Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Nur noch signierte Bootloader zu starten -> Tod von Gentoo?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2, 3  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
Erdie
Advocate
Advocate


Joined: 20 May 2004
Posts: 2566
Location: Heidelberg - Germany

PostPosted: Fri Sep 23, 2011 11:57 am    Post subject: Nur noch signierte Bootloader zu starten -> Tod von Gento Reply with quote

Hi,
es kursiert in den Medien ja die Meldung, dass es in Zukunft aus Sicherhietsgründen hardwareseitig verhindert werden soll, unsignierte Bootloader zu starten.
Auf Heise steht, das ist ja kein Problem, da SuSE, Readhat können ja ihre Kernel signieren lassen ..blablabla


Tja, nur was ist mit Gentoo? Ist es so exotisch, seinen eigenen kernel zu bauen, dass niemand diese mehr in Erwägung ziehlt?

Ich habe mich bisher auch ohne dieses Gedöns, was mich eher an Apple erinnert, relativ sicher gefühlt.

Was mein ihr?

Grüße
Euer Erdie ;)
Back to top
View user's profile Send private message
b3cks
Veteran
Veteran


Joined: 23 Mar 2004
Posts: 1481
Location: Bremen (GER)

PostPosted: Fri Sep 23, 2011 12:26 pm    Post subject: Re: Nur noch signierte Bootloader zu starten -> Tod von G Reply with quote

Erdie wrote:
Was mein ihr?

Ball flach halten, abwarten und insbesondere mit der blödsinnigen Panikmache aufhören.
Sie dazu auch :arrow: http://www.pro-linux.de/news/1/17527/kommentar-2013-das-jahr-in-dem-linux-unterging.html
_________________
I am /root and if you see me laughing you better have a backup.
Back to top
View user's profile Send private message
Erdie
Advocate
Advocate


Joined: 20 May 2004
Posts: 2566
Location: Heidelberg - Germany

PostPosted: Fri Sep 23, 2011 12:33 pm    Post subject: Reply with quote

Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren.
Back to top
View user's profile Send private message
disi
Veteran
Veteran


Joined: 28 Nov 2003
Posts: 1354
Location: Out There ...

PostPosted: Fri Sep 23, 2011 1:00 pm    Post subject: Reply with quote

Erdie wrote:
Ich hatte nicht die Absicht, eine Mauer zu bauen ähm mit meiner Frage Panik zu verbreiten, sondern wollte dieses Thema lediglich zur Diskussion stellen. Es könnte evtl. jemanden interessieren.


Das Problem ist doch, dass die Huerde ein anderes Betriebssystem zu installieren, damit bedeutend groesser wird oder Dualboot mit Windows.
_________________
Gentoo on Uptime Project - Larry is a cow
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Fri Sep 23, 2011 8:22 pm    Post subject: Reply with quote

Generell halte ich das für eine gute Sache! Also das sich der Computer ohne eine bestimmte Signatur weigert diversen Code zu starten, bzw. in diesem Fall ein Betriebssystem zu booten. Gerade für Notebooks ist das interessant. Da kann man dann eben nicht ein USB-Stick anstecken und von diesem Booten. (Nun gut dagegen gibt es verschlüsselte Datenträger).

Allerdings sollte man dann auch so konsequent sein, das sich der "Kunde" zu dem Mainboard einen entsprechenden Schlüssel generieren kann damit er anschließend die Kernel selber signieren kann. Der springende Punkt ist ja das die wohl nur den Hardware-Herstellern und Lieferanten vorbehalten zu sein scheint. Allerdings hoffe ich das man sich bei einem Komponenten-Kauf entsprechende Schlüssel generieren oder es eben aktivieren/deaktivieren kann.

Zudem halte ich es für unwahrscheinlich das man es so komplett unterbinden wird die Firmware von dem Mainboard zu flashen.

Sollte Windows so verfahren, habe ich das dann richtig Verstanden das ein Kunde eines vorinstallierten Windows 8 Systems, kein Windows XP oder Windows Vista mehr installieren kann, wenn dies nicht signiert ist/wird? Langsam verstehe ich warum Microsoft dies anstrebt.

Scherz beiseite. Ich halte das wirklich für ein wichtiges "sicherheits-feature". Allerdings ist es doch nicht konsequent wenn man die Trust of Chain nicht bis in die VM weiterreicht.
Back to top
View user's profile Send private message
franzf
Advocate
Advocate


Joined: 29 Mar 2005
Posts: 4565

PostPosted: Sat Sep 24, 2011 7:08 am    Post subject: Reply with quote

Im BIOS Booten von CD/Stick/... deaktivieren, BIOS mit Passwort schützen und schon sollte niemand mehr "einfach so"den Rechner ankriegen. Zusammen mit einer Festplattenverschlüsselung sollte das System mindestens so sicher sein, wie mit diesem "Secure Boot". Es ist halt ein gewisser Aufwand, der für DAUS eine Hürde darstellt - wenn diese aber dann munter alles anklickt was sie anblinkt hilft auch das beste SecureBoot nichts mehr...

Ich empfinde das als rechtwidrige Bevormundung. Wenn ich mir (teuer) Hardware kaufe und dann nur das vorinstallierte OS starten kann, wäre mir das glatt eine Klage wert!
Back to top
View user's profile Send private message
Finswimmer
Bodhisattva
Bodhisattva


Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany

PostPosted: Sat Sep 24, 2011 7:59 am    Post subject: Reply with quote

http://www.heise.de/newsticker/meldung/Microsoft-Secure-Boot-schliesst-andere-Systeme-nicht-aus-1349202.html

Wieso Windows so ein großes Mitspracherecht hat und erklärt, wie das funktioniert verstehe ich nicht...

Ich finde es auch sinnvoll, wenn man so seinen Rechner schützen kann, aber dann muss das "Signieren" so schnell und einfach gehen, dass es jeder kann.

EDIT:
Dazu auch: http://www.heise.de/open/artikel/Die-Woche-Linux-wird-nicht-ausgebootet-1348799.html
Die Option muss unbedingt komplett abstellbar sein, wenn man nicht selbst signieren kann, weil ich will ganz sicher nicht immer ein Passwort eingeben müssen.
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
Josef.95
Advocate
Advocate


Joined: 03 Sep 2007
Posts: 4520
Location: Germany

PostPosted: Sat Sep 24, 2011 11:57 am    Post subject: Reply with quote

Naja, m Grunde genommen ja eine gute Sache, doch wenn der Administrator nicht mehr selbst entscheiden kann was für ein OS auf der Hardware installiert und genutzt werden kann finde ich das schon sehr bedenklich. Ich würde solche Hardware gar nicht erst kaufen.

Siehe zb im Blog von Matthew Garrett
UEFI secure booting
und
UEFI secure booting (part 2)

Und dann das Update aus Microsoft: Secure Boot schließt andere Systeme nicht aus (heise)
Quote:
[Update]

Red-Hat-Mitarbeiter Matthew Garrett, der die ganze Diskussion ins Rollen gebracht hatte, weist in einem Blog-Beitrag darauf hin, dass Sinofsky seiner ursprünglichen Analyse in keinem Punkt widerspricht. Mit Secure Boot werde es schwieriger oder unmöglich, alternative Systeme zu installieren. Eine Zertifizierung für Windows 8 verlange zwar, dass die Hardware Secure Boot unterstützt, aber weder, dass der Anwender die sichere Boot-Option abschalten könne, noch die Mitlieferung anderer Schlüssel als desjenigen von Microsoft. Einige Hardware-Hersteller, so Garrett, hätten bereits gesagt, dass sie Secure Boot nicht abschaltbar machen wollten. Wenn solche Systeme nur mit einem Microsoft-Schlüssel ausgeliefert werden, sei es nicht möglich, darauf ein anderes Betriebssystem zu installieren.
Back to top
View user's profile Send private message
Max Steel
Advocate
Advocate


Joined: 12 Feb 2007
Posts: 2229
Location: My own world! I and Gentoo!

PostPosted: Sat Sep 24, 2011 2:42 pm    Post subject: Reply with quote

Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus?
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Sun Sep 25, 2011 3:38 pm    Post subject: Reply with quote

Max Steel wrote:
Wie siehts denn dann mit Reparatur-Systemen alla Ultimate-Boot-CD und Kanotix aus?


Zusammengefasst: Wenn in der Firmeware von deinem Mainboard ein Schlüssel/Signatur (für den Kernel der Ultimate-Boot-CD) installiert ist, startet es normal. Wenn das nicht der Fall ist. Wirst du beim booten darauf hingewiesen und musst ein Passwort eingeben und kannst es dann auch wie gewohnt nutzen.

Wenn man es nicht definitiv abschalten kann, das nach einem Passwort gefragt wird, ist es bei Gentoo wirklich störend. Ich sehe aber auch keinen Sicherheitsgewinn in diesem Unterfangen, wenn man nicht in der Lage ist die Schlüssel selber zu signieren oder zu erstellen.

Zwar werden hier die Bootsektor-Viren genannt, aber sofern der Bereich für UEFI beschreibbar ist. Wahrscheinlicher werden dann die alternativen zum heutigen Bios stärker benutzt.

Aber hier stellt sich mir dann die Frage ob die zu bootenden Kernel auch eine Signatur-Prüfung des "UEFI-Systems" vornehmen und überhaupt starten....


Last edited by ChrisJumper on Mon Sep 26, 2011 9:29 am; edited 1 time in total
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3495

PostPosted: Mon Sep 26, 2011 8:56 am    Post subject: Reply with quote

Josef.95 wrote:
Ich würde solche Hardware gar nicht erst kaufen.


Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.

Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.

Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.

*mal symbolisch "Wehret den Anfängen!" ruft* :wink:
Back to top
View user's profile Send private message
doedel
Guru
Guru


Joined: 05 Feb 2006
Posts: 579
Location: Denmark

PostPosted: Mon Sep 26, 2011 3:04 pm    Post subject: Reply with quote

Quote:

Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.

Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.

Höööhööö wieviel Raucher haben gesagt, dass sie nicht mehr in die Kneipen gehen, ich lach mich schief, zwei Hand voll Idealisten werden das Boykott durchziehen und bis zum Sankt Nimmerleins Tag ihren 64er versuchen mit Linux zu malträtieren.

Quote:

Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.

60W...

Ich glaub nicht, dass sich sowas durchsetzen kann. Und wenns ne 3 Tage Bastelarbeit wird, das Linux da drauf zu booten - mir solls egal sein. Aber leider wäre das dann ein herber Schlag in die Eier, viele Entwickler werden sich zurückziehen, neue kaum noch kommen, wenn der Einstieg noch nichtmal klappt...
_________________
1 ha == 1 Hekto-Ar == 1 Hektar
Back to top
View user's profile Send private message
Josef.95
Advocate
Advocate


Joined: 03 Sep 2007
Posts: 4520
Location: Germany

PostPosted: Mon Sep 26, 2011 8:56 pm    Post subject: Reply with quote

slick wrote:
Josef.95 wrote:
Ich würde solche Hardware gar nicht erst kaufen.


Das Prinzip "ich verweigere mich dem" funktioniert spätestens seit Facebook nicht mehr. Jeder weiß um das Problem der Daten dort, aber 800 Mio. Nutzer sind ein starker sozialer Druck dem man sich auf Dauer nur schwerr verweigern kann.
Da gibt es keinen Druck ;)
Aus dem alter bei Facenook, oder ähnlichen Netzwerken meine privaten Daten preiszugeben bin ich raus - wer das dennoch macht ist selbst schuld wenn die Daten vermarktet werden.
Gibt ja auch noch EMail, Brief-post, Jabber, und das gute alte Telefon - das muss reichen.

slick wrote:
Als Beispiel sicher nicht das beste, aber solange die Industrie das ganze Lieschen Müller schmackhaft machen kann, wird man als einzelner wenig mit dem Boykott ausrichten. Der funktioniert bestensfalls nur solange, solange es noch Alternativen gibt.
Nunja, ich denke aktuell macht Microsoft es der Industrie, den Hardwareherstellern schmackhaft möglichst die "sichere Boot-Option" nicht abschaltbar zu machen und auch keine Keys bereitzustellen, und die Industrie springt drauf an um sie mit dem begehrten "Designed for Microsoft Windows 8 Logo" besser vermarkten zu können.
Was nützt mir Hardware auf der zb weder GRUB noch ein selbst konfigurierter Kernel sich nutzen lässt...
nichts, und daher würde ich sie gar nicht erst kaufen (vorausgesetzt es kommt tatsächlich so wie Microsoft und UEFI sich das zZt vorstellen)

slick wrote:
Beispiele lassen sich sicher noch paar mehr finden, u.A. auch 100W Glühlampen.
Gibt ja auch noch 200 Watt mit E40 Fassung... ;)

slick wrote:
*mal symbolisch "Wehret den Anfängen!" ruft* :wink:
Ja, wenn dies bezüglich des Microsoft Monopols gemeint ist - dann ja, das sollte man möglichst verhindern.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Wed Sep 28, 2011 8:27 am    Post subject: Reply with quote

Selbst wenn diese "Sicherheitsmassnahme" letzten Endes so funktioniert wie sie sollte bin ich davon alles andere als begeistert. Wieder ein völlig überflüssiges Feature mehr das einem bei der Installation eines Betriebssystem oder bei der Fehleranalyse auf die Nerven gehen kann.

Und überhaupt finde ich allein schon den Versuch dem Kunden vorschreiben zu wollen was für ein OS er benutzen soll eine verdammte Frechheit!
Das so etwas auf legalem weg realisiert werden kann wundert mich doch sehr.

EDIT:
Ich hoffe ja nur das man, wenn es denn so weit ist, dann auf ein funktionierendes Coreboot zurückgreifen kann (Im Moment scheint deren Code noch etwas verbugt zu sein denn beim bauen eines BIOS für den Tyan S2895 bricht das ganze immer wieder ab). Oder alternativ, wie in einigen Blogs und News behauptet wird, diese Überprüfung im UEFI auch wirklich noch nachträglich anpassen/abschalten kann.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
3PO
Veteran
Veteran


Joined: 26 Nov 2006
Posts: 1110
Location: Schwabenländle

PostPosted: Thu Sep 29, 2011 4:05 pm    Post subject: Reply with quote

Da ja am 21.12.2012 sowieso die Welt untergeht, ist mir das relativ egal, denn bis dahin komme ich noch mit meiner jetzigen Hardware aus. :lol:

Sollte die Welt an o.g. Datum nicht untergehen, bin ich überzeugt, dass es findige Hacker gibt, die einen BIOS-Hack veröffentlichen, der diesen Quatsch umgehen kann. ;)
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Fri Aug 03, 2012 8:22 am    Post subject: Reply with quote

Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Zusammen mit der Möglichkeit dafür "einzustehen":
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
disi
Veteran
Veteran


Joined: 28 Nov 2003
Posts: 1354
Location: Out There ...

PostPosted: Fri Aug 03, 2012 8:44 am    Post subject: Reply with quote

schmidicom wrote:
Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Zusammen mit der Möglichkeit dafür "einzustehen":
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de


Ich achte schon seit Jahren darauf keine Windows OEM Version mit Hardware zu kaufen. Da schliesse ich mich 100% an und solche Hardware kommt mir nicht ins Haus, wenn ich es vermeiden kann.
_________________
Gentoo on Uptime Project - Larry is a cow
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Fri Aug 03, 2012 9:46 am    Post subject: Reply with quote

schmidicom wrote:
Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Zusammen mit der Möglichkeit dafür "einzustehen":
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de

Danke für den Hinweis.

Prinizipiell ist Secure Boot ja nicht verkehrt. Trotz verschlüsselter Festplatte bleibt bisher zumindest die Boot Partition unverschlüsselt. Wenn also jemand Hardware Zugriff hat, kann der Kernel ausgetauscht und manipuliert werden. Mit selbst generiertem Schlüsseln könnte man das verhindern. Allerdings muss man dann wohl bei jedem Kernel Update die Schlüssel aktualisieren. Da stellt sich die Frage, wie umständlich und zeitaufwendig das ist.

Ich bau meine Rechner immer aus Einzelteilen. Da können die Hersteller nicht einen festen unveränderlichen Schlüssel mit dem Mainboard ausliefern ohne es komplett unbrauchbar zu machen. Bei Laptops und Komplettsystemen mit vorinstalliertem OS sieht das natürlich anders aus.

Aber was wird dann aus den normalen Consumer PCs? Wenn dort ein unveränderlicher Schlüssel eingetragen ist und sich jemand die Windows Installation zerschießt, ist das Gerät kaputt. Selbst wenn noch ein zweiter Schlüssel für die Recovery Partition eingetragen ist, bräuchte man doch nach der erneuten Installation von Windows wieder einen neuen Schlüssel. Das ist natürlich auch eine Möglichkeit, die Haltbarkeit von Geräten zu beschränken. Software kaputt --> Gerät kaputt. Das wär ein neuer ganz großer Schritt für die geplante Obsoleszenz.

Es gibt auch eine interessante Diskussion auf der Gentoo Mailinglist. Einer der Coreboot Entwickler gibt dort interessante Einblicke. Es ist selbstverständlich eine Menge Arbeit Coreboot zu entwickeln und sich mit den Herstellern rumzuärgern. Leider wird meine Hardware nicht vollständig unterstützt (1, 2) und ich bin doch noch etwas ängstlich das BIOS zu tauschen ;-)
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
disi
Veteran
Veteran


Joined: 28 Nov 2003
Posts: 1354
Location: Out There ...

PostPosted: Fri Aug 03, 2012 9:59 am    Post subject: Reply with quote

forrestfunk81 wrote:
schmidicom wrote:
Das hier ist im bezug zu diesem Thema vielleicht auch noch von Interesse:
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Zusammen mit der Möglichkeit dafür "einzustehen":
http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-de

Danke für den Hinweis.

Prinizipiell ist Secure Boot ja nicht verkehrt. Trotz verschlüsselter Festplatte bleibt bisher zumindest die Boot Partition unverschlüsselt. Wenn also jemand Hardware Zugriff hat, kann der Kernel ausgetauscht und manipuliert werden. Mit selbst generiertem Schlüsseln könnte man das verhindern. Allerdings muss man dann wohl bei jedem Kernel Update die Schlüssel aktualisieren. Da stellt sich die Frage, wie umständlich und zeitaufwendig das ist.

Ich bau meine Rechner immer aus Einzelteilen. Da können die Hersteller nicht einen festen unveränderlichen Schlüssel mit dem Mainboard ausliefern ohne es komplett unbrauchbar zu machen. Bei Laptops und Komplettsystemen mit vorinstalliertem OS sieht das natürlich anders aus.

Aber was wird dann aus den normalen Consumer PCs? Wenn dort ein unveränderlicher Schlüssel eingetragen ist und sich jemand die Windows Installation zerschießt, ist das Gerät kaputt. Selbst wenn noch ein zweiter Schlüssel für die Recovery Partition eingetragen ist, bräuchte man doch nach der erneuten Installation von Windows wieder einen neuen Schlüssel. Das ist natürlich auch eine Möglichkeit, die Haltbarkeit von Geräten zu beschränken. Software kaputt --> Gerät kaputt. Das wär ein neuer ganz großer Schritt für die geplante Obsoleszenz.

Es gibt auch eine interessante Diskussion auf der Gentoo Mailinglist. Einer der Coreboot Entwickler gibt dort interessante Einblicke. Es ist selbstverständlich eine Menge Arbeit Coreboot zu entwickeln und sich mit den Herstellern rumzuärgern. Leider wird meine Hardware nicht vollständig unterstützt (1, 2) und ich bin doch noch etwas ängstlich das BIOS zu tauschen ;-)


Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...
_________________
Gentoo on Uptime Project - Larry is a cow
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Fri Aug 03, 2012 10:05 am    Post subject: Reply with quote

disi wrote:
Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...

Super, vielen Dank für den Tipp. Das werd ich auf jedenfall mal ausprobieren. Die Bios Chips gibts ja schon für unter 10 €.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Fri Aug 03, 2012 12:39 pm    Post subject: Reply with quote

disi wrote:
Auf dem LinuxTag in Berlin von vor 2 Jahren hatte ich mit einem der Coreboot Entwickler unterhalten. Auf jeden Fall soll man einen Ersatzchip benutzen, sprich: booten, originalen Chip rausnehmen und weglegen, leeren Chip ins Board und dann Coreboot in den Chip schreiben...

Hat er auch was zu dem Tianocore-Payload gesagt?
Habe gerade nach einer Doku gesucht die einem erklärt wie man das UEFI von Tianocore als Payload für Coreboot zusammenbasteln kann aber leider ist die Webseite von Tianocore eine einzige Katastrophe in Sachen Übersichtlichkeit und auf der Webseite von Coreboot gibts einfach nur einen Link zu der von Tianocore.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Fri Aug 03, 2012 7:22 pm    Post subject: Reply with quote

Ich sag mal so, erst mal nicht verrückt machen, Panik schadet mehr, als sie nutzt. Fakt ist, Secureboot ist aktuell bei x86 abschaltbar, und bei den Boards die es schon haben, da muss man es erst mit viel Aufwand aktivieren. Und betroffen ist ja nicht nur Gentoo, sondern fast jedes andere Linux und alle Rettungsmedien, Partitionierungstools usw. Und davon gibt es auch für Windows jede Menge, die kann man denen ja auch nicht einfach so nehmen.

Frage ist, bleibt es so, oder wird Secureboot irgendwann mal nicht mehr optional. Und in dieser Hinsicht können wir uns in erster Linie bei unseren Freunden von Red Hat und Ubuntu bedanken. Anstatt eine geschlossene Abwehrfront zu bilden und geschlossen zu sagen: "Nein", kann jetzt Microsoft immer sagen, was wollt ihr denn, Red Hat und Ubuntu haben es doch hinbekommen, also, es geht doch

Beim aktuellen Stand der Dinge besteht keine Gefahr. Es geht darum, etwas anderes zu verhindern.

Und da sehe ich zu Zeit Red Hat als Hauptansprechpartner. Die haben sich ja wie verrückt auf Secureboot gestürzt. Und das sehe ich inzwischen so, dass sie es nicht tun, um weiterhin ihre Produkte verkaufen zu können, sondern um es selber für sich zu nutzen. Was ist der Plan? Ein GnomeOS für Mobilgeräte mit eigenem Appstore und eigener Paketverwaltung. Die Extensions können schon nicht mehr über die normale Paketverwaltung aktualisiert werden.

Denken wir immer an Richard Stallman und daran, dass das frei für Freiheit steht und nicht für Freibier.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1921
Location: Schweiz

PostPosted: Fri Aug 03, 2012 7:42 pm    Post subject: Reply with quote

@Klaus Meier
Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".

Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Fri Aug 03, 2012 8:00 pm    Post subject: Reply with quote

schmidicom wrote:
@Klaus Meier
Ich kenne die Lösung von Redhat und der erste Gedanke der mir dabei durch den Kopf ging war "Och ne bitte nich...".

Ein von MS und den Herstellern signierter Bootloader soll einen weiteren Bootloader (im Beispiel: GRUB) starten der seiner seits dann den Kernel lädt. Ganz ehrlich auf eine solche "Lösung" (endloser Rattenschwanz trifft es wohl eher) die unter anderem das ganze Konzept von SecureBOOT wieder völlig sinnlos/nutzlos macht kann ich verzichten. Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.
Bitte nenne es nicht "Lösung". Weiter unten hast du es ja auch in Anführungsstrichen geschrieben. Ich hatte den gleichen Gedanken. Red Hat ist das Problem, nicht die Lösung. Und daran werde ich immer denken.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Sun Aug 05, 2012 11:11 am    Post subject: Reply with quote

Nun ich hoffe ganz einfach das die LÖSUNG genau so ist wie überall wo mit Signaturen gearbeitet wird:

Jeder der Mündig ist (weil er ein Gerät gekauft hat und es in seinen Eigentum überging und daher auch die Hardware besitzt) kann einfach seine eigenen Signaturen erstellen denen er vertraut und somit auch seine eigenen Zertifikate erstellen und die eigenen Kernel dann selber signieren.

Im Grunde geht es ja immer nur um Vertrauen. Wenn diese verrückte Hardware irgendwann existiert die dritte knechten und ihnen ihrer Freiheiten berauben möchte dann muss halt wieder der Lötkolben ran um dieses Monster der Realität anzupassen.

Quote:
Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.


Nun die Chain of Trust, ist kein Mist. Mir persönlich gefällt es auch nicht wenn versucht wird mit einem solchen Entwurf DRM-Maßnahmen durch zu prügeln. Doch Sicherheitstechnisch hat es auf jeden Fall seine Berechtigung. Der Vorschlag von Red Hat klingt für mich auch wie ein Exploit des Systems. Der User wird sich bedanken wenn das Knoppix dann trotzdem startet.

Hier hätte ich lieber das per Default das System immer startet, aber bei unsignierten Kernen z.B. die Netzwerkkarte und USB nur eingeschränkt verfügbar ist.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page 1, 2, 3  Next
Page 1 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum