Matthew Garret: Anwender klicken sowieso auf ja, wenn es ihnen angeboten wird

Ein Kommentar Autor: Jürgen (jdo)

Windows 8 UEFI Secure Boot kein Linux 150x150Red Hats Matthew Garret hat wieder ein paar Neuigkeiten in Sachen UEFI Secure Boot. Er hat nach eigenen Angaben diese Woche weiter am Bootloader Shim gearbeitet und sei schon sehr nahe an einem Feature Complete – also fast alle Funktionen sind schon vorhanden. Die größte Änderung ist die MokList-Variable von einem eigenen Format in eines zu wandeln, das von der UEFI Spec Datenbank vrwendet wird. Somit tut sich der Kernel leichter, die MOK-Einträge zu importieren und die Modul-Signaturen abzusegnen.

Ein weiterer Vorteil dieses Formats ist, dass es sowohl Hashes als auch Zertifikate unterstützt. Deswegen gibt es nun Unterstützung für das Eintragen von Hashes durch das MokManager UI. Somit können Distributionen eine unterschriebene Kopie von Shim ausliefern, ohn eine andere Komponente ihrer Distribution digital unterschreiben zu müssen.

Wenn ein Anwender nun verscuht von einem Medium zu starten, bekommt er ein Menü mit einem Countdown zu sehen. Sollte dieser 0 erreichen, gibt es einen Fallback-Modus, der den nächsten Eintrag in der Boot-Liste verwendet. Drückt der Anwender eine Taste, kann er den Hash eintragen lassen.

Garret sagt, dass diese Methode einen großen Vorteil gegenüber der der Linux Foundation habe. Sobald ein Hash eingetragen ist, muss ein Anwender nicht mehr physikalisch präsent sein, um eine Taste zu drücken, damit das System startet. Ganz glücklich ist Garret mit seiner eigenen Methode aber auch noch nicht. Jedesmal wenn man den Bootloader ändert, muss man den neue Hash wieder eintragen lassen. Allerdings lässt sich das teilweise durch MokUtil automatisieren. Vollständig transparente Updates würden einen signierten Bootloader und einen eingetragenen zertifizierungs-Schlüssel voraussetzen.

Nun kommt mein Lieblingsteil seines Blog-Eintrags. Man wurde gefragt, ob man die von der Linux Foundation vorgeschlagene Methode – also einfach den Anwender fragen, ob das gestartet werden soll – ebenfalls implentiert oder es zumindest in Erwägung zieht. Man habe darüber nachgedacht, geht aber in Richtung “nein”. Es sei zu simpel, den Anwender auszutricksen, dass er nicht vertrauenswürdigen Code laufen lasse. Anwender würden sowieso auf jede Sicherheits-Frage mit “ja” antworten. Sollte ein Angreifer einen manipulierten Bootloader ausliefern und bittet den Anwender auf “ja” zu drücken, wird der Anwender das auch tun. Sollte dieser Anwender dann einen trojanifizierten Windows Bootloader mit einem verseuchten Windows-Kernel booten, ist das ein Problem.

In der Zwischenzeit wird der Code auch noch aufgeräumt, der für das unterschreiben zuständig ist. Sobal dieser Schritt vorüber ist, wird man veröffentlichen. Garret schreibt, dass man Hardware-Kryptographie verwendet. Sollte also jemand die Build-Systeme kompromitieren, können sie nicht an den genutzten privaten Schlüssel gelangen. Man will den Code und die benutzte Infrastruktur auch noch ausreichend dokumentieren. Somit wolle man jeder anderen Distribution das Leben erleichtern.

Garret erwähnt noch einmal, dass man es anderen Distributionen so einfach wie möglich machen möchte, ohne dass diese selbst mit Microsoft in Kontakt treten müssen.




 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Matthew Garret: Anwender klicken sowieso auf ja, wenn es ihnen angeboten wird”

  1. Gut dass dies immer wieder vorkommt, die digitale Unterschrift. Wir sollten uns eigentlich langsam daran gewöhnen, weil es in Zukunft keine Alternative geben wird.