meer last van die onzin over SecureBoot met het omzeilen ervan dan van SecureBoot zelf.
en ter info: ja ik heb al een PC gehad met SecureBoot, ja die was Windows 8 certified, bij het opstarten op F2 drukken -> Advanced -> SecureBoot: Disabled en linux werkt zonder enige extra onzin.

Leuk voor jou en voor Lenovo-bezitters (m.u.v. de B-serie) maar er zijn ook enkele merken die dat niet uitschakelbaar maken dus om het meteen als onzin af te doen vind ik wel erg grof van je...

dan zijn die ook niet Windows 8 certified, anders kan het uit, dat is namelijk verijst, en grof, dat mag jij vinden dat is voor iedereen anders, maar wat ik grof vind is dat de laatste tijd ruim 90% van alle ICT nieuws die ik lees SecureBoot afkraakt en altijd Microsoft de schuld geeft over hoe fabrikanten het implementeren.

Microsoft heeft zelfs als eist gesteld dat het uit moet kunnen voor certificering, als dat niet kan licht dat aan de implementatie van de fabrikant, maar Microsoft krijg de schuld.
als er iets bashing is...

[Vistaus]

LOL. Dan heb je je blijkbaar verkeerd laten informeren want in de officiële (!) Windows Hardware Certification Requirements staat iets heel anders:

http://msdn.microsoft.com/nl-nl/library/windows/hardware/jj128256

The System firmware must be able to achieve UEFI mode boot by default. Such a system may also support fallback to legacy BIOS mode boot for deploying OS images which do not support UEFI, if the user explicitly selects that option in the pre-boot UEFI BIOS menu.

Volgens het woordenboek:
may=mogen

[foxofinfinety]

@Vistaus: lees zowel de tekst die jij post, wat gaat over het gebruik van UEFI of een BIOS, en UEFI is niet het zelfde als SecureBoot, en die pagin die je link eens door.

zelfde pagina System.Fundamentals.Firmware.UEFISecureBoot,  Target Feature: System.Fundamentals.Firmware
punt 18:

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv. A Windows Server may also disable Secure Boot remotely using a strongly authenticated (preferably public-key based) out-of-band management connection, such as to a baseboard management controller or service processor. Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure Boot must not be possible on ARM systems.

je mag terugvallen op een BIOS in plaats van UEFI, maar mist UEFI en daarmee SecureBoot in gebruik is moet die uit kunnen.

[Gandyman]

maar wat ik grof vind is dat de laatste tijd ruim 90% van alle ICT nieuws die ik lees SecureBoot afkraakt en altijd Microsoft de schuld geeft over hoe fabrikanten het implementeren.

Microsoft heeft zelfs als eist gesteld dat het uit moet kunnen voor certificering, als dat niet kan licht dat aan de implementatie van de fabrikant, maar Microsoft krijg de schuld.
als er iets bashing is...

Ergens begrijp ik je heftige reactie wel, aan de andere kant moet je wel even bedenken wie de vader is van dit misbaksel UEFI.

Kijk dat je ook na een kleine 25 jaar niet in staat bent een degelijk, normaal werkend en veilig OS te produceren is tot daar aan toe.
Iedereen heeft zo zijn gebrek.

Maar dat je dan een volslagen achterlijke oplossing verzint in de vorm van UEFI ?
Wat uiteindelijk toch geen moer gaat bijdragen aan de veiligheid ?
En waar iedereen last van gaat krijgen in de toekomst, met name de mensen die geen donder te maken willen hebben met dat microsoft, en het toch door hun strot geduwd krijgen is een grof schandaal.

En let wel, er is een verschil tussen basching en klagen over oplichters en debiele bedrijven die als een volleerde dictator bepalen hoe de wereld eruit moet zien.

[erik1984]

UEFI (het SecureBootgedeelte dan) kan wel degelijk wat bijdragen aan de veiligheid, maar in de huidige uitvoering staat het andere OSen in de weg. Dat je na het uitschakelen van SB gewoon wel Linux kunt starten/installeren vind ik een zwak argument. Zeker voor nieuwe gebruikers zal dat raar overkomen: Je moet beveiliging (=goed in de beleving) uitzetten om Linux te kunnen installeren. Daarom is het goed dat Fedora tenminste actief iets doet om Linux met SecureBoot aan te laten starten. Helaas blijkt het lastiger dan gepland.

[foxofinfinety]

Ergens begrijp ik je heftige reactie wel, aan de andere kant moet je wel even bedenken wie de vader is van dit misbaksel UEFI.

de voorloper van UEFI, genaamd EFI, is bedacht door Intel in 1990 voor HP systemen met Intel Itanium processor.
UEFI is in 2005 gemaakt door het Unified EFI Forum, waar Microsoft wel bij zit, maar zeer zeker niet zelf alles bepaald.

UEFI Forum (of Unified EFI Forum) bestaat uit AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies.
zelfs als zou Microsoft SecureBoot bedacht hebben, is het merendeel van de andere er wel mee akkoord gegaan, en nu ineens zijn zij er wel tegen.
het merendeel van de leden van UEFI Forum zijn ook leden van de Free Software Foundation, als het zo slecht is voor die vrijheid, waarom zijn zij dan ooit met SecureBoot akkoord gegaan als het niks positiefs had?

UEFI zelf is zeker niet achterlijk echter, dat is een vervanger van de BIOS, die overigens al net zo oud is als de IBM model 5150 ("IBM PC") welke al uit 1981 komt, dus in die zin is de BIOS wel toe aan vervanging.
en UEFI werkt ook zeer prettig, het is eigenlijk een mini OS op zichzelf en daardoor veel uitgebreider, o.a. heeft UEFI een volledige TCP/IP stack waardoor het kan updaten zonder eerst los het bestand te downloaden naar een plek waar hij hem kan vinden.

Microsoft in zijn eentje de schult geven van SecureBoot, dat is achterlijk, SecureBoot is onderdeel van de specificaties van UEFI en door alle bedrijven van het UEFI Forum goed gekeurd voor gebruik.
ik heb persoonlijk ook sterk het vermoede dat het idee van SecureBoot ook niet van Microsoft is geweest, gezien het door enkel van de andere fabrikanten al langer in gebruik is.

[Vistaus]

Nee, maar MS is wel degene die secure boot heeft geforceerd op nieuwe PC's en zelfs de optie om het niet uitschakelbaar te maken op ARM-systemen.

En aangezien MS nogal een aardig marktaandeel heeft (op zijn zachts gezegd) is het wel DEELS aan MS te wijten dat dat SecureBoot erdoor komt. Maar nogmaals: DEELS.

[RikRik]

Kort samengevat:
De ontwikkelaars van  Fedora 18  zijn bezig een besturing te ontwikkelen die geïnstalleerd kan worden met SecureBoot geactiveerd, wat blijkbaar nog niet helemaal is gelukt.
Als je nieuwe pc niet de optie heeft om UEFI uit te zetten, dan heb je als Linux gebruiker op dit moment een probleem.

[Vistaus]

Kort samengevat:
De ontwikkelaars van  Fedora 18  zijn bezig een besturing te ontwikkelen die geïnstalleerd kan worden met SecureBoot geactiveerd, wat blijkbaar nog niet helemaal is gelukt.
Als je nieuwe pc niet de optie heeft om UEFI uit te zetten, dan heb je als Linux gebruiker op dit moment een probleem.

Ehm, Ubuntu 12.10 heeft anders native oversteuning voor SecureBoot dus geen enkel probleem als het niet uit kan.

En in tegenstelling tot wat fox beweert zijn er wel degelijk systemen waarop het niet uitkan zoals de Lenovo B-serie bijv.

[RikRik]

Kort samengevat:
De ontwikkelaars van  Fedora 18  zijn bezig een besturing te ontwikkelen die geïnstalleerd kan worden met SecureBoot geactiveerd, wat blijkbaar nog niet helemaal is gelukt.
Als je nieuwe pc niet de optie heeft om UEFI uit te zetten, dan heb je als Linux gebruiker op dit moment een probleem.

Ehm, Ubuntu 12.10 heeft anders native oversteuning voor SecureBoot dus geen enkel probleem als het niet uit kan.

En in tegenstelling tot wat fox beweert zijn er wel degelijk systemen waarop het niet uitkan zoals de Lenovo B-serie bijv.

Oké, Ubuntu heeft dus geen last van kernel panic

[Vistaus]

Kort samengevat:
De ontwikkelaars van  Fedora 18  zijn bezig een besturing te ontwikkelen die geïnstalleerd kan worden met SecureBoot geactiveerd, wat blijkbaar nog niet helemaal is gelukt.
Als je nieuwe pc niet de optie heeft om UEFI uit te zetten, dan heb je als Linux gebruiker op dit moment een probleem.

Ehm, Ubuntu 12.10 heeft anders native oversteuning voor SecureBoot dus geen enkel probleem als het niet uit kan.

En in tegenstelling tot wat fox beweert zijn er wel degelijk systemen waarop het niet uitkan zoals de Lenovo B-serie bijv.

Oké, Ubuntu heeft dus geen last van kernel panic

Inderdaad.

[RikRik]

Super Vistaus  , dan is het toch wel vreemd, de problemen met Fedora 18.

[emiel1976]

Nee, maar MS is wel degene die secure boot heeft geforceerd op nieuwe PC's en zelfs de optie om het niet uitschakelbaar te maken op ARM-systemen.

En aangezien MS nogal een aardig marktaandeel heeft (op zijn zachts gezegd) is het wel DEELS aan MS te wijten dat dat SecureBoot erdoor komt. Maar nogmaals: DEELS.

Dat SecureBoot er nu pas is komt door MS. Die hebben juist jaren er voor gezorgd dat het er niet kwam en er waren er juist velen niet blij om dat ze het niet eerder hebben gebruikt. Voor de pc konden ze hun voordeel er al niet mee doen en nu nog niet.

[Vistaus]

Nee, maar MS is wel degene die secure boot heeft geforceerd op nieuwe PC's en zelfs de optie om het niet uitschakelbaar te maken op ARM-systemen.

En aangezien MS nogal een aardig marktaandeel heeft (op zijn zachts gezegd) is het wel DEELS aan MS te wijten dat dat SecureBoot erdoor komt. Maar nogmaals: DEELS.

Dat SecureBoot er nu pas is komt door MS. Die hebben juist jaren er voor gezorgd dat het er niet kwam en er waren er juist velen niet blij om dat ze het niet eerder hebben gebruikt. Voor de pc konden ze hun voordeel er al niet mee doen en nu nog niet.

Dat is toch niet helemaal hetzelfde als wat fox zegt... wie van de 2 heeft er gelijk...

[foxofinfinety]

Kort samengevat:
De ontwikkelaars van  Fedora 18  zijn bezig een besturing te ontwikkelen die geïnstalleerd kan worden met SecureBoot geactiveerd, wat blijkbaar nog niet helemaal is gelukt.
Als je nieuwe pc niet de optie heeft om UEFI uit te zetten, dan heb je als Linux gebruiker op dit moment een probleem.

Ehm, Ubuntu 12.10 heeft anders native oversteuning voor SecureBoot dus geen enkel probleem als het niet uit kan.

En in tegenstelling tot wat fox beweert zijn er wel degelijk systemen waarop het niet uitkan zoals de Lenovo B-serie bijv.

ik zou het op prijs stellen, dat je zou lezen wat ik zeg voor je beweringen er over maakt, ik zij dat op Windows 8 gecertificeerde machines het uit kan, de Lenovo B-Series is niet windows 8 gecertificeerd.
de Lenovo B-Series is standaard geleverd met Windows 7, wat ook het enige OS is waar ze voor gecertificeerd zijn, in de certificering van Windows 7 staat nog niks over SecureBoot.
ik beweer nergens dat het op alle machines uit kan, ik heb aldoor zeer expliet er bij gezet dat ik het over Windows 8 gecertificeerde machines had.

ja Microsoft is de gene die het forceert, maar daarmee komt ook UEFI, wat wel voordelen heeft, wat de meeste fabrikanten anders niet geïmplementeerd hadden.
qua ARM, de meeste Android toestellen hebben ook een locked bootloader, dat is zeker geen probleem? wat mij betreft is het op ARM totaal niet raar dat het vereist is, de meeste ARM producten hebben en dergelijke versleuteling.

overigens 'volgens fox' wordt door Fedora zelf bevestigd:

Q: Are you sure secure boot will be possible to disable in the firmware?
A: Yes, the Microsoft Windows 8 ready requirements require that to be the case.

qua fedora lijkt het mij meer aan UEFI ondersteuning algeheel te liggen dan specifiek SecureBoot, hij start immers wel, hij crashed daarna maar SecureBoot is enkel van toepassing op het laden van de bootloader, daarna word de beveiliging aan het OS zelf gelaten.
daarbij, gebruikt fedora een key van VeriSign, wat niet erg optimaal is gezien enkel de Microsoft keys standaard mee komen, je moet dus alsnog een VeriSign key installeren wil het werken.


overigens, moet ik het zelfde zeggen als emiel dan? ik zij enkel dat ik zat wordt van dat microsoft de schult krijg dat 'linux niet kan booten op Windows 8 certified computer' terwijl Microsoft juist zegt dat dat wel moet kunnen.
daarbij krijg ik momenteel erg het idee dat jij speciek wil dat wat ik zeg niet klopt, want aldoor negeer je delen van mijn berichten en/of geef je er en hele andere betekenis aan dat wat ik zeg, o.a. door het gedeelte over windows 8 certivicering niet mee te nemen in je reacties en te beweren dat ik zij dat het op alle systemen uit kan.
ik er zelfs eerder letterlijk de nadruk op gelegd:

wat een onzin weer, ze willen gewoon geloven dat het perse omzeilt moet worden hé?
in die zelfde eis van Microsoft staat ook dat het uit moet kunnen, maar in plaats van mensen instrueren over hoe je dat doet maken we er een leuke crack voor zodat we niet even een instelling moeten aanpassen..


ik heb ondertussen meer last van die onzin over SecureBoot met het omzeilen ervan dan van SecureBoot zelf.
en ter info: ja ik heb al een PC gehad met SecureBoot, ja die was Windows 8 certified, bij het opstarten op F2 drukken -> Advanced -> SecureBoot: Disabled en linux werkt zonder enige extra onzin.

Leuk voor jou en voor Lenovo-bezitters (m.u.v. de B-serie) maar er zijn ook enkele merken die dat niet uitschakelbaar maken dus om het meteen als onzin af te doen vind ik wel erg grof van je...

dan zijn die ook niet Windows 8 certified, anders kan het uit, dat is namelijk verijst, en grof, dat mag jij vinden dat is voor iedereen anders, maar wat ik grof vind is dat de laatste tijd ruim 90% van alle ICT nieuws die ik lees SecureBoot afkraakt en altijd Microsoft de schuld geeft over hoe fabrikanten het implementeren.

Microsoft heeft zelfs als eist gesteld dat het uit moet kunnen voor certificering, als dat niet kan licht dat aan de implementatie van de fabrikant, maar Microsoft krijg de schuld.
als er iets bashing is...

[Vistaus]

Okay, de Lenovo B-serie dan niet (ondanks dat ie alleen Win 7 secure boot ondersteunt) maar de G-serie wordt wel *NIEUW* met Windows 8 geleverd en heeft een Windows 8-certificering en voor zover ik begreep van mensen is het daar ook niet mogelijk om UEFI uit te schakelen.

Doe nou eerst maar eens research zoals ik ook gedaan heb want je zult zien dat er wel degelijk laptops zijn waar het niet uitschakelbaar is.
Op papier kan je van alles vereisen maar dat wil niet zeggen dat het in de praktijk ook zo wordt toegepast.
Bijv. de HP Touchpad werd standaard met webOS 3.0.5 geleverd maar een deel van de kopers kreeg hem met Android geleverd ondanks dat dat ding helemaal niet gecertificeerd was voor Android noch HP enige interesse in Android toonde. Hoe verklaar je dat dan?
Nogmaals: iets vereisen is 1 ding, maar of het ook zo wordt geleverd aan de consument is een ander verhaal.

[SeySayux]

SecureBoot op zich is niets mis mee, integendeel. Dat is ook waarschijnlijk waarom het UEFI-forum akkoord is gegaan: dit is een zeer nuttige security-feature.

Het probleem is dat Microsoft dwingt om SecureBoot in te schakelen op Windows 8-computers, en dat alle kernels en bootloaders moeten getekend worden door een key van Microsoft. Dus moet je even vriendelijk toestemming aan Microsoft gaan vragen als je je concurrerende product wilt opstarten op "hun" systemen. De Linux Foundation en Fedora hebben de knieval al ondergaan en een key van Microsoft gekocht.

[markba]

SecureBoot op zich is niets mis mee, integendeel. Dat is ook waarschijnlijk waarom het UEFI-forum akkoord is gegaan: dit is een zeer nuttige security-feature.

Het probleem is dat Microsoft dwingt om SecureBoot in te schakelen op Windows 8-computers, en dat alle kernels en bootloaders moeten getekend worden door een key van Microsoft. Dus moet je even vriendelijk toestemming aan Microsoft gaan vragen als je je concurrerende product wilt opstarten op "hun" systemen. De Linux Foundation en Fedora hebben de knieval al ondergaan en een key van Microsoft gekocht.

Precies. Ik lees hier hele verhalen dat Microsoft o zo zielig is dat ze altijd de schuld krijgen, maar het feit is dat vóórdat MS zich met deze toestand ging bemoeien (lees: eisen stellen), was er voor de vrije software-wereld eigenlijk geen probleem met secure-boot. Nu wel dus.

[Gandyman]

@foxofinfinety

En waarom ik dit UEFI achterlijk noem is omdat er een sleutel nodig is.
Want alleen als die sleutel geheim blijft zal UEFI werken zoals het bedacht is.
Zodra de sleutel publiekelijk word en iedereen de sleutel kent zal UEFI NIET meer werken zoals het bedacht is.
Dan is alle veiligheid ineens verdwenen.

En daarnaast is het slechts wachten op het moment dat een sleutel gekraakt word, waarna wederom die veiligheid weg is.

[markba]

@foxofinfinety

En waarom ik dit UEFI achterlijk noem is omdat er een sleutel nodig is.
Want alleen als die sleutel geheim blijft zal UEFI werken zoals het bedacht is.
Zodra de sleutel publiekelijk word en iedereen de sleutel kent zal UEFI NIET meer werken zoals het bedacht is.
Dan is alle veiligheid ineens verdwenen.

En daarnaast is het slechts wachten op het moment dat een sleutel gekraakt word, waarna wederom die veiligheid weg is.

Dit is precies de achilles-hiel van het hele systeem. Het Diginotar-debacle (waarbij sleutels gedurende langere tijd in vreemde handen zijn gekomen waardoor oa DigiD onbetrouwbaar werd) bewijst dat élk systeem dat afhankelijk is van een derde organisatie kwetsbaar is; bij herhaling blijkt dat security by obscurity niet werkt.

Derhalve voegt het weinig tot niets toe aan de veiligheid maar is nu wel de vrije software-wereld druk doende om voor deze oplossing waar eigenlijk geen probleem voor is op te lossen. Maar dat zal wel de bedoeling zijn denk ik.

[RikRik]

Lenovo laat zijn UEFI-firmware het geïnstalleerde pc-besturingssysteem checken. Alleen Windows en Red Hat Enterprise Linux staan op die whitelist.

Alleen de in de firmware opgenomen twee besturingssystemen mogen van BIOS-opvolger UEFI booten. Het opstarten vanaf installatiemedia voor bijvoorbeeld Red Hats Fedora is wel mogelijk, maar vervolgens booten van die geïnstalleerde Linux-distributie weer niet.
http://webwereld.nl/nieuws/112505/lenovo-desktop-boot-alleen-windows-en-red-hat.html