Geleakte private Schlüssel von AMI – alles halb so wild

6 April 2013 Kein Kommentar Autor: Jürgen (jdo)

Matrix Teaser 150x150Es ging ja fix durch die Presse, dass ein Hardware-Hersteller einen privaten Schlüssel von AMI auf einem öffentlich zugänglichen FTP-Server hatte. Matthew Garrett hat sich dazu geäußert und der ganzen Sache erst einmal viel Wind aus den Segeln genommen.

Zunächst einmal handelt es sich um einen Schlüssel, um die Firmware zu signieren und es ist kein Secure Boot Key. Heißt auf Deutsch, dass sich damit weder ausführbare UEFI-Dateien noch Bootloader unterschreiben lassen. Weiterhin ist es der Schlüssel von AMI und keinem Board-Hersteller und der Code sei von Anfang 2012 – wobei er immer noch eingesetzt werden könnte.

Dennoch besteht ein gewisses Risiko, das allerdings ein ziemlich verzwicktes Angriffs-Szenario voraussetzt. Man könnte theoretisch ein Firmware-Update auf einen Rechner spielen, das Secure Boot deaktiviert oder bereits mit einem vorgefertigten Schlüssel ausliefert. Da Firmware aber sehr Board-spezifisch sind, müsste es ein ganz gezielter Angriff sein oder eine ziemlich große Firmware-Sammlung vorhanden sein. Sollte ein Firmware-Passwort gesetzt sein, muss man dieses ebenfalls wissen.

In einem Update zu der Sache spricht Garrett davon, dass diese Schlüssel von den Hardware-Herstellern sowieso ersetzt werden sollen. Sollten sich die Hersteller daran halten, ist die Sache überhaupt kein Sicherheits-Risiko mehr. Man könnte immer noch ein unterschriebenes Abbild erstellen, aber nichts würde diesem vertrauen.

Es besteht natürlich ein Restrisiko, dass Hersteller den Schlüssel nicht ersetzt haben. Somit könnte man argumentieren, dass man erst gar keine Test-Schlüssel ausgeben sollte, weil der Hersteller diesen aus Versehen ausliefern könnte.

Im Großen und Ganzen ist die Sache also weit weniger wild, als das zunächst ausgesehen hat.



Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren


Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten