De UEFI is een stuk uitgebreider dan de antieke BIOS. Die kan zonder problemen de bootsector en andere opstartbestanden controleren op een geldige handtekening. Hiervoor is geen internetverbinding nodig.
Zodra de opstartbestanden OK zijn bevonden kunnen die gewoon gestart worden. Het OS kan daarna zelf (evt. via internet) kijken of er een geldige licentie is en of er niet met de sleutels gerommeld is.
Dit kan alleen als alle UEFI code in hardware zit ingebakken. Als de code aanpasbaar is dan gaat het fout.
En de vorige 'poging' (TPM, Trusted Platform Module), is uiteindelijk ook niet safe genoeg bevonden.
Dat is op te lossen door een "tweetrapsraket".
Eerste deel is read-only code, wat de code van UEFI checkt op geldigheid.
Verder staat het nog nergens vast dat secure boot verplicht wordt en dat het niet uit te schakelen is. Gebruik je een alternatief OS, dan kan dat gewoon.
Nog wel.
Jij kan in de toekomst kijken?
Uit oogpunt van veiligheid zou secure boot ook voor Linux wel eens voordelen kunnen hebben, zolang het proces maar transparant is en je zelf je opstartbestanden kan tekenen. Op die manier kan je ook je Linux/BSD/whatever beveiligen tegen bootsectorvirussen bijv.
Sinds ik een PC gebruik (grofweg sinds 1986), heb ik nog nooit een virus of trojan o.i.d. gehad.
Waarom zou ik me dan nu die 'veiligheid' laten opdringen ?
Dan ben je een van de weinigen. Ik heb er wel eens een gehad in het verleden toen ik nog Windows gebruikte.
Verder is het nog steeds je eigen keuze, je hoeft het niet per se te gebruiken.
Er zijn trouwens meer nadelen.
Iedereen focussed nu op waar Microsoft en consorten het over willen hebben, namelijk 'security'.
Lekker actueel, en dankzij de media bij iedereen op het netvlies.
Maar wat als dit een zoveelste stap is in een proces dat gaat leiden naar traceerbaarheid van elke vorm van communicatie, van elk document etc. ?
In navolging van de verplichte data-retentie van alle communicatie (mail, telefoon, http, etc.), transparent proxies, deep packet inspection en noem ze allemaal maar op.
Het internet is er technisch gezien al klaar voor, nu de desktop nog.
Ik sta hier echt niet bij te juichen.
Dat is een terecht punt, maar dat past m.i. niet meer in dit topic. Dat past beter in een ander topic over privacy.
Ja, de BIOS mocht wel wat nieuwer, werkt desondanks nog steeds.
Maar de UEFI extensie Secure Boot heeft mijns insziens meer nadelen dan voordelen, en potentieel enorme consequenties.
Voor zover ik het weet kan je het gewoon uitzetten als je het niet wil.
Komt er hardware waarbij dat niet meer kan, maak dat dan duidelijk met je portemonnee: koop die hardware niet en roep iedereen op om hardware van die fabrikant niet te kopen.
Dat dit werkt bewijzen de nieuwsberichten over Godaddy die voor de strenge SOPA wetgeving was.
Totdat er ineens tienduizenden websites bij ze wegliepen, waaronder hele grote namen als Wikipedia.
Binnen een dag waren ze bijgedraaid.
