Nachdem erst einmal die Fetzen und diverse für Torvalds typisch unverblümte Aussagen geflogen sind, haben sich die Gemüter vielleicht ein bisschen beruhigt und Mr. Shim, Matthew Garret, geht noch einmal sachlicher an die Geschichte heran. Wenn eine Linux-Distribution im Moment ein System it aktiviertem UEFI-Secure Boot starten möchte, geht das relativ stressfrei, wenn der Anwender einen digital unterzeichneten Bootloader wie Shim oder den von der Linux Foundation verwendet. Es ist zwar nicht wie früher “einstecken und loslegen”, aber besonders kompliziert […]

Der Meister in Sachen UEFI Secure Boot, Matthew Garret, hat sich in seinem Blog noch einmal zu Wort gemeldet und zwar in Sachen Microsoft Surface Tablet und Linux. Es sei keine einfache Aufgabe, das zum Laufen zu bringen. Wie viele andere ARM-Geräte auch, hat das Microsoft-Tablet ein gesperrte Firmware, die nur digital unterschriebene Binärdateien laufen lässt. Dafür wird UEFI Secure Boot verwendet. Microsoft biete ja einen Dienst an, um solche UEFI-Binaries zu unterschreiben. Man könnte also denken, einfach einen Linux […]

Am Plan, wie Fedora mit UEFI Secure Boot umgehen wird, hat sich laut Garret eigentlich nichts geändert. Allerdings sei die Methode davon abhängig, eine Binärdatei mit dem eingebetteten Fedora-Schlüssel zu erzeugen und diese müsste dann von Microsoft digital unterschrieben werden. Für Fedora sei das einfach, aber kleinere Distributionen könnten ihre Schwierigkeiten damit haben. Diese hätten nun diverse Möglichkeiten: Secure Boot muss deaktiviert sein – nicht wirklich ideal, weil das von Gerät zu Gerät unterschiedlich sein kann. Der Rechner müsse sich […]

Lennart Poettering hat via Google+ Forward Secure Sealing (FSS) für systemd angekündigt und erklärt freundlicherweise gleich, um was es sich dabei handelt. FSS erlaubt es, die Systemlogs via Kryptographie in regelmäßigen Zeitabständen zu “versiegeln”. Sollte also ein Bösewicht in die Maschine eingebrochen sein, kann der Angreifer den Verlauf des Logs nicht verändern – komplett löschen kann er ihn allerdings schon. Das Ganze funktioniert, indem ein “Sealing-Schlüssel” und ein “Verifizierungs-Schlüssel” erzeugt werden. Ersteres bleibt dabei auf dem Rechner, dessen Logs Schutz […]

In einem Interview bei bytesmedia.co.uk rechnet nun Richard Stallman mit UEFI Secure Boot ab. Die Free Software Foundation (FSF) hatte sich ja schon beschwert und Richard Stallmann schlägt genau in die gleiche Kerbe, beziehungsweise geht sogar noch einen Schritt weiter. Er bezeichnet UEFI Secure Boot als Desaster, weil es sich nicht um sicheres Starten eines Computers handle, sondern um einen Bootvorgang in digitalen Handschellen. Software würde nur laufen, wenn diese mit einem bestimmten Schlüssel zertifiziert werden. Das ist laut Stallmann erst einmal […]

Wenn sich nun Dieter Bohlen noch zu UEFI Secure Boot äußert, haben wir alle durch, oder? 🙂 Im Ernst, wenn einer dazu was sagen sollte, dann natürlich die Free Software Foundation, die sich seit Monaten entschieden gegen UEFI Secure Boot ausspricht. Diesen Standpunkt machen Sie in einer neuen Ankündigung noch einmal mit Nachdruck deutlich: UEFI Secure Boot sei eine massive Gefahr für Benutzer-Freiheit, Software-Ideale und die Adaptierung von freier Software. Unter dem Deckmantel der Sicherheit würde man Rechner einsperren und […]

Nachdem letzte Woche Red Hats Vizepräsident Tim Burke schon beschwichtigend auf die Angst vieler Anwender eingeredet hat, äußerte sich auch Linus Torvalds gegenüber ZDNnet zu dem Thema. Der Linux-Vater sieht das ganze erst einmal sehr gelassen. In einer für ihn typischen Art antwortete er, dass uns der Himmel auf den Kopf fällt und er selbst wie ein kopfloses Huhn herumlaufen sollte. Aber solange man die Schlüssel-Prüfung deaktivieren könne, würde das die Kernel-Entwicklung nicht beeinflussen. Und zertifizierte Binärpakete könnten tatsächlich einen […]

Red Hats Matthew Garret hatte ja verraten, wie man bei Fedora 18 das UEFI Secure Boot Problem beheben möchte. Dabei hat man sich vorerst zu einem Pakt mit dem Teufel entschieden und will den Schlüssel von der Microsoft-Zertifikats-Stelle ausstellen lassen. Das kostet dann einmalig 99 US-Dollar Gebühr und man kann sich so viele Schlüssel geben lassen, wie man möchte. Das Ganze wird so funktionieren, dass man einen Mini-Bootloader zertifizieren wird, der dann den Haupt-Bootloader initiiert. Eine andere Möglichkeit ist natürlich, […]

Es ist Fuduntus Geburtstag: Happy Birthday zum Einjährigen, liebe Linux-Distribution. Laut eigener Aussage startete Fuduntu als Experiment, das sich aber als recht erfolgreich erwiesen hat. Binnen eines Jahres hat man es unter die Top 50 der Distributionen geschafft und auf den Paket-Repositories verzeichnen die Entwickler etliche Tausend Hit pro Woche. Wie einige wissen, hat Fuduntu seine Wurzeln bei Fedora 14. Die Community bedankt sich artig und Fedora 14 sei eine fantastische Basis für Fuduntu. Allerdings befindet sich Fedora 14 auch […]

Heise Security hat anscheinend mit NAS-Systemen (Network Attached Storage) mit integrierter Verschlüsselung herumgespielt und dabei einen undokumentierten zweiten Schlüssel entdeckt. Verbatim wurde über das Problem in der PowerBay Databank informiert, aber bisher keinen Kommentar abgegeben. Der Tester hat nur ein Passwort angegeben, aber das System hatte plötzlich definitv zwei Schlüssel. Verbatim benutzt Linux Unified Key Setup (LUKS), was die Definition mehrerer Passwörter erlaubt. Bei anderen, ähnlichen Systemen wurde wie erwartet nur ein Passwort gefunden. Möglicherweise setzt Verbatim das zweite Passwort, […]