Matthew Garret: Mythen über UEFI / Secure Boot – und es bleibt ein Problem für Linux
Das Thema UEFI / Secure Boot scheint Red Hats Matthew Garret richtige Kopfschmerzen zu bereiten. Wieder einmal hat er sich in einem Blog-Eintrag dazu geäußert und möchte die Mythen um das sichere Starten des Computers erklären. Das Problem sei zum größten Teil, dass die Spezifikationen dafür zwar öffentlich sind, das Endresultat aber auch nach langem Nachdenken nicht vorhersehbar ist. Deswegen möchte er ein paar Dinge ins rechte Licht rücken. Ich versuch mal, das so gut wie möglich auf Deutsch wiederzugeben:
Durch Secure Boot gibt es keine zusätzliche Sicherheit
Unwahr: Angriffe gegen die Umgebung vor dem Start sind real und nicht ungewöhnlich. Sobald etwas im MBR (Master Boot Record) landet, ist es um das System geschehen. Schadcode kann dann den Bootloader oder den Kernel modifizieren. Der einzige Weg das zu identifizieren ist, die Festplatte in ein anderes System zu hängen und dort zu überprüfen. Ein Kaltstart von einem sicheren Medium ist auch denkbar. Secure Boot unterbindet ein solches Szenario durch digitale Unterschriften und stelle desewegen zusätzliche Sicherheit zur Verfügung.
Secure Boot ist nur ein anderer Namen für Trusted Boot
Unwahr: Trusted Boot muss die Möglichkeit haben, den gesamten Boot-Prozess zu überwachen. Somit hat das Betriebssystem die Möglichkeit herauszufinden, was vor dem Betriebssystemstart vor sich ging. Die Wurzel des Vertrauens ist hier die Hardware und ein TPM ist Voraussetzung. Secure Boot hingegen limitiert die Applikationen, die vor dem Start des Betriebssystems laufen können. Sobald das OS läuft, gibt es keine Möglichkeit mehr herauszufinden, was vor dem Start abgelaufen ist oder ob ds System tatsächlich sicher gestartet wurde.
Microsoft verlangt von den Hardware-Herstellern nur, die Spezifikation zu implementieren
Unwahr: In den Windows 8 Hardware Certification Requirements unter Sektion 27.7.3.3 der Version 2.3.1A der UEFI-Spezifikationen ist niedergeschrieben, dass ein Anwender Secure Boot nicht überstimmen/überschreiben/temporär umgehen kann. Möchte ein Anwender ein unsigniertes Abbild starten, muss er Secure Boot auf dem Zielsystem komplett deaktivieren.
MANDATORY: No in-line mechanism is provided whereby a user can bypass Secure Boot failures and boot anyway Signature verification override during boot when Secure Boot is enabled is not allowed. A physically present user override is not permitted for UEFI images that fail signature verification during boot. If a user wants to boot an image that does not pass signature verification, they must explicitly disable Secure Boot on the target system.
Secure Boot lässt sich benutzen, um DRM zu implementieren
Unwahr: Secure Boot lässt sich nicht dazu benutzen, bestimmte Applikationen nicht mehr laufen zu lassen – ein aktiver Schutz gegen raubkopierte Software ist es also nicht. Der einzige Kommunikations-Kanal zwischen UEFI und dem Betriebssystem ist die UEFI-Variable SecureBoot, die entweder 1 oder 0 ist.
So lange es Maschinen gibt, auf denen sich Secure Boot deaktivieren lässt, ist Secure Boot kein DRM.
Secure Boot bietet physikalischen Schutz
Unwahr: Secure Boot bietet keinen Schutz gegen Angreifer, die physikalischen Zugriff auf das System haben. Das Betriebssystem könne nicht überprüfen, ob die Firmware modifiziert wurde – zum Beispiel ein manuelles Deaktivieren von Secure Boot.
Secure Boot definiert lediglich die Interaktion zwischen der Firmware und dem Bootloader
Irreführend: Es ist wahr, dass Secure Boot nur die Authentifizierung des Pre-OS-Code spezifiziert. Secure Boot soll also sicherstellen, dass nur digital unterschriebener Code ausgeführt wird. Sollte unsignierter Code die Hardware berühren bevor das Betriebssystem startet, ist das System ausgehebelt. Man könnte zum Beispiel einen signierten Linux-Kernel starten, der dann einen unsignierten Treiber lädt. Dieser setzt wiederum eine gefälschte UEFI-Umgebung auf und lädt dann Windows. Das Microsoft-Betriebssystem würde nun denken, dass es sicher gestartet wurde.
Wenn dieser digital unterschriebene Linux-Kernel für jedermann verfügbar wäre, ist das ganze System in Frage gestellt. Die logische Antwort von Microsoft wäre, diesen Kernel auf eine schwarze Liste zu setzen. Secure Boot ist nunmal dafür gemacht, sämtliche Software zu verifizieren, die mit der Hardware interagiert. Ansonten würde es keine zusätzliche Sicherheit mit sich bringen.
Nur Rechner die Windows starten möchte brauchen die Microsoft-Schlüssel
Irreführend: Microsoft braucht nur einen einzigen Schlüssel und der Windows-Bootloader unterzeichnet damit auch alle anderen Komponenten. Der Bootloader ist nicht die einzige Komponente, die unterzeichnet werden muss. Jegliche Treiber, die auf ROMs oder Plugin-Karten sind, müssen ebenfalls signiert werden. Ein Ansatz wäre, dass alle Hardware-Hersteller ihre eigenen Schlüssel haben. In der Praxis aber kaum umsetzbar, da jeder Rechner dann alle Schlüssel von jedem PCI-Karten-Ersteller mit sich bringen müsste.
Wenn ein Rechner als Schlüssel von NVIDIA mit sich bringt, aber keine von AMD, könnte der Anwender nicht einfach eine eine GeForce durch eine Radeon ersetzen. Der Grafiktreiber lädt sich nämlich nicht mehr. Stattdessen stellt Microsoft einen Unterschriften-Dienst bereit. Hersteller können sich für eine WHQL-Mitgliedschaft bewerben und ihre UEFI-Treiber werden von Microsoft abgesegnet.
Das Problem ist ganz einfach, dass ein Treiber der von Microsoft angezeichnet ist, von niemandem anderen eine Unterschrift tragen kann. Wenn ein Hardware-Hersteller also PCI-Karten mit Microsoft-zertifizierten Treibern anbieten möchte, muss das System den Microsoft-Schlüssel beinhalten.
Das ist nur ein Problem für Clients und nicht Server
Nicht zwingend wahr: Für Server-Hardware trifft Microsofts Regel bezüglich ein Vorhandenseins von Secure Boot derzeit nicht ein. Sollte es aber implemtiert sein, muss es wie bei einem Client behandelt werden – aktiviert.
Secure Boot wird von NIST gebraucht
Total unwahr: Garret hat von einigen Leuten gehört, dass Secure Boot in direktem Zusammenhang mit NIST SP800-147 steht. Das Dokument befasst sich mit Firmware-Sicherheit, also was unternommen werden muss, damit sich Firmware selbst sicher ist. Dazu gehört auch, dass das Betriebssystem die Firmware nicht überschreiben kann und Firmware-Updates digital unterzeichnet sein müssen. Dass die Firmware nur signierte Software laufen lassen darf, dieser Paragraph ist in diesem Dokument weit und breit nicht zu finden. Secure Boot muss sich zwar darauf verlassen können, dass die Firmware sicher ist, hat aber nichts mit NIST SP800-147 zu tun.
In Linux kann man Secure Boot ganz einfach implementieren
Irreführend: Aus technischer Sicht, ja. Eine praktikable Lösung fehlt aber auf ganzer Linie. Garret hat sich zu diesem Thema bereits früher geäußert.
Das Problem betrifft nur den Hobby-Linuxer und nicht den wirklichen Markt
Unwahr: Derzeit ist es noch unklar, ob selbst die großen Linux-Distributoren Secure Boot so einbauen können, dass es die Bedürfnisse ihrer Kunden befriedigt. Eine native Implementierung kürzt ganz einfach viele der Vorzüge von Linux für Enterprise-Kunden. Als Beispiel nennt Garret die Möglichkeit bestimmter Anpassungen, um Systeme für bestimmte Arbeitsabläufe zu tunen. Was Linux so interessant macht ist eben die Möglichkeit, es nach Lust und Laune anpassen zu können. Secure Boot erschwert dies.
Fazit
Viele der Geschichten um Secure Boot sind einfach ungenau und irreführend über die Vor- und Nachteile. Man kann laut Garret nur eine vernüftige Diskussion um dieses Thema führen, wenn als Basis das technische Verständnis der Spezifikation vorhanden ist und nicht irgendwelche Aussagen von Analysten, die keine Ahnung vom Linux-Markt und / oder -Sicherheit haben, als Grundlage dienen.
Aber das ist ja alles halb so wild, weil schließlich hat Microsoft seinen Liebesbeweis zu Open-Source am Valentinstag zu Ausdruck gebracht, oder?
M$-Politik seit eh und je: http://www.golem.de/0704/51686.html
Die ganze Geschichte ist doch nur ein Versuch von Microsoft, den Hardwaremarkt zu kontrollieren
Wenn es beim Versuch bleibt, ist ja alles in bester Ordnung ...
Ist Microsaft eigentlich klar, dass sie selbst gar keine Hardware bauen? Ich hoffe sehr, dass das den Hardwarebauern klar ist und die sich da nichts aufschwatzen lassen.
Das Problem ist, dass die derzeit am längeren Hebel sitzen: "Wenn Du zertifiziert für Windows 8 auf Deine Kiste pappen willst, hast Du Dich an unsere Regeln zu halten" ... ist das nicht eigentlich ein Fall für die Regulierungsbehörde? Ausnutzun von Monopol und so? ... bin ja kein Rechtsanwalt ...
ich sehe das genauso, sollte na überprüfen ob das rechtens ist.
sinnvoller wäre es, wenn die ihr OS endlich mal von grund auf neu programmieren würden.
so das es endlich nicht mehr so vieren empfänglich ist, anstatt die hardware zu beschränken.
Es ist klar auch Linux wird eigene Hardware Rechner bauen müssen.
Der bislang übliche Desktop-PC wird sicher langsam Aussterben und mehr durch mehere mobile Geräte ersetzt werden Ultrabook , Smarphone, Tablet , Spielkonsole.
Spätestens mit Windows 9 wird MS-Hardware wohl auch für PC ein geschlossenes System sein was keine andere OS Installation Nativ mehr Zulässt, begründet und wohl auch nicht ganz Unberechtigt mit der Sicherheit. Linux wird nicht Verboten wird aber nur noch in Virtueller Umgebung laufen dürfen (Sandbox-System).
Ich sehe das aber nicht Unbedingt als Nachteil, Linux muss halt Verbraucherfreundlicher werden um selbst mobile Rechner oder Tablet vertreiben zu können, durch Hardware Verkauf erschließt sich ja auch eine Einnahmequelle.
Zudem hat es das Android System auch geschafft beim Verbraucher zu Punkten und Ubuntu ist auf einen guten Weg.
Linux wird sich Ändern müssen, Jammern oder ständig Schimpfen hilft gar nicht, vielleicht entstehen ja unter dem Druck eigene Geräte vertreiben zu müssen mal mehr gemeinsame Sachen oder Lösungen die der Anwender statt Windows haben möchte?
Freie Software (GNU/Linux) zielt aber doch gar nicht auf möglichst hohe Verbreitung ab. Sie will doch die vier Freiheiten ermöglichen und nicht finanziell erfolgreich sein. Wenn mir als "Freiheitssuchendem" in Zukunft die Nutzung freier Software versagt bleibt, weil die Gesellschaft dominiert wird von Vorurteilen, Desinteresse und Bequemlichkeit und daher auch (unwissentlich) diese Entwicklung hin zu geschlossenen Systemen unterstützt, dann ziehe ich zwangsläufig den Kürzeren und sehe das für mich persönlich als großes Problem an.
Ich versuche mir immer mit Analogien vorzustellen, was da gerade abläuft.
Was wenn der dominierende Kraftstoffkonzern den Autoherstellern sagt: "Wenn eure Autos unseren Kraftstoff tanken können sollen, dann müsst ihr dafür sorgen, dass kein Kraftstoff eines anderen Anbieters getankt werden kann." Sowas darf doch nur gebilligt werden, wenn der Kraftstoffkonzern EIGENE Autos so konzipiert (siehe Apple)!?
Findet ihr diese Analogie vergleichbar?
Mir gefällt sie 🙂
@Mike
Der Vergleich stimmt nicht.
Richtig wäre er würde ein Autohersteller die zu tankene Kraftstoffmarke vorschreiben.
Nach dieser Logik müsste auch ein ARM Netbook verboten werden weil sich kein Win7 darauf Installieren lässt?
Das Problem ist leider nicht so einfach "Schwarz/Weiß"
Das betrifft ja dann nur Windows HW und nur Native Dual OS Installation, niemand verbietet dir einen anderen Rechner zu kaufen und darauf als OS zu Installieren was immer du möchtest. Also Gegenfrage warum willst du unbedingt einen Windows8 - Gerät kaufen für ein LinuxOS?
Linux muß Raus aus dieser PC Ecke als Anhängsel und dies ist eine gute Gelegenheit dafür. Wenn nach 10 Jahren die Nutzung beim Anwender im Marktanteil immernoch bei 1-2% liegt läuft doch irgentetwas falsch, immer wird Windows dafür die Schuld zugewiesen ist größtenteils ja Berechtigt aber auch sehr Bequem.
Nun hat Linux die Möglichkeit eigene HW zu Verkaufen ohne Microsoft konformität in der Rechner Architektur, vielleicht eine Chance, statt gleich nach dem Gesetzgeber zu Rufen? Aufhalten wird man es eh nich mehr können.
Also warum nicht einfach Bessere Hardware Herstellen die dem PC das Fürchten lehrt? Also nach Vorn schauen ....
Irgend etwas an OPEN nicht verstanden?
Natürlich ist "Open" gut, aber nicht als Selbstzweck, es muß auch Nutzer haben. Wie auch ein Öko Produkt sich nur durchsetzt wenn die Vorteile Ersichtlich und vom Verbraucher erkannt weden.
Offene Plattformen werden leider im Neoliberalen Wettbewerb Verschwinden wenn sie vom Anwender nicht Gewollt, Genutzt oder es ihm schlicht Egal ist, dafür brauch es ein starkes Desktop Linux was die Masse auch anwenden will. Dann weden auch die Hardware Hersteller diese Geräte Produzieren.
Alles andere wird mit der zunehmenden Veränderung im PC Markt kaum Bestand haben, denn das in 10 Jahren noch die gleiche Masse an Desktop PC Verkauft wird wie heute glaube ich nicht.
Zu deinem "Neoliberalen Wettbewerb": Wäre unabhängig von der gegenwärtigen Entwicklung feststellbar, dass die Monopolisierung des Softwaremarktes falsifiziert neu kaum Beachtung findet, DANN könnte es vorkommen, dass die Strukturbereinigung grenzwertig dipolar zu Ungleichheiten nivelliert, sofern die Funktionalität im UEFI-BIOS zukunftsorientiert marginal sich nicht zu erkennen gibt! Und auch wenn du es nicht wahrhaben willst: Was sollte M$ dann dagegen tun?
Holy sh*t ... ich wusste gar nicht, dass Marcel Reich-Ranicki ein Linux-Fan ist ... 🙂
"Richtig wäre er würde ein Autohersteller die zu tankene Kraftstoffmarke vorschreiben."
Das ist doch die logische Konsequenz, die aus meinem Vergleich resultiert!?
"Nach dieser Logik müsste auch ein ARM Netbook verboten werden weil sich kein Win7 darauf Installieren lässt?"
Sollte man Dieselfahrzeuge verbieten, weil der Kraftstoffmarktführer nur Benzin im Angebot hat?
"Das betrifft ja dann nur Windows HW und nur Native Dual OS Installation, niemand verbietet dir einen anderen Rechner zu kaufen und darauf als OS zu Installieren was immer du möchtest. Also Gegenfrage warum willst du unbedingt einen Windows8 – Gerät kaufen für ein LinuxOS?"
Das will und tue ich doch auch nicht. Aber wenn der Marktführer auf Grund seiner Dominanz die Hardwarehersteller dazu bringt mir keine Alternativen mehr zu bieten bin ich angeschmiert.
"Wenn nach 10 Jahren die Nutzung beim Anwender im Marktanteil immernoch bei 1-2% liegt läuft doch irgentetwas falsch, immer wird Windows dafür die Schuld zugewiesen ist größtenteils ja Berechtigt aber auch sehr Bequem."
Da läuft nichts falsch - das Ziel freier Software ist nicht größtmögliche Verbreitung. Bei freier Software kann auch prinzipiell nicht von Marktanteil die Rede sein. Microsoft ist aus meiner Sicht übrigens eher schuld an gestiegenen (!) Nutzerzahlen von freier Software. Das beobachtete ich jedenfalls bei mir und in meinem (zu Linux migrierten) Umfeld.
"Da läuft nichts falsch – das Ziel freier Software ist nicht größtmögliche Verbreitung. Bei freier Software kann auch prinzipiell nicht von Marktanteil die Rede sein."
Niemand wird wohl freie Software Programmieren welche nicht auch von möglichst vielen Anwendern genutzt werden soll? Oder warum gibt es die meiste "Open Source" Software dann auch für Windows? ... natülich schaut jeder nach Marktanteilen wenn es für freier Software auch nicht Selbstzweck ist.
Zudem warum schaffte es ein Google Android gegenüber Windows Erfolg zu Haben, was nach der ständigen Dominanz von Windows völlig Unmöglich erschien ? ... vielleicht weil es Anwenderfreundlich war und "Open" ?
"Niemand wird wohl freie Software Programmieren welche nicht auch von möglichst vielen Anwendern genutzt werden soll?"
Gewöhnlich wird sie Programmiert, weil jemand unzufrieden mit der Funktionsweise von anderen Programmen ist, sich andere Features wünscht oder um den Umständen, die aus der Benutzung anderer Software resultieren, entgegenwirken zu können. Entwickler von freier Software haben nichts von größtmöglicher Anwenderschaft.
"Oder warum gibt es die meiste “Open Source” Software dann auch für Windows?"
Sie ist offen. Jeder darf sie benutzen, studieren, verändern und teilen. Wer sie unter Windows nutzen will, kann das eben genau deshalb tun. Offensichtlich gibt es Menschen, die sie unter Windows einsetzen wollen. Das sehe ich als logische Konsequenz.
Was den Erfolg von Android betrifft: Anwenderfreundlichkeit und Offenheit findest du auch bei zahlreichen Community-Projekten. Der Grund für die große Verbreitung von Android ist jedoch eher google. Finanziell hatte google wohl einfach genug Möglichkeiten das System zu pushen.
Zur freien Software möchte ich dir gerne noch eine Lektüre empfehlen, die wirklich interessant ist:
http://freie-software.bpb.de/
"Entwickler von freier Software haben nichts von größtmöglicher Anwenderschaft." - dem möchte ich widersprechen. Sie haben wohl etwas davon, beziehungsweise hat ein ganzer Wirtschaftszweig was davon. Auch mit freier Software lässt sich durch das Anbieten professionellen Supports Geld verdienen, beziehungsweise spuckt sie den Preistreibereien von Großkonzernen gewaltig in die Suppe.
Ich hatte vor Jahren das Vergnügen einem Vortrag von John "Maddog" Hall auf der CeBIT lauschen zu dürfen. Durch freie Software unterstützt man vielleicht den kleinen IT-Mann aus der Gemeinde und das Geld fließt nicht in einen Großkonzern. Freie oder besser quelloffene Software lässt sich leichter auf die Bedürfnisse von Kunden anpassen, weil eben jeder mitentwickeln darf. Dies fließt wieder zurück in die Community. Hall hat damals einige Beispiele genannt, wie Firmen mittels Open-Source-Produkten sehr wohl gut Geld verdienen und diese Einnahmen dann nicht teilweise in die USA fließen.
Google hat auch was von Android - die verkloppen schließlich massig Werbung. Aus reiner Barmherzigkeit tun sie das nicht.
Natürlich macht das Google nicht aus reiner Barmherzigkeit und wollen damit Geld Verdienen.
Was ich eher meinte Android wurde auch Angenommen vom Nutzer, das ist der Unterschied.
Android hätte auch Scheitern können trotz der Google Mrd.
Wie auch Novel mit Suse gescheitert oder Sun.
Auch die Firmen hinter Suse , Red Hut oder Ubuntu wollen mit Linux Geld verdienen und Marktanteile erobern, nur irgentwie treffen sie mit dem Linux-Desktop nicht den Nerv einer breiten Anwenderschaft?
Daher meine ich will Linux in der jetzigen Form überleben muss es sich Verändern und dem Breitengeschmack etwas Anpassen, was ja nicht bedeutet das es die Nerd Version nicht mehr geben sollte.
Auch das stimmt nicht ganz, weil Linux als Server schon lange sehr etabliert ist und Red Hat die erste Open-Source-Firma ist, die eine Milliarde Umsatz durchbrechen könnte. Ebenso gibt es sehr viele Firmen, die ein Interesse an Linux haben, weil es in unglaublich vielen Geräten "embedded" läuft. Wahrscheinlich nutzen viele Menschen Linux, ohne es überhaupt zu wissen. Allein schon aus diesen Gründen wird es überleben.
Das mit dem Desktop ist eine andere Geschichte, da geb ich Dir Recht. Aber auch hier scheint es sich mit kommenden Generationen zu bessern. Kindern wachsen heutzutage wesentlich näher am Computer auf als vor 20 Jahren. Ich hoffe, dass das reine Interesse an der Thematik IT ein paar mehr Anwender zu Linux schwappt 🙂
Es gibt halt auch einen kleinen Teufelskreis: Manche wollen nicht umstellen, weil es bestimmte Software nicht gibt - die Softwarehersteller portieren nicht, weil der Markt nicht dafür da ist.
Die Bedenken wegen Secure Boot kann ich auch nachvollziehen. Die Linux-Distributoren haben viel Herzblut reingesteckt, um Anwendern das Reinschnuppern so angenehm wie möglich zu machen - Live-CDs. Wenn ein normaler Anwender aber erst Dinge im BIOS umstellen muss, erzeugt das Frustmomente oder der Nutzer wirft die CD in die Ecke "der Scheiß geht nicht - doofes Linux". Wie es Garret schon einmal ausdrückte, wird durch Secure Boot eine weitere Hürde geschaffen und Microsoft hat den Daumen drauf - das missfällt.
...nur irgentwie treffen sie mit dem Linux-Desktop nicht den Nerv einer breiten Anwenderschaft?
Natürlich meine ich den Linux-Desktop für den "Normal Anwender" und kein Server OS
Die Bedenken wegen Secure Boot kann ich auch nachvollziehen nur hat dort eben nicht Microsoft den Daumen drauf sondern allein die Hardware Hersteller welche sich aber schön hinter MS verstecken.
Selbst wenn sie bei ARM-Geräten die MS AGB missachten würden und auch Secure Boot deaktivierbar machen, fraglich ob MS klagen könnte?
Dann müsste wohl MS seine HW selbst herstellen oder keinen Service mehr Bieten.
Andererseits man sollte sich keine Illusuionen hingeben Secure Boot wird kommen , es wird gehackt werden und damit Nutzlos werden, aber sicher immer weiter Entwickelt werden. Ein Zurück sehe ich nicht, Linux muss sich dem Stellen und nach Vorn schauen, am besten seine eigene Hardware entwickeln.
Ich finde aber auch, dass der Software-Tandler ohne eigene Geräte dem Hardware-Hersteller nicht vorschreiben darf, was er zu tun oder zu lassen hat. Das sind mafiöse Methoden ... bei ARM-Geräten verbietet Microsoft sogar komplett, dass Secure Boot deaktiviert werden kann.
"dem möchte ich widersprechen"
Damit hast du natürlich vollkommen recht. Meine Aussage war tatsächlich falsch. Ich habe dabei wohl zu sehr aus der Perspektive freier Software gedacht. Denn damit lässt sich nunmal direkt nichts verdienen. Natürlich gibt es Firmen, die um freie Software herum Geld verdienen (und das ist auch gut so). Jedoch profitieren sie nicht automatisch durch eine hohe Verbreitung der Software, sondern immer durch eine Dienstleistung, die daran gekoppelt ist. Danke für die Korrektur!