secure Boot

[Leon_III]

Gelezen op de Canonical blog http://blog.canonical.com/2011/10/28/white-paper-secure-boot-impact-on-linux/

Any new Windows 8 PC will have Secure Boot switched “ON” when it leaves the shop and will be able to boot Microsoft approved software only. However, you will most likely find that your new PC has no option for you to add your own list of approved software. So to install Linux (or any other operating system), you will need to turn Secure Boot “OFF”.

Mijn Engels is niet zo geweldig goed, en ik weet niet zeker of ik het wel goed begrepen heb.
Gaan fabrikanten in hun bios secure boot aanbrengen of  doet  de nieuwe  windows 8 dat  zelf?

[Timo]

http://forum.ubuntu-nl.org/algemeen-42/wil-microsoft-het-installeren-van-linux-op-een-pc-verhinderen/

[ThomasN]

Secure boot is een optie in UEFI (de "opvolger" van het traditionele BIOS), waar Windows 8 gebruik van gaat maken. Het is nog niet precies duidelijk hoe het in de praktijk zal gaan, maar waarschijnlijk zal deze optie op computers met Windows 8 standaard aan staan. Het is aan de fabrikant om te bepalen hoe deze optie precies geïmplementeerd wordt en hoe gemakkelijk het is uit te schakelen.

[Vistaus]

http://www.omgubuntu.co.uk/2011/10/canonical-seek-to-allay-windows-8-secure-boot-fears/
http://www.linuxtoday.com/news_story.php3?ltsn=2011-10-28-003-41-NW-LF-OO

[emiel1976]

Gelezen op de Canonical blog http://blog.canonical.com/2011/10/28/white-paper-secure-boot-impact-on-linux/

Any new Windows 8 PC will have Secure Boot switched “ON” when it leaves the shop and will be able to boot Microsoft approved software only. However, you will most likely find that your new PC has no option for you to add your own list of approved software. So to install Linux (or any other operating system), you will need to turn Secure Boot “OFF”.

Mijn Engels is niet zo geweldig goed, en ik weet niet zeker of ik het wel goed begrepen heb.
Gaan fabrikanten in hun bios secure boot aanbrengen of  doet  de nieuwe  windows 8 dat  zelf?

Zoals het daar staat, staat er dat nieuwe pc's met Windows 8 geleverd worden met secure boot. Ook zul je merken dat je waarschijnlijk niet zelf de lijst aan kunt vullen met eigen goedgekeurde software.
Om Linux te installeren dien je de secure boot uit te zetten.

Als ik het dus zo lees, lees ik nergens dat het niet mogelijk zal zijn om het uit te zetten.
Dit zit in de bios en komt niet van Windows 8 af. Windows 8 ondersteund het nu wel terwijl het er eigenlijk al iets is uit 1995. Het is dus niets nieuws maar het word nu pas toegepast.

Windows 8 start snel op als het aan staat maar als het uit staat komt de tijd van de bios erbij dus zal de boot tijd wat omhoog gaan, verder heeft het totaal geen effect op Windows 8.

Een hoop merken zullen dit open houden en ik denk dat er fabrikanten bij zullen zijn die het wel mogelijk maken om de lijst aan te vullen. Dit zullen dan waarschijnlijk wel systemen zijn die ze ook met Linux leveren.

[SeySayux]

Ik vrees dat als dit gaat gebeuren (d.w.z. SecureBoot standaard ingeschakeld, niet uitschakelbaar, onmogelijk om andere besturingssystemen te installeren en/of te markeren als 'trusted'), dat wel voldoende stof zal doen opwaaien...

Ten eerste zie ik al pakweg Novell of Red Hat daar een serieuze rechtszaak voor opspannen wegens oneerlijke concurrentie. Met wat geluk zelfs ook Canonical of Google...(*)

Ten tweede gaan waarschijnlijk alle bedrijven die niet een Linuxdistributie uitbrengen maar toch hun broodwinning halen uit Linux hier serieus lastig over kunnen worden...

Ten derde zullen de overheden, zoals de EU, dit ook niet toelaten. Heel het antitrust-scenario opnieuw, maar dan in het kwadraat. Ze zijn nu al bezig om over te schakelen naar open standaarden, zodat je zeker bent dat je je documenten nog kan openen op nieuwere systemen, en nu plots zou de software die je kan draaien op je computer beperkt worden? Yea right, dat gaat de EU écht toelaten...

Neem hierbij dat Microsoft ook van plan is om een Windows Store (a la Apple App Store of Ubuntu Software Centre) toe te voegen, maar dan bijkomend dat je enkel software kan installeren die zij goedkeuren. (Hoe dat dan gaat voor ontwikkelaars weet ik niet, maar ik veronderstel dat het erg sandboxed gaat zijn en over het algemeen niet fijn om permanent mee te werken).

- SeySayux

EDIT: (*) Mogelijk komt de FSF zelf ook in actie.

[ThomasN]

De white paper legt erg goed de mogelijke problemen uit en komt met goed doordachte aanbevelingen. Ik hoop dat ze in staat zijn op deze manier de grote fabrikanten te overtuigen. Als het niet lukt zullen er ongetwijfeld rechtszaken volgen. Zeker in Europa is er op dat gebied veel mogelijk, als je kijkt naar de geschiedenis van veroordelingen die Microsoft heeft gehad voor misbruik van zijn monopoliepositie.

Hieronder enkele aanbevelingen uit de white paper waar ik helemaal achter sta.

We recommend that all OEMs allow secure boot to be easily disabled and enabled through a firmware configuration interface

Het is erg belangrijk dat het uitschakelen van secure boot niet alleen mogelijk is, maar ook eenvoudig. Als Linux alleen nog maar te installeren is door technisch begaafde mensen, betekent dat een stap van tien jaar terug in de tijd voor Linux.

We recommend that OEMs (with assistance from BIOS vendors) provide a standardised mechanism for configuring keys in system firmware

Als secure boot een gestandaardiseerd systeem krijgt om softwaresleutels toe te voegen, kan deze extra beveiligingslaag door iedereen gebruikt worden, ook als je een zelfgekozen besturingssysteem installeert.

We recommend that hardware ship in setup mode, with the operating system taking responsibility for initial key installation

Als de softwaresleutels geconfigureerd worden bij de eerste keer opstarten van een nieuwe computer, in plaats van in de fabriek, heeft de gebruiker zelf de controle over het instellen van deze beveiligingslaag en krijgt hij geen systeem dat anders geconfigureerd is dan hij wil.

[petervs]

http://webwereld.nl/nieuws/110696/fedora-legt-zijn-lot-in-handen-van-microsoft.html

Ik lees dit en dacht meteen aan dit topic.... Toch niet zo ver weg als ik dacht. Ongelooflijk dat dit mogelijk is, Fedora gaat Microsoft betalen om ook op een computer te kunnen worden geïnstalleerd.

[Leon_III]

Ben benieuwd hoe dit gaat aflopen, in het verleden heeft MS de strijd om de browsers verloren, hoop dat dit nu weer zal gebeuren.

[erik1984]

http://webwereld.nl/nieuws/110696/fedora-legt-zijn-lot-in-handen-van-microsoft.html

Ik lees dit en dacht meteen aan dit topic.... Toch niet zo ver weg als ik dacht. Ongelooflijk dat dit mogelijk is, Fedora gaat Microsoft betalen om ook op een computer te kunnen worden geïnstalleerd.

Las het gister al en stond er ook even van te kijken. Het sterkt me meer in het voornemen om geen systeem met Windows meer te nemen, dan maar wat extra betalen voor een PC zonder voorgeinstalleerd OS of juist met Ubuntu. Wel vind ik dat mensen over het algemeen wat te hard ageren tegen Fedora in deze (heb het niet over dit forum). Matthew Garrett maakt een aantal goede punten: http://mjg59.dreamwidth.org/12368.html Veel mensen zullen straks een PC met voorgeinstalleerde Windows8 en UEFI hebben. Als zij Linux willen proberen moeten ze dus eerst secure boot uitzetten (als dat al kan op hun hardware!). Kan me zo voorstellen dat een nieuweling niet goed weet hoe dat moet en dan maar afhaakt. Fedora kan op zo'n machine wel gewoon starten.

[niekn]

http://webwereld.nl/nieuws/110696/fedora-legt-zijn-lot-in-handen-van-microsoft.html

Ik lees dit en dacht meteen aan dit topic.... Toch niet zo ver weg als ik dacht. Ongelooflijk dat dit mogelijk is, Fedora gaat Microsoft betalen om ook op een computer te kunnen worden geïnstalleerd.

en wat als ik GENTOO wil installeren (die moet je ZELF compilen!)
elke gentoo-compilatie is UNIEK dus jah...

overigens heb ik een laptop met UEFI, maar die heeft nog geen secure-boot functie.
secure-boot is om "bootloader-aanvallen" te voorkomen: de kernel word geverifieerd, en als deze gemodificeerd is, dan weigert het systeem op te starten.
het niet uit kunnen schakelen van secure-boot is zelfs voor microsoft vervelend, aangezien je bij een upgrade van windows OOK de kernel aanpast....
verder zou ik juist een bootloader-aanval gebruiken als ik iemands dag wil verzieken, zijn pc start dan namelijk niet meer op 

[Pjotr]

http://webwereld.nl/nieuws/110696/fedora-legt-zijn-lot-in-handen-van-microsoft.html

Ik lees dit en dacht meteen aan dit topic.... Toch niet zo ver weg als ik dacht. Ongelooflijk dat dit mogelijk is, Fedora gaat Microsoft betalen om ook op een computer te kunnen worden geïnstalleerd.

Het is fraai. Maar niet heus. Het gore lef om nog geld te vragen ook, voor zo'n afpersingscertificaat. Zeer ergerlijk allemaal. 

Enfin, als het niet kan zoals het moet, dan moet het maar zoals het kan. Vanuit praktisch oogpunt is het een goede zet van Fedora. Ik denk dat het verstandig is, als andere distro's volgen.

Overigens gaat dit sowieso een aantal kleine distro's de kop kosten, vrees ik....

[Joris Donders]

Ik denk maar even luidop; zou de hardware aanzienlijk veranderen met de komst van het nieuwe systeem ? Per slot van rekening dateert het al van ergens in 1996 (Uefi)  .
Dus als fabrikanten nu gewoon een flitstooltje zouden ontwikkelen is de zaak toch min of meer opgelost (?) . Of zie ik dat verkeerd ?
Ik merk dat voor de HP uit mijn onderschrift er wel 3 mogelijkheden zijn om de Eeprom te flitsen, dus, lijkt me, dat het toch ook mogelijk moet zijn om Uefi te flitsen met iets anders (voor mijn part terug een gewone Bios ) . Die HP is gedateerd van 2007 productiejaar.

Mochten de Linux distro's een handige flitstool ontwikkelen (vanuit de Livecd b.v. ) zou (ik zeg zou) misschien het probleem opgelost kunnen zijn. Gewoon een kwestie van meewerken van de fabrikanten.
Het klinkt misschien naïef, maar in mijn ogen niet echt onmogelijk.

[niekn]

Ik denk maar even luidop; zou de hardware aanzienlijk veranderen met de komst van het nieuwe systeem ? Per slot van rekening dateert het al van ergens in 1996 (Uefi)  .
Dus als fabrikanten nu gewoon een flitstooltje zouden ontwikkelen is de zaak toch min of meer opgelost (?) . Of zie ik dat verkeerd ?
Ik merk dat voor de HP uit mijn onderschrift er wel 3 mogelijkheden zijn om de Eeprom te flitsen, dus, lijkt me, dat het toch ook mogelijk moet zijn om Uefi te flitsen met iets anders (voor mijn part terug een gewone Bios ) . Die HP is gedateerd van 2007 productiejaar.

Mochten de Linux distro's een handige flitstool ontwikkelen (vanuit de Livecd b.v. ) zou (ik zeg zou) misschien het probleem opgelost kunnen zijn. Gewoon een kwestie van meewerken van de fabrikanten.
Het klinkt misschien naïef, maar in mijn ogen niet echt onmogelijk.

tjah, dan kun je wel geen 3TB schijven gebruiken....

[Bloom]

Op zich vind ik de redenen van Fedora wel begrijpelijk, maar ik niettemin denk ik toch dat de hardwareindustrie geen pc's op de markt zou hebben gebracht als daar alleen Win8 en niets anders op zou kunnen draaien omdat hen dat toch nog klanten zou kosten. Het zou ook aanleiding hebben kunnen geven voor antitrust-rechtzaken. Nu is er een deur geopend en dit zou kunnen betekenen dat er nu wel degelijk pc's op de markt gaan komen die alleen maar OS'en kunnen booten die een afperscertificaat van Microsoft gekocht hebben. Waardoor een gratis Linux eigenlijk niet meer kan. En bij Microsoft kan men juichen: doel bereikt!

[lord4163]

@Joris Donders

Coreboot?