Secure boot al 'gekraakt' door Linux (of wat dacht u ;) )

[emiel1976]

@crashit, Ik kan in mijn bios met een muis werken. Ik heb een Asus moederbord met daarin de nieuwe bios met grafische schil en muis ondersteuning.
Kan het zelfs vanuit Windows regelen.

Maar UEFI is zeker meer dan alleen een beveiliging.
Je hebt buiten al die extra's ook een kortere opstart tijd die je niet hebt als je het uit zet maar ik denk niet dat veel mensen daar over klagen als ze dan Linux erop kunnen zetten.
Tevens ga ik er vanuit dat je in de kortste keren ziet dat je tools krijgt om UEFI te hacken of uit te zetten indien dit niet kan.

Verder ben ik niet bang dat het grote gevolgen voor Linux zal hebben.
Maar we zullen het dit jaar zien want als het goed is komt Microsoft dit jaar met Windows 8 en zullen de eerste pc's UEFI bevatten.

[lord4163]

Ja, als je toch in het BIOS/UEFI ben om je USB stick of DVD rom op nummer 1 te zetten bij de boot priority te zetten is het Secure Boot op disabled te zetten wel appeltje eitje.

[erik1984]

Ja, als je toch in het BIOS/UEFI ben om je USB stick of DVD rom op nummer 1 te zetten bij de boot priority te zetten is het Secure Boot op disabled te zetten wel appeltje eitje.

Dan moet dat dus wel kunnen, en het is nog niet zeker of alle moederbordbakkers die functie gaan implementeren.

# Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.

http://mjg59.dreamwidth.org/5850.html

Sommige zullen het ook wel mogelijk maken, maar dat wordt dus nog beter dan nu kijken welke hardware je koopt.

[letstrynl]

...

[crashit]

@crashit, Ik kan in mijn bios met een muis werken. Ik heb een Asus moederbord met daarin de nieuwe bios met grafische schil en muis ondersteuning.
Kan het zelfs vanuit Windows regelen.

Hmm... klinkt als UEFI. Bij mijn weten is het niet mogelijk om in het BIOS een muis te gebruiken. Daarvoor is er simpelweg te weinig ruimte...

Maar UEFI is zeker meer dan alleen een beveiliging.

Klopt. Het is een volledige vervanging van het oude BIOS.
 

Je hebt buiten al die extra's ook een kortere opstart tijd die je niet hebt als je het uit zet maar ik denk niet dat veel mensen daar over klagen als ze dan Linux erop kunnen zetten.

Je kunt er ook veel meer mee tweaken en - als ik het goed heb - zelfs drivers al laden.

Tevens ga ik er vanuit dat je in de kortste keren ziet dat je tools krijgt om UEFI te hacken of uit te zetten indien dit niet kan.

Uitzetten zal niet gaan, aangezien het een volledige vervanging van het BIOS is. En het BIOS kun je ook niet uitzetten (goed, dat moet vast wel lukken, maar dan werkt je computer gewoon niet meer )

Verder ben ik niet bang dat het grote gevolgen voor Linux zal hebben.
Maar we zullen het dit jaar zien want als het goed is komt Microsoft dit jaar met Windows 8 en zullen de eerste pc's UEFI bevatten.

Er zijn al wat moederborden op de markt met UEFI. En in servers en in Macs wordt het al langer ingezet. Microsoft heeft er tot nu toe nog niet aan gewild, voor zover ik weet omdat UEFI het ook makkelijker maakt om Linux-compatibele drivers te maken.

Het enige probleem is dus een feature van UEFI, namelijk het UEFI Secure Boot. Zoals ik het heb begrepen bevat die een speciale code die Windows vereist om te kunnen werken. Is die code er niet, dan werkt ook Windows niet. Nu moet die code ook nog geheim blijven, anders kan iedereen de code gebruiken en dat schiet het doel voorbij. De bootloader van Linux kan echter die code niet geheim houden (vanwege GPL cq. opensourcelicentie) en dat maakt het zo goed als onmogelijk om Linux te draaien.

Kortom, die code moet of beschikbaar komen, of de GPL moet hier expliciet voor worden aangepast. 

[emiel1976]

Dit is mijn bios.
http://www.youtube.com/watch?v=LKNAoegLaE0&feature=related
Het is inderdaad UEFI en het draait gewoon Linux.

De beveiliging van de code kunnen ze uit laten zetten als ze willen. Dat is een apart gedeelte.
Het zit niet in mijn Bios en ik hoef dus nergens op te letten met Linux.
Maar het werkt wel fijn, het is alleen niet zo snel als UEFI, het opstarten duurt wel even.

Edit: Zie net dat ik hem wel wat sneller op kan laten starten.
Had nog niet echt gekeken met wat je er allemaal mee kunt en ik kan wat dingen aanpassen dat hij sneller opstart.
Moet het nog wel testen.

Maar UEFI werkt gewoon met Linux, het is de beveiliging die er blijkbaar ook op zit als ik het net goed gezien heb, maar die staat bij mij standaard uit. Moet dus kijken waar het zit en of ik hem aan kan zetten.

[lord4163]

In die youtube video staat ook EFI dit is geen UEFI.

UEFI (Unified Extensible Firmware Interface) will be a specification detailing an interface that helps hand off control of the system for the pre-boot environment (i.e.: after the system is powered on, but before the operating system starts) to an operating system, such as Windows* or Linux*. UEFI will provide a clean interface between operating systems and platform firmware at boot time, and will support an architecture-independent mechanism for initializing add-in cards.

En volgens mij kan Secure Boot ook in het BIOS komen.

[emiel1976]

In die youtube video staat ook EFI dit is geen UEFI.

UEFI (Unified Extensible Firmware Interface) will be a specification detailing an interface that helps hand off control of the system for the pre-boot environment (i.e.: after the system is powered on, but before the operating system starts) to an operating system, such as Windows* or Linux*. UEFI will provide a clean interface between operating systems and platform firmware at boot time, and will support an architecture-independent mechanism for initializing add-in cards.

En volgens mij kan Secure Boot ook in het BIOS komen.

Ik zag net een filmpje met UEFI in de naam van de bios. Ik heb nog niet bij mij gekeken maar ik dacht dat bij mij EFI stond.
Het kan dus zijn dat bij mij toch niet de beveiliging er op zit als de U mist.
Maar ga het zo even bekijken.

http://www.youtube.com/watch?v=-eKsmKknw_g&feature=related

[lord4163]

Gelukkig heb ik nog het oude BIOS. Here you go UNIX.

[emiel1976]

Ik heb EFI en dus geen UEFI.
Ik heb net even gekeken en ze hebben het ook met UEFI.
De beveiliging zit er bij mij niet op. Is dus ook niet nodig en zou je dus uit kunnen zetten als de fabrikant dit wil.

Beveiliging was standaard met wachtwoord.
Verder kan ik meer aanpassen dan ik dacht te kunnen vanuit Windows.
Handig systeem.

[crashit]

Dan heb je ws. een Intel sandy bridge-processor. EFI is Intels implementatie van UEFI. De laatste is de opvolger van de eerste :-)

Overigens heb je dan geen BIOS meer, want die is dus vervangen door EFI ;-)

[letstrynl]

...

[emiel1976]

Dan heb je ws. een Intel sandy bridge-processor. EFI is Intels implementatie van UEFI. De laatste is de opvolger van de eerste :-)

Overigens heb je dan geen BIOS meer, want die is dus vervangen door EFI ;-)

Ze noemen het op hun site gewoon UEFI.
UEFI is dus iets uitgebreider door de beveiliging en meer niet.

[SeySayux]

Desnoods kan je nog altijd je firmware flashen.

http://sourceforge.net/apps/mediawiki/tianocore/index.php?title=Welcome

[emiel1976]

Zou ik kunnen doen maar hij draait nu goed plus ik heb wat extra software om al mijn sensors af te kunnen lezen. Heb zo'n thermal radar erop zitten en dat werkt wel fijn.
Vooral omdat ik bezig ben geweest met wat over klocken en zo kan ik mooi zien wat hij met de temp doet.
Zie ook gelijk waar ik mijn fan wat harder moet laten draaien.
Moet wat fan's bij halen zodat ik wat verder kan, mijn CPU word net boven de 60 met de CPU op 4.5GHz.

[Johan van Dijk]

Voor apparaten op basis van ARM is het helaas al zover
http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
Op deze apparaten die voorgeïnstalleerd worden met Windows 8 is de eis van MS dat Secure Boot niet uitgezet mag kunnen worden.

[emiel1976]

Voor apparaten op basis van ARM is het helaas al zover
http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
Op deze apparaten die voorgeïnstalleerd worden met Windows 8 is de eis van MS dat Secure Boot niet uitgezet mag kunnen worden.

Ja maar bij pc's blijft het wel open staan.
Daar zal het ook niet veranderen.

De arm systemen worden dan verkocht net als een iPad en een Android systeem en niet als een pc waar je zelf kunt kiezen wat je er op zet.
Op zich wel te begrijpen maar goed Ubuntu komt met een tablet en met arm systemen dus dan kun je die nemen.
Is alleen hopen dat ze het ook op de leuke systemen zetten.

[Timo]

Voor apparaten op basis van ARM is het helaas al zover
http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
Op deze apparaten die voorgeïnstalleerd worden met Windows 8 is de eis van MS dat Secure Boot niet uitgezet mag kunnen worden.

Ja maar bij pc's blijft het wel open staan.
Daar zal het ook niet veranderen.

De arm systemen worden dan verkocht net als een iPad en een Android systeem en niet als een pc waar je zelf kunt kiezen wat je er op zet.
Op zich wel te begrijpen maar goed Ubuntu komt met een tablet en met arm systemen dus dan kun je die nemen.
Is alleen hopen dat ze het ook op de leuke systemen zetten.

Klopt Emiel, op sommige pc's blijft het open. Maar daar gaat het nu niet om. Men zegt dat ARM de toekomst wordt (+1, zo denk ik zelf). Dus dan komt het ook in pc's. En dan? Dan ben je er mooi klaar mee! Dan kun je niet meer je linux gebruiken. Tuurlijk kun je nu aankomen met 'Maar er zijn nu nog geen ARM pc's', maar denk vooruit! Wellicht komen de eerste arm pc's dit jaar al!
Tot zover mijn 2 eurocenten.

[Vistaus]

Voor apparaten op basis van ARM is het helaas al zover
http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
Op deze apparaten die voorgeïnstalleerd worden met Windows 8 is de eis van MS dat Secure Boot niet uitgezet mag kunnen worden.

Ja maar bij pc's blijft het wel open staan.
Daar zal het ook niet veranderen.

De arm systemen worden dan verkocht net als een iPad en een Android systeem en niet als een pc waar je zelf kunt kiezen wat je er op zet.
Op zich wel te begrijpen maar goed Ubuntu komt met een tablet en met arm systemen dus dan kun je die nemen.
Is alleen hopen dat ze het ook op de leuke systemen zetten.

Dat is een beetje onzin wat je nu verkondigd, want er is geen 1 Android-tablet waarop er geen ander systeem kan (spreek dan wel over mid-end tot high-end en niet die goedkope speelgoedzaak-dingen).
Op mijn HP Touchpad heb ik ook even Bodhi Linux gehad en op mijn voormalige Motorola Xoom (die wel Android had) heb ik ook Ubuntu ernaast gehad.

Je kunt dus wel degelijk zelf kiezen wat je erop zet bij de meeste tablets.

[Tom]

Ik weet wel één ding en jullie kunnen dat overdreven vinden ,maar als dat geen hald toe geroepen wordt wat betreft de mogelijkheid van het niet simpele aan of uit kunnen zetten en dit aan te kaarten via eventueel de EU (bv Nellie Kroes) .
Dan kunnen  bv Canonical en de andere grote Linux distro´s er over zeg pakweg 5 jaar er mee stoppen.
Want eventuele toekomstige Windows gebruikers die eens willen overstappen op bv Ubuntu totaal of in dualboot ,en die dan bemerken oeps ik moet via een update of ik moet in mijn Bios liggen klooie ,wel eens zeggen hallo als dat zo moet dan laat het maar.
En als ze een dualboot dan toch gemaakt hebben krijgen ze misschien geen Windows updates meer omdat dat ding uitgeschakelt is.
Dus ik zie het zwart voor de hele Linux gemeenschap als de meeste PC bouwers zeggen ,wij bouwen geen mogelijkheid erin om het uit te zetten.
Misschien daarom dat Canonical zet op Tablets , Ubuntu Tel en TV  (dus vandaar Unity) omdat ze misschien al vermoeden dat de normale Desktop gebruikers gaat wegvallen.
Ben ook bang dat ze (de EU) er niet veel tegen kunnen ondernemen.
Dan moeten de Linux mensen maar ook een certificaat kopen of maken en een kleine bijdrage vragen aan hun leden ,dat zal zo iets in die aard zijn wat MS gaat zeggen ter verdediging.
Goed ik weet dat is allemaal koffie dik kijken .. maar toch ?.

[Wout55]

MS heeft de verplichting alleen voor arm-processoren. Daarin heeft MS een marktaandeel van ongeveer 2%. Goed, voor mij is het wel een reden om uit te kijken wat voor tablet ik koop. Maar dat was ik toch al van plan omdat ik geen MS belasting wil betalen.   Voor die eenvodige apparaten beweegt de markt wel in de richting van systemen met ingebakken OS. Alleen komen er daar dan veel meer smaken van dan tot dusver. Ik denk dat op termijn de echte PC markt gigantisch gaat inkrimpen. Ook op veel werkplekken zullen machientjes komen die heel goed af te sluiten zijn en maar enkele taken goed kunnen uitvoeren. Surfen doe je dan maar in je eigen tijd.  
Alleen de echte die-hards hebben straks nog een complete pc. Het is zelfs maar de vraag of MS dan nog in die niche markt geinteresseerd zal zijn.  

Ik denk dat dit proces wel meer dan tien jaar gaat duren.

[SeySayux]

Ik heb net de paper van Canonical en Red Hat gelezen.

What. The. Fuck.

Ze verontschuldigen zich bijna dat ze *durven* de problemen van Secure Boot aan te kaarten.

Kijk, het is heel eenvoudig: wat Microsoft nu doet, kan niet en mag niet. Ze gaan hun boekje te buiten. We moeten niet verontschuldigend en smekend proberen om hun toch maar van gedachte te doen veranderen. Microsoft, als privé-instantie, heeft totaal het recht gewoon niet om zulk een ingrijpende eisen op de dringen aan andere bedrijven en de consument. Hier dient wettelijke actie tegen op genomen worden.

Het wordt tijd dat de consumenten ook een keer gaan lobbyen voor *hun* rechten, en niet bedrijven of instanties gaan creëren die machtiger zijn dan de overheid. Denk ook maar aan RIAA, Sabam, Brein, maar ook de Belgische situatie met het internet (Belgacom en Telenet die onderling afspraken maken om de prijs hoog en het aanbod laag te houden) en de elektriciteit (volledige monopolie van één bedrijf met woekerwinsten) en de bankensituatie.

Het beginprincipe van het kapitalisme is een lage instapdrempel en vrije concurrentie. Dit soort gedrag van bedrijven moet gewoon weg aan banden gelegd worden door de overheid. Doet ze dat niet, dan is ze gepreoccupeerd, incompetent of corrupt. Wat je liever hebt.

Stilzwijgend grommelen en zeggen "ze zullen dat wel niet doen/het zal wel niet zo erg zijn/we geraken er wel om heen..." helpt hier niet. Het is duidelijk dat Microsoft en anderen -- al een hele tijd -- de grenzen van hun macht af aan het tasten zijn. En die macht neemt enkel maar toe. Het wordt tijd dat wij, de consumenten, een lijn trekken: tot hier, en niet verder. Via wettelijke actie dan: vraag en aanbod (cf. boycotten) heeft geen effect meer op deze megamonopoliëen.

- SeySayux

[Vistaus]

MS heeft de verplichting alleen voor arm-processoren. Daarin heeft MS een marktaandeel van ongeveer 2%. Goed, voor mij is het wel een reden om uit te kijken wat voor tablet ik koop. Maar dat was ik toch al van plan omdat ik geen MS belasting wil betalen.   Voor die eenvodige apparaten beweegt de markt wel in de richting van systemen met ingebakken OS. Alleen komen er daar dan veel meer smaken van dan tot dusver. Ik denk dat op termijn de echte PC markt gigantisch gaat inkrimpen. Ook op veel werkplekken zullen machientjes komen die heel goed af te sluiten zijn en maar enkele taken goed kunnen uitvoeren. Surfen doe je dan maar in je eigen tijd.  
Alleen de echte die-hards hebben straks nog een complete pc. Het is zelfs maar de vraag of MS dan nog in die niche markt geinteresseerd zal zijn.  

Ik denk dat dit proces wel meer dan tien jaar gaat duren.

Je weet wel dat fabrikanten aan het investeren zijn om ARM ook voor desktop geschikt te krijgen en dan dus het wel een probleem gaat zijn desktopgebruikers in de toekomst?

[Wout55]

Vistaus MS maakt nu een uitzondering voor de Arm omdat die (nog) alleen op kleine apparaten gebruikt worden. Apparaten waarbij een OS swap niet zo voor de hand ligt en waar het marktaandeel voor MS heel klein is, want als MS die eis voor de gewone pc markt zou laten gelden dan krijgen ze meteen alle mededingingsautoriteiten van de VS en de EU achter zich aan.  Als het helemaal tegenzit en die autoriteiten doen niks dan ben je in de toekomst aangewezen op specifiek voor Linux gebouwde pc´s. Maar zo gaat het altijd met de grote bedrijven. Ze maken de producten van de kleintjes na en gooien ze dan in de koppelverkoop of ze kopen de kleintjes in hun geheel op. Dat noemen ze kapitalisme.  

[Vistaus]

Je weet dat ARM ook in sommige netbooks gebruikt wordt en fabrikanten aan het investeren zijn in ARM voor desktop waardoor het aandeel dus groeiende is?