Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Nur noch signierte Bootloader zu starten -> Tod von Gentoo?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Sun Aug 05, 2012 11:20 am    Post subject: Reply with quote

Das erstellen eigener Signaturen ist nicht vorgesehen. Auch Red Hat überlässt das Microsoft. Kostet 80$. Für den Betrag kannst du dir dann auch deine Kernel signieren lassen.

Und zu dem mündig: Wenn man keine Alternative mehr hat? Bei Win8 für ARM ist dieses Feature Pflicht und abschalten nicht erlaubt. Und dann schau dir doch mal die Smartphones an. Da hast du auch keine Alternative, egal, ob du mündig bist oder nicht. Freie Geräte waren nie im Interesse der Hersteller. Deshalb durfte es die Meego Schiene von Nokia ja auch nicht geben. Auch wenn sie sich besser verkauft hätte als die Kachelöfen.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sun Aug 05, 2012 1:47 pm    Post subject: Reply with quote

ChrisJumper wrote:
Jeder der Mündig ist (weil er ein Gerät gekauft hat und es in seinen Eigentum überging und daher auch die Hardware besitzt) kann einfach seine eigenen Signaturen erstellen denen er vertraut und somit auch seine eigenen Zertifikate erstellen und die eigenen Kernel dann selber signieren.

Genau das geht ja schon nicht mehr: Nicht der Käufer gilt als mündig, Signaturen zu verifizieren, sondern ausschließlich der Hersteller. Der Käufer ist noch so mündig, den gesamten Mechanismus abzuschalten, wenn er dafür auf das ihm eigentlich gesetzlich zustehende Recht der Garantie verzichtet. (Bei vielen Geräten bedeutet das nä mlich den Garantieverlust, der sich dann natürlich nicht auf die Software beschränkt).
Quote:
Wenn diese verrückte Hardware irgendwann existiert die dritte knechten und ihnen ihrer Freiheiten berauben möchte dann muss halt wieder der Lötkolben ran um dieses Monster der Realität anzupassen.

Dann löte doch mal an den modernen alles-in-einem-Chip-Geräten. Am IPhone und Ipad kannst Du schon mal anfangen zu üben. Die Tendenz in diese Richtung wird noch weitergehen. Sicherlich mag es mal einzelne Geräte geben, die irgendjemand schafft, zu hacken. Aber um eine Distribution wie Gentoo am Laufen zu halten, selbst wenn Gentoo wohl durchschnittlich gesehen technisch versierte Benutzer hat, reicht ein Funktionieren auf ein paar zufälligerweise hackbaren Rechnern nicht aus. Im professionelleren Umfeld kann man das ohnehin vergessen.
Quote:
Quote:
Allein die Existenz eines solchen signierten vorbootloader der seinereits dann alles andere nachladen kann beweist wie überflüssig der ganze Mist eigentlich ist.
Nun die Chain of Trust, ist kein Mist.

Wir reden aber nicht von der Chain of Trust, sondern von Mist, den jeder Virus schreiben kann. Man darf sich nichts vormachen: Der Sicherheitsaspekt von DRM ist ein reiner Vorwand, der - gerade für jemanden, der technisch versiert ist - eine offensichtliche Lüge ist. MS hat mit solchen Vorwänden Erfahrung ("Windows ist nicht ohne Explorer lauffähig"). Es ist erstaunlich schwierig, technisch nicht versierte Leute von der Falschheit solcher Aussagen zu überzeugen, und sie werden von MS perfekt zur Untermauerung ihres Monopols eingesetzt.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Sun Aug 05, 2012 2:09 pm    Post subject: Reply with quote

Wenn SecureBOOT mit eigenen Zertifikaten erweitert werden könnte (meinetwegen auch mit nicht entfernbarem MS Zerifikat im Speicher) hätte ich ja nichts dagegen einzuwenden aber dem ist wird unter Garantie auch nie so sein. Die Industrie hat hier schlicht und einfach nicht das heere Ziel den Kunden zu schützen (ob vor schädlicher Software oder fehlerhafter Handhabung) sondern diesen zu bevormunden um so ein aufkommen von alternativen zu verhindern.

So etwas sollte meiner Meinung nach schon in den Anfängen mit allen mitteln bekämpft werden denn wenn das erst einmal auf dem Markt ist wird es zu spät sein.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Sun Aug 05, 2012 5:29 pm    Post subject: Reply with quote

Hat jemand von euch denn schon ein Motherboard gekauft mit UEFI? Scheinbar gibt es die Möglichkeit "SecureBoot" zu deaktivieren. Dann ließe sich auch ohne Probleme Linux starten.

Ich werde mich erst aufregen und Protestieren wenn ich z.B. das UEFI nicht mehr gegen Coreboot austauschen kann. Also es dann wirklich alles so verschlossen ist und ich dem Hersteller ausgeliefert bin. Bisher ist mir ein solches System aber noch nicht untergekommen. Wahrscheinlich werde ich das bei meinem nächsten Rechner-Update ende des Jahres mal genau untersuchen.

Bisher habe ich nur bemerkt wie hitzig diese Diskussion geführt wird. Auch das Windows 8 auf der speziellen Architektur SecureBoot voraussetzt bedeutet ja nur das es nicht startet wenn SecureBoot im UEFI deaktiviert ist. Nicht aber das es dafür im UEFI keinen Schalter gibt.

Auch kann ich mir nicht vorstellen das Hersteller von Mainboards sich daran halten etwas so zu implementieren. Bei Apple ist das zum Beispiel immer so gewesen das sie Geräte für Nutzer als Hersteller entwickeln bei denen die Nutzer kurz angebunden sind. Aber bei meinem Mainboard von Asus darf ich das Bios Passwort noch selbst festlegen und Einstellungen vornehmen.

Natürlich kann ich auch verstehen das man nicht möchte das es schwerer wird für Linux-Neulinge das System zu wechseln.

Nebenbei:
Der UEFI-Ansatz klingt wirklich gruselig. Im Artikel der Wikipedia steht bei der Kritik steht das dieses EFI zusätzliche Treiber benötigt und als Zwischenschicht immer die Kontrolle über die Hardware besitzt. Mir missfällt dieser Ansatz schon jetzt.

Quote:
Windows ist nicht ohne Explorer lauffähig

Diese Erkenntnis war zusätzlich zu dem Rest, ausschlaggebend das ich Windows nicht mehr verwenden wollte.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Sun Aug 05, 2012 5:50 pm    Post subject: Reply with quote

@ChrisJumper

UEFI != Secureboot
Das Secureboot ist ein Feature das ab der UEFI Version 2.3.1 offiziell von www.uefi.org spezifiziert wurde und beispielsweise von AMI (oder einem anderen Anbieter für ein BIOS/UEFI) den Computerherstellern angeboten werden kann.
Meine Geräte die ein UEFI haben sind noch älter und frei von Secureboot oder aber der Hersteller sah sich nicht (noch nicht) genötigt davon Gebrauch zu machen. UEFI ist an sich eine gute Sache doch was Microsoft und ihre unheilige Allianz daraus machen wollen ist für jeden der sich mit Technik auskennt der reinste Albtraum. Das ganze erinnert mich wieder an diese ACPI Geschichte wo sich MS mit Händen und Füssen dagegen werte das Linux gezwungener massen (denn ohne laufen aktuelle System ja nicht mehr richtig) versuchte davon Gebrauch zu machen, was ja bis heute dank MS nicht 100% fehlerfrei funktioniert.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW


Last edited by schmidicom on Sun Aug 05, 2012 5:55 pm; edited 1 time in total
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Sun Aug 05, 2012 5:55 pm    Post subject: Reply with quote

@schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.

@ChrisJumper: Dass man es momentan noch abschalten kann, das ist doch schon erwähnt worden. Keine Ahnung, welche spezielle Architektur du meinst. Wenn es ARM sein sollte, da ist dieser Schalter im BIOS definitiv verboten. Also nicht, dass Windows einfach nicht startet. Es gibt ihn einfach nicht. Und glaubst du, dass irgend jemand Boards raus bringt, auf denen nur Linux läuft?

Und dann kannst du ja einen Brief an Asus schreiben, wenn es denn so weit ist. Abwarten, bis es so weit ist? Was sagt jemand, der aus dem 10. Stock gesprungen ist, wenn er am ersten Stock vorbeikommt? Bis jetzt ist doch nichts passiert. Schau dir doch mal an, was bei den Smartphones abgeht. Hast du da irgendeine Wahl ohne gefährliche Hacks?
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Sun Aug 05, 2012 6:06 pm    Post subject: Reply with quote

Klaus Meier wrote:
@schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.

Ist doch ganz einfach, das Prinzip ist ja fast das selbe wie bei https.
Dein Computer oder Browser kennt verschiedene Zertifikate die er über https akzeptiert und da kannst du ja auch selber ein Zertifikat erstellen das du sowohl auf dem Client als auch auf dem Server installierst.
Du darfst dir da halt eben nur nicht das Root-Zertifikat klauen lassen sonst ist es mit der Sicherheit ziemlich schnell vorbei. ;)
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Sun Aug 05, 2012 8:09 pm    Post subject: Reply with quote

Klaus Meier wrote:
Hast du da irgendeine Wahl ohne gefährliche Hacks?


Nun also ich habe so ein Android, mit... äh Entwicklerupdate. Aber das ich bei einem Mobiltelefon kein Linux habe ist für mich eine ganz andere Geschichte. Da hat es aber mit Sicherheit zu tun. Denn der CCC hat ja mal gezeigt was sich so alles Anstellen lässt mit einem Mobiltelefon wenn man es zu hundert Prozent unter der Kontrolle hat, Stichwort IMSI-Catcher.

Ja ich meinte die ARM-Architektur. Habe Secureboot aber auch immer als ein Zusatzfeature gesehen das eben den Rest nicht ausschließt. Was macht denn z.B. Google? Wobei gut die können auch eine Signatur kaufen für 99 Euro. Mir persönlich wäre es das im Notfall auch Wert wenn ich da nicht den Kernel einschicken müsste sonder ein Zertifikat bekomme mit dem ich meinen Code Signieren kann.

Aber der Sicherheitsgewinn ist damit dahin. 99 Euro ist für einen Virus eigentlich ein Witz. Obwohl ja niemand möchte das sein Name in einem Virus auftaucht. ;)

Quote:
@schmidicom: Was für einen Vorteil hätte denn so ein Mechanismus, wenn du jeden Kernel und Bootloader selber signieren kannst? Das bekommt dann auch ein Virus hin.


Ach verflucht so meinst du das, also das der Virus auf meinem Computer einfach bemerkt das ich meine Kernel selber signiere und dann die modifizierte Evilversion signiert und nach /boot kopiert?

Nun dafür müsste er dann vorher aber schon zugriff haben. Secureboot soll z.B. verhindern das jemand in deiner Firma auftaucht, einen USB-Stick anschließt und davon Bootet und von Innen deine Infrastruktur angreift.

Oder das der Zoll dir den Bundestrojaner so installiert das dieser zuerst Bootet und dann deinen Kernel startet und dein Betriebssystem nicht merkt das es in einer Virtuellen Umgebung hängt. Oder jemand einfach deinen Kernel nachträglich verändert oder austauscht.

schmidicom wrote:
Du darfst dir da halt eben nur nicht das Root-Zertifikat klauen lassen sonst ist es mit der Sicherheit ziemlich schnell vorbei.
Ja das ist natürlich auch ein Problem vor dem Verisign steht... wie war das noch mal mit Flame und dem Windows-Update? ;D

Bei Gentoo mache ich ja immer schon drei Kreuze und hoffe das keine Server infiziert werden, als auch das Modifikationen der Quell-Dateien eher auffallen weil hier ja auch noch die Prüfsumme dabei ist.

Klau Meier wrote:
Und glaubst du, dass irgend jemand Boards raus bringt, auf denen nur Linux läuft?

Nun ich denke das es sehr viele User gibt die sich dagegen wehren wenn sie Linux nicht mehr verwenden können. Auch wenn ich z.B. mehr Nutzer kenne die ein Apple Produkt verwenden als Linux, finde ich doch das Linux in der Gesellschaft schon stärker verbreitet ist. Und wenn es für viele nur ein Zweitsystem zum Surfen und Chatten ist. Diese würden sich bestimmt wehren wenn es so weit ist. Auch alle die noch ein Windows XP besitzen, würden richtig sauer sein wenn sich das nicht mehr installieren ließe. Denn all diese "alten" CD's oder DVD's haben ja definitiv keine Signatur mit auf dem Datenträger. Vielleicht liegt aber dafür auch schon ein Schlüssel/Hash für die Roh-Windowskernel-Versionen dabei.

Was ich aber auch nicht glaube, dann müsste ja nur jemand den Windows-XP-Boot so umbiegen/Erweitern das dieser sofort Linux Bootet....
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Mon Aug 06, 2012 8:14 am    Post subject: Reply with quote

ChrisJumper wrote:
Bei Gentoo mache ich ja immer schon drei Kreuze und hoffe das keine Server infiziert werden

Das ist in diesem Thread zwar Off-Topic, aber ein MITM reicht aus. Es wird höchste Zeit, dass Gentoo ein vernünftigeres Signierungssystem implementiert.
Quote:
Und wenn es für viele nur ein Zweitsystem zum Surfen und Chatten ist. Diese würden sich bestimmt wehren wenn es so weit ist.

Deinen jugendlichen Optimismus möchte ich noch haben.
Quote:
Auch alle die noch ein Windows XP besitzen, würden richtig sauer sein wenn sich das nicht mehr installieren ließe.

Ein paar werden vielleicht kurz zucken und dann doch "wie üblich" das neue Windows mit dem neuen Rechner dazukaufen, weil es ja ohnehin schneller und besser ist und die Hardware voll unterstützt.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Wed Aug 08, 2012 5:47 pm    Post subject: Reply with quote

Meine Güte. Was für ein Gewese. Das ist ein tolles System für große Firmen die von großen Herstellern Desktops und Laptops für ihre Mitarbeiter kaufen, die damit aus datenschutzrechtlichen Gründen nicht rumspielen sollen.

Wenn jemand meint sich ganz dringend ein Secure-Boot-Windows-8+-only-Laptop für den Privatgebrauch kaufen zu müssen, dann selbst Schuld. Aber glaubt doch nicht ernsthaft, dass alle hersteller plötzlich nur noch solche Maschinen anbieten. Von Mainboard-Herstellern ganz zu schweigen.

Edith will noch untermauern:
http://www.pro-linux.de/news/1/17527/kommentar-2013-das-jahr-in-dem-linux-unterging.html wrote:
Der springende Punkt der Diskussion ist aber, dass es sich lediglich um fertige Systeme mit einer Zertifizierung für Windows-8-PCs handeln wird – wenn überhaupt. Betroffen von möglichen Problemen wären also Laptop- und Fertigsystemkäufer, die ein dediziertes System mit einer Windows-8-Zertifizierung gekauft haben. Es ist davon auszugehen, dass kein Motherboardhersteller, der seine Produkte als Komponenten verkauft, die neue Funktion nutzen wird. Hier sind die Hürden für ihn schlicht zu groß. Schrauber, Tüftler und Anwender, die sich ihre Systeme selbst zusammenstellen, werden also aller Voraussicht nach sowieso außen vor bleiben.

_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Wed Aug 08, 2012 6:31 pm    Post subject: Reply with quote

Dein Glaube in Ehren. Nur, bei den Smartphones ist es so. Bei den ARM Boards für Win8 ist es so, das sind Fakten. Und die interessieren mich mehr als dein Glaube.
Back to top
View user's profile Send private message
casualx
n00b
n00b


Joined: 06 Feb 2012
Posts: 58
Location: switzerland

PostPosted: Wed Aug 08, 2012 7:15 pm    Post subject: Reply with quote

denkt ihr wirklich das kriegt niemand hin?
ich mach mir da keine sorgen da es noch nen haufen hacker auf der welt gibt die diesen typen mit ihrem scheiss uefi bios mist usw. in den arsch treten werden...ich mach mir da keine gedanken und lese gar nichts drüber weil erstens ist es nur panikmache und zweitens handelt es sich um microsoft & co
was die schon alles wollten und dann wurdes trotzdem nichts...ich meine hacker haben schon alles von denen geknackt...windows,die xbox,die xbox 360 usw...ausserdem nicht vergessen es gibt die linuxfoundation,gnu,fsf usw
da hab ich mehr angst das microsoft die zombie apokalypse anführen wird (umbrella) lol

einfach immer drank denken...das sind software heinis die mit viren usw probleme haben...denen treten wir in den arsch
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Wed Aug 08, 2012 8:54 pm    Post subject: Reply with quote

Klaus Meier wrote:
Dein Glaube in Ehren. Nur, bei den Smartphones ist es so. Bei den ARM Boards für Win8 ist es so, das sind Fakten. Und die interessieren mich mehr als dein Glaube.

Nein. Bei Smartphones ist es nicht so, zumindest nicht bei Android und Apple ist wenns um (halbwegs) offene Systeme geht sowieso raus. Man muss das Telefon zwar flashen, aber wichtig ist: man kann es flashen. Das ist zwar ne kleine Hürde, aber sollte einen Gentoo Nutzer, der sowieso laufend in den Innereien von Computer System rumbastelt nicht aufhalten ;-) Ich hab mittlerweile auf 6 Android Smartphones für mich und Freunde CyanogenMod installiert und es gab nie Probleme (+ noch ein paarmal öfters installieren, wegen neuen Versionen). Ach ja, fast hätt ichs vergessen: Bei HTC war der Bootloader ja gelockt. Aber auch das konnte/kann man problemlos umgehen und HTC hat versprochen das bei neuen Telefonen nichtmehr zu machen.

Ich hab aber noch ein kleines Verständnis Problem, welches ich trotz Suche nicht lösen konnte. So wie ich das verstanden hab, soll das UEFI mit aktiviertem Secure Boot dann also nen signierten Bootloader oder sowas laden welcher den signierten Kernel lädt, welcher die signierten Treiber lädt usw. Windows muss doch sicher auch mal seinen Kernel updaten und dieser muss dann ja wieder signiert sein. Wenn also Windows seinen eigenen Kernel bei einem Update irgendwie signieren kann, kann ein gehacktes Windows das auch womit die ganze Trust Chain wieder fürn A.... ist. Hat jemand ne Ahnung wie die solche grundlegenden Probleme lösen wollen? Oder gibts für Windows (z.B. für die ARM Tablets) keine Kernel Updates?
_________________
# cd /pub/
# more beer


Last edited by forrestfunk81 on Wed Aug 08, 2012 9:04 pm; edited 1 time in total
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Wed Aug 08, 2012 9:03 pm    Post subject: Reply with quote

Ich habe ein HTC und es ist alles andere als ein Kinderspiel. Natürlich musst du es flashen, wie soll denn das neue OS sonst drauf kommen. Aber bevor es soweit ist, musst du Dinge tun, die dich die Garantie kosten und dazu führen können, dass gar nichts mehr geht.

Begeisternd, dass du so etwas auch noch gut findest. Dir ist schon klar, dass keines der Geräte, von denen du hier so stolz redest, im Falle eines Defektes Garantie oder Gewährleistung bekommt?
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 565
Location: münchen.de

PostPosted: Wed Aug 08, 2012 9:42 pm    Post subject: Reply with quote

Klaus Meier wrote:
Begeisternd, dass du so etwas auch noch gut findest.

Dass ich was gut finde? Dass ich einen nicht verschlossenen Bootloader habe (nicht HTC) und deshalb die Möglichkeit habe ein anderes OS/Distribution zu installieren? Ja, das find ich gut!

Schon möglich, dass man beim Öffnen des Bootloaders für HTC Telefone die Garantie verliert. HTC hat sich dazu hier geäußert. Aber den Bootloader öffnen ist z.B. bei Samsung und den meisten anderen Android Geräten gar nicht nötig, womit man auch die Garantie nicht verliert. Finde den Link grad nichtmehr, aber die Aussage von Samsung war so, dass man die Software Garantie beim Rooten verliert (auch irgendwie logisch), nicht die Hardware Garantie.

Bei einem HTC hab ich das bisher nicht mit über den offiziellen HTC Weg gemacht. Im CM Wiki gibts Schritt für Schritt Anleitungen für viele HTC Telefone. Da steht auch drin wie man S-OFF setzt (den Bootloader öffnet). Man kann das Gerät angeblich auch wieder auf S-ON setzen (noch nicht getestet) und die original Software einspielen, wenn das Gerät noch halbwegs funktionstüchtig ist. Dann sollte HTC auch nicht merken, dass man daran rumgeschraubt hat.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Thu Aug 09, 2012 5:29 am    Post subject: Reply with quote

Hacks in allen ehren aber egal wie gut diese auch sind oder wie schnell nach dem Release diese zur Verfügung stehen es sind und bleiben Hacks die nicht nötig sein sollten.

Abgesehen davon bezweifle ich das es einfach mal so im Handumdrehen ein gehacktes UEFI für die kommenden Geräte geben wird den ein UEFI macht ein bisschen mehr als der Bootloader eines Smartphone und wir sehen ja wie schwer es Coreboot hat mit der aktuellen Hardware schritt zu halten selbst jetzt wo AMD mithilft.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Thu Aug 09, 2012 6:56 am    Post subject: Reply with quote

schmidicom wrote:
Hacks in allen ehren

Wenn sich Gentoo nur noch an speziellen Geräten mit speziellen Hacks installieren lässt, wird die User- und Developerbasis so klein, dass es de facto tot ist. Auf legalen Servern irgendwelcher Firmen o.ä. wird es dann ohnehin nicht mehr betrieben werden können, womit auch das Interesse der derzeitigen Hauptentwickler schwinden wird.
Back to top
View user's profile Send private message
Genone
Retired Dev
Retired Dev


Joined: 14 Mar 2003
Posts: 9506
Location: beyond the rim

PostPosted: Thu Aug 09, 2012 8:04 am    Post subject: Reply with quote

forrestfunk81 wrote:
Ich hab aber noch ein kleines Verständnis Problem, welches ich trotz Suche nicht lösen konnte. So wie ich das verstanden hab, soll das UEFI mit aktiviertem Secure Boot dann also nen signierten Bootloader oder sowas laden welcher den signierten Kernel lädt, welcher die signierten Treiber lädt usw. Windows muss doch sicher auch mal seinen Kernel updaten und dieser muss dann ja wieder signiert sein. Wenn also Windows seinen eigenen Kernel bei einem Update irgendwie signieren kann, kann ein gehacktes Windows das auch womit die ganze Trust Chain wieder fürn A.... ist. Hat jemand ne Ahnung wie die solche grundlegenden Probleme lösen wollen? Oder gibts für Windows (z.B. für die ARM Tablets) keine Kernel Updates?

Da ja nur signierte Software ausgeführt wird haben Viren keine Chance irgendwas zu machen. Soweit zur Theorie. Das ganze System funktioniert nur solange eine lückenlose Trustchain eingehalten wird (eigentlich für jeden Aufruf einer systemverändernden Funktion), es definitiv keine Malware schafft sich dort einzuschmuggeln und alle Komponenten diesbezüglich bugfrei sind. Wäre überrascht wenn in der Realität auch nur eine dieser Annahmen wirklich aufgeht.
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Thu Aug 09, 2012 3:27 pm    Post subject: Reply with quote

Genone wrote:
Das ganze System funktioniert nur solange eine lückenlose Trustchain eingehalten wird (eigentlich für jeden Aufruf einer systemverändernden Funktion), es definitiv keine Malware schafft sich dort einzuschmuggeln

Kann ja nicht. Da sterben ja ganze Wirtschaftszweige, wenn's keine Malware und Viren gibt oder zumindestens User, die daran glauben.

Von den armen Geheimdiensten ganz zu schweigen, die müssen dann ja wieder zu richtiger Arbeit zurückkehren. So mit Auslandsreisen und so. :)
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Fri Aug 10, 2012 5:27 pm    Post subject: Reply with quote

Da scheint doch jemand an einer benutzbaren Lösung zu arbeiten.

http://www.heise.de/open/meldung/UEFI-Secure-Boot-fuer-Suse-Linux-1664594.html

Gut, erst mal abwarten, wie praktikabel es dann ist und ob und wie es denn dann bei Gentoo implementiert wird. Aber der erste Ansatz, bei dem ich das Gefühl habe, dass es da auch um den Anwender geht.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Mon Aug 13, 2012 7:40 am    Post subject: Reply with quote

Klaus Meier wrote:
http://www.heise.de/open/meldung/UEFI-Secure-Boot-fuer-Suse-Linux-1664594.html

Wie ich auf heise dazu ebenfalls geschrieben habe:
Quote:
Was an dieser "Lösung" so viel besser sein soll als an der von Redhat
erschlisst sich mir nicht wirklich.

Dieses lädt jenes und jenes lädt dieses und irgendwo ganz hinten
kommt dann mal irgendwann das eigentlich Betriebsystem...
[Sarkasmus] Ist ja ganz fantastisch. [/Sarkasmus]

Viel intelligenter wäre es dem SecureBoot einen erweiterbaren
Zertifikatspeicher mitzugeben der über ein Passwort mit eigenen
Zertifikaten erweitert werden könnte. Auf diese Weise könnten
beispielsweise auch Firmen (oder meinetwegen auch Privatpersonen
mit Paranoia) einfach einen oder mehrere Computer aufstellen auf
denen nur Systeme laufen die von ihnen selbst signiert wurden.

Aber eben Intelligenz ist so eine Sache die scheinbar nur wenigen
gegeben ist die auch etwas zu melden haben.

http://www.heise.de/open/news/foren/S-Der-selbe-Mist-wie-bei-Redhat-und-Co/forum-235191/msg-22263206/read/

EDIT:
Mir ist gerade durch diverse Forenbeiträge auf anderen Webseiten noch eine weitere Sache aufgefallen die von diesem Secureboot in Mitleidenschaft gezogen wird. Wenn Secureboot aktiv ist wird vom UEFI direkt ja nur noch Code ausgeführt der über Microsoft digital signiert ist wie hier inzwischen sicher alle wissen und das ist für den Kernel Marke Eigenbau ja im direkten boot verfahren nicht so toll.
Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.
Damit ist die nahe Computerzukunft gleich noch ein gewaltiges Stück dunkler geworden...
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Mon Aug 13, 2012 3:16 pm    Post subject: Reply with quote

schmidicom wrote:
Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.

Ich glaube nicht, dass sich das innerhalb der EU so durchsetzen lässt - da sind die Kartellwächter rechtzeitig auf Zack.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2389
Location: Germany

PostPosted: Tue Aug 14, 2012 9:39 pm    Post subject: Reply with quote

Quote:
Aber viel schlimmer ist ja das dies auch auf die Firmware der im Computer verbauten Hardware (Grafikkarte, Netzwerkarte, Raidcontroller, HDD, SSD, CD/DVD und überhaupt alles was eine eigene Firmware hat) zutrifft. Also einfach gesagt mit aktiviertem Secureboot keine Hardware mehr die nicht über Microsoft digital signiert wurde.


Hm? Sicher, sonst akzeptiert UEFI die Hardware nicht? Ich glaube nicht das es soweit geht. Firmware ist doch immer komplett unabhängig vom Betriebssystem und Treiber werden und sollten immer Signiert sein. Aber auch dort gab es zwar zertifizierte Hersteller, aber ich glaube nicht das MS ausnahmslos jedem Anbieter von Hardware ein Zertifikat verordnet das bei jedem Update Signiert werden muss.

Für entsprechende Sicherheitsbereiche ist das natürlich wünschenswert.

Aber je länger ich über diese Implementierung nachdenken umso mehr kommt mir der Gedanke das hiermit lediglich illegale Kopien von Windows unterbunden werden sollen. Doch ich traue ihnen auch zu das sie für die Signatur noch einmal die Hand aufhalten. Doch das wird bestimmt nicht verpflichtend sein.
Back to top
View user's profile Send private message
casualx
n00b
n00b


Joined: 06 Feb 2012
Posts: 58
Location: switzerland

PostPosted: Wed Aug 15, 2012 12:36 am    Post subject: Reply with quote

am besten wäre es wenn sich ein uefi gremium gründen würde aus microsoft,linux foundation, apple sowie den bsd projekten. was wir user wollen ist demokratie und kein faschistisches konstrukt weder anarchie seitens microsoft!
ich frag mich wie das wohl ausgehen wird und ob microsoft nicht wieder mal den kürzeren ziehn wird am schluss. aus rechtlicher sicht weiss ich nciht wie es aussieht, nur hat ja microsoft schon wegen dem internet explorer ziemlich ärger gehabt( kartellrecht).

desweiteren denke ich werden auch die hardware hersteller auf wiederstand stossen...als beispiel werden serverbetreiber jeglicher art sich nie zwingen lassen einen windows server zu nutzen.
(für den fall das wir alle verarscht wurden und sich ab 21.12.2012 kein linux mehr booten lässt wissen wir wer schuld am weltuntergang sein wird..lol)

jedoch denke ich ist es sache von gnu, der fsf und der linux foundation eine lösung zu finden.
red hat, fedora, canoncial, novel und alle anderen die mit microsoft kollaborieren sind nichts anderes als abschaum!
kopfüber in die hölle mit denen!
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1920
Location: Schweiz

PostPosted: Wed Aug 15, 2012 5:44 am    Post subject: Reply with quote

ChrisJumper wrote:
Hm? Sicher, sonst akzeptiert UEFI die Hardware nicht? Ich glaube nicht das es soweit geht.

Wenn Secureboot aber garantieren soll das vor dem Betriebssystem kein zweifelhafter/unsignierter Code ausgeführt wird muss es aber so funktionieren. Denn sonst könnten sich Viren und der gleichen ja nach wie vor in der Firmware von Hardwarekomponenten einnisten die noch vor dem Start des eigentlichen Betriebssystem initialisiert werden müssen.
Die Firmware eines Raidcontrollers beispielsweise wird ja vom BIOS/UEFI ausgeführt damit diese ihrerseits das Raid initialisieren und an das BIOS/UEFI weiterreichen kann.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3  Next
Page 2 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum