UEFI, Windows 8 og Linux

Du kan starte med at læse denne tråd:
http://www.linuxin.dk/node/18854

Jeg mener der har været et par stykker mere af samme slags.

Ja det var en skør tråd, tænk at blive anklaget for at være en troll, når man gør opmærksom på SB er en vigtig sikkerhedsfeature!

Sjovt nok er Linus Torvalds enig med mig.
http://www.youtube.com/watch?NR=1&feature=endscreen&v=j7X1EuOfKfg
tid: 29:25.

#0: Det store spørgsmål er imidlertid, om det er et problem for Linux samfundet, og om det kræver et klart svar.

Det er der intet reelt der tyder på, ligesom EFI findes på Macintosh, og man udmærket kan dualboote på sådan en.

Jeg har lige fornyligt købt en spritny Asus UX31 Zeenbook med UEFI, og UEFI er ikke engang standard aktiveret.

På den anden side er det ikke til at vide om den senere standard aktiveres, men det er nærmest utænkeligt at UEFI ikke stadig skulle kunne deaktiveres.

Siden dit udgangspunkt er statskundskab, hvilke love skulle tillade at konkurrende systemer forhindres på hardware (og software) produceret af tredjepart? Monopollovene er så vidt jeg kan se en forhindring,

Der er ingen tvivl om at Microsoft benytter sig af uacceptabel adfærd, men de er før idømt betragtelige bøder stadfæstet af eksempelvis EF domstolen. Mange kan sikkert huske at de forsøgte at forhindre tredjepart Media Players, og der har også været vrøvl med deres forståelse vedr. Internet Explorer m.f ...

Hvis det sker igen i forbindelse med UEFI er problemet så meget større, så spørgsmålet er om Microsoft ikke snart har lært lektien, eller de vil tage chancen og dermed kompromittere deres integritet endnu en gang.

http://www.bl-law.dk/home.asp?ContentID=305

#3: ligesom EFI findes på Macintosh, og man udmærket kan dualboote på sådan en.

Men så er "Secure Boot" vel også slået fra? Det er jo det springende punkt

I stedet for at diskutere om konceptet i Secure Boot er godt/skidt, så lyt til en af dem, der prøver at få linuxkernen til at virke sammen med UEFI, herunder Secure Boot.

http://www.youtube.com/watch?v=V2aq5M3Q76U (det første kvarter er det mindst spændende, fra 18 minutter inde går det for alvor i gang, og Secure boot med tilhørende nøgle-rod starter 30 minutter inde.

Så vidt jeg husker var der følgende pointer i Garrets præsentation

UEFI indeholder tilsyneladende MEGET kode (nærmest komplet styresystem der kun mangler audio device drivers) og mange bugs, der skal arbejdes udenom fra Linux's side. Secure Boot ser ud til at blive ufravigelig aktiveret på maskiner til Windows 8, men der er stadig ikke nogen praktisk måde at få linux-kerner godkendt så de accepteres af EFI/SB, så man fx kan boote en live CD. Hvordan nøglerne håndteres er ikke afklaret.

Det største problem bliver for almindelige mennesker, der ikke er så stærke i at få software de aldrig har prøvet før, til at virke, og som derfor vil have svært ved at deaktivere Secure Boot for at installere en linux-distro.
Hvordan man slår Secure Bott fra i UEFI kan være meget forskellig fra maskine til maskine (det er op til pc-producenterne), så man kan frygte at det bliver svært at vejlede folk til at deaktivere Secure Boot.

#4: Det største problem bliver for almindelige mennesker, der ikke er så stærke i at få software de aldrig har prøvet før, til at virke, og som derfor vil have svært ved at deaktivere Secure Boot for at installere en linux-distro.
Hvordan man slår Secure Bott fra i UEFI kan være meget forskellig fra maskine til maskine (det er op til pc-producenterne), så man kan frygte at det bliver svært at vejlede folk til at deaktivere Secure Boot.

Tough luck. Det er jo bare et problem der må håndteres på bedste vis. Sikkerhed bør vinde over nogle særinteresser for en OEM-løs marginalplatform.

Lidt - off topic.

Jeg har med vilje ladet være med at blande mig i alt snavs der har været kastet rundt med herinde på det seneste, men som kun bruger af open source har jeg svært ved at finde ud af jeres intentioner her inde.

Vil I ha' folk til at bruge open source eller skræmme dem vær fra det ? Det spørgsmål dukker op i flere former:

Hvis man bliver ved at bekrige sig selv er det mere dårlig underholdning på lige fod "Paradise hotel" og lign. end en anbefalig af noget man føler for og gerne vil dele med andre ?

Hvis i gerne vil dele, er det så også med jævne menesker - for så er der nogen herinde der godt kunne trænge til i kursus i at lytte - eller vil I kun dele med folk med større indsigt i software og dets opbygning, for så er det helt fint, men så burde I måske erkende at I har et forum kun for proffer og semi-proff's og så gøre opmærksom på det!! -

Lidt on topic:

Taget i betragtning at man trods at har købt og betalt sit hard-ware, har jeg svært ved at kapere indlæg som ligefrem prøver at blåstemle UEFI på et open source forum.
Hvis man prøver at drage paraleller til andre former for hard-ware vi bruger i vores dagligdag og med den samme form for logik, skal vi så også ende med vaskemaskiner med automatisk sæbeindtag fra nogle specialdesignede containere, der fysisk blokerer alle mærker sæbepulver som ikke har licens med fabrikken - under påskud af at andre mærker skader maskinen ?

Jeg ved godt der ikke findes open source sæbe, men i mine øjne lige tåbeligt.

#6: Taget i betragtning at man trods at har købt og betalt sit hard-ware, har jeg svært ved at kapere indlæg som ligefrem prøver at blåstemle UEFI på et open source forum.

Så må skrive mails til såvel Matthew Garrett(ham der ved mest om HW-management i Linux) og Linus Torvalds(Linux-manager). Jeg tror ikke de lytter med herinde. Jeg er sikker på at de vil finde dine argumenter meget vægtige..

Hilsen en der for fremtiden vil placere sine køb der hvor man kan få linuxkompatibel Secure Boot.

#7

En slet skjult hån - eller hvordan skal jeg tolke det svar ?

Nej, glem det - det ender bare fuldkomment ukonstruktivt.

#8: En slet skjult hån - eller hvordan skal jeg tolke det svar ?

Du skal tolke det sådan at SB ikke er en sort/hvid diskussion, hvor vi skal trampe i flok mens vi råber retrosvinere mod Microsoft. Hvis du mener der skal være en fællesholdning hos "open source", så han jeg anvist dig de to gutter der nok har flest meritter. Overbevis dem, så er jeg også overbevist.

Indtil da vil jeg tillade mig at have den nuancerede holdning at mit hardware hellere end gerne må have en sikkerhedsfeature der forhindrer rootkits i at rykke min linuxkerne rundt førend den er bootet.

#4
#6
Jeps,, Secure boot betyder mindre frihed slutbrugeren, om de kommer til at savne den er en anden sag.

#5
tilliden bliver bare flyttet. Frihed burde ikke være en særinteresse
og sikkerheds argumentet kan du erstatte med retro vittigheden om at støbe din PC ned i cement.

#7
ja det bliver sjovt at rode efter gammelt lort på ebay hva.

#9
Ja for rootkits er vitterligt min største bekymring , især når de 4 billiarder (JA OVERDRIVELSE) linies lortekode (se en hvilken som helst talk om EFI fra folk der har set på det uden at være under NDAs) der er EFI er umugeligt at få til at eksekvere arbitrær kode, men det kan vi jo stole på fordi det er signed af MS eller hvad ?

Men det er slf rigtigt er vi er nogle idiotiske freetard hippie kommunist galninge der ikke har set lyset igennem vores windows og derfor er komplet irrelevante , 0.1% markedsandel betyder intet i denne verden.

Og det er dermed også sandt at folk er pisseligeglade med , folk der whiner på diverse tosse foras.

#10: Og det er dermed også sandt at folk er pisseligeglade med , folk der whiner på diverse tosse foras.

I kan jo starte med at argumentere så Matthew Garrett og Linus Torvalds tager det alvorligt. Lige nu er det dem der forsøger at lære jer noget. Også er der nogle af os der havde lært det for lang tid siden...

Rootkits er umiddelbart den største trussel der findes på Linux, og det skal der selvfølgelig gøre noget ved!!

#11:

I kan jo starte med at argumentere så Matthew Garrett og Linus Torvalds tager det alvorligt. Lige nu er det dem der forsøger at lære jer noget. Også er der nogle af os der havde lært det for lang tid siden...

Linus er formentligt ligeglad fordi han selv er en af de oplyste forbrugere og fordi han ser kernen som sit projekt og det er ligemeget hvordan og hvor den bliver anvendt fra hans synspunkt bare den bliver brugt. Det er ikke et spøgsmål om teknisk implementasion og Linus er ikke kendt for at stille sig op og råde vagt i gevær over den slags.

Hvad er det du mener de skal gøre ? Brokke sig til OEMs eller MS , skal de gøre anderledes end hvad end Redhat har prøvet ?

Også er der nogle af os der havde lært det for lang tid siden...
lært hvad ?
At IT mæssig frihed ingen prioritet har blandt den almene befolkning ?
At man som "oplyst" forbruger bør vide hvor man skal lægge sine spareskillinger til hardware ?
At fordi telefoner som hardware er en jungle bør desktop og server PCer også være det ?

Rootkits er umiddelbart den største trussel der findes på Linux, og det skal der selvfølgelig gøre noget ved!!
Det er en vittighed ikke,, eller lidt benzin på bålet,, kært nok

Den gode side af denne sag kunne være hvis der dukkede OEM support op for Linux og FOSS af nød og tvang.

#12: Det er en vittighed ikke,, eller lidt benzin på bålet,, kært nok
Der er intet brændbart her. Det er en ros til kernen, dens sikekrhed er idag mere truet under boot end under drift. Pga. rootkits... Det er ikke alle kerner jeg vil tale så pænt om..

nej ,, en af dem jeg stoler mindre på er UEFI.

der er hele userspace stakken som har en mængde sikkerheds svagheder og så er der de daemons der lytter og de privilegier den eksekverende user har i sit miljø.

Jeg ville være langt mere bekymret for min browser på min desktop, den er eksekverings miljø for adskellige turing komplette sprog, selv css3 + html5 kan du lave voldsomt ballande med, og så er der java javascript , flash og diverse plugins , og Chromes eller firefoxes sandkasser har jeg ikke megen tillid til endnu .

#4: Men så er "Secure Boot" vel også slået fra? Det er jo det springende punkt. I stedet for at diskutere om konceptet i Secure Boot er godt/skidt, så lyt til en af dem, der prøver at få linuxkernen til at virke sammen med UEFI, herunder Secure Boot.

Ja det er klart. Det er vel folks egen sag om de vil have den slået til som standard, i hvert fald indtil videre.

Også forventeligt at Linux kernels kommer til at fungere med UEFI. Indtil videre har jeg svært at se problemet, med mindre naturligvis at MS kvajer sig iht monopol lovene. Heller ikke det er jeg nervøs for. Gør de det kommer der konsekvenser for dem selv.

Jeg har ikke fuldt meget med i alt det her.

Men som jeg kan forstå det så betyder det at SB skal være slået til for at jeg kan boote Windows 8.

Jeg er 100% linux bruger og mine pcer kører alle sammen kun et system.

Er der nogen der kan forklare mig hvilken effekt det præcist vil have på mig som bruger?

Med SB vil du kunne verificere at du booter din kerne uden rootkits.

Ps. Det vil du gerne.

secure boot er en glimrende idé, såfremt brugeren er i kontrol over nøglerne der bruges.

#17: Med SB vil du kunne verificere at du booter din kerne uden rootkits.

Ps. Det vil du gerne.

PPS: Men det kan man ikke endnu - og man vil slet ikke kunne, hvis man selv har kompileret kernen.

#18:
Amen.

Større sikkerhed, der virker i praksis, er naturligvis velkommen. Men kan EFI virkelig stoppe rootkits som tiltænkt?

Om selv at signere kerner
Hvis jeg selv har en privat nøgle på min PC, som jeg kan signere min egne kerner med, og få "Secure Boot" til at acceptere, hvorfor kan et rootkit så ikke også signere en inficeret kerne, eller inficere kildekoden til kernen, og dermed få mig til at compile og singere en kerne med indbygget trojansk ondsindet kode? Såfremt min PC er bliver inficeret gennem huller i de programmer der åbner data jeg får ind via web-surfing.

Blind tillid
Når kernen er bootet, hvordan ved den så at der ikke kører ond kode i EFI eller kernen?
Matthew Garrett siger at EFI bare sætter en bit høj når EFI tror sig sikker. Men en inficeret EFI kan bare gøre det samme, for der er ikke nogen måde at verificere det.
Secure Boot er ikke en ny "Trusted Computing" (TPM), og det var en af de myter som Matthew Garrett ville aflive. Det siger han da i videoen på http://www.youtube.com/watch?v=V2aq5M3Q76U&feature=player_detailpage#t=…

Udsagnet "Med SB vil du kunne verificere at du booter din kerne uden rootkits" strider da vist mod Garrets udsagn, eller hvad? (For når først ondsindet kode er eksekveret, kan det bilde resten af systemet hvad som helst ind.)


Cost/benefit
Jeg tolker Garrets præsentation sådan at der er stor risiko for at alt det arbejde der ligges i EFI, kun gør det lidt sværere at ligge vira ind i OS-kernerne, men ikke umuligt.

Secure Boot kan kun virke som den sidste barriere og inderste forsvarsværk, så hvorfor ikke forstærke frontlinjen i vores web/mail/chat/kontor-programmer og at forhindre fx en kompromiteret webserver i at rette i filer der er kritiske for systemet men irrelevante for web-servicen (såsom SELinux)?

Posted den: 16. Februar 2012 - 2:44 #20

Der er naturligvis allerede teorier om UEFI hash på nettet ...

http://www.google.dk/search?sourceid=chrome&ie=UTF-8&q=uefi+hash

Der er nye SHA standarder på vej, og fordi emnet UEFI Secure Boot endnu er for nyt, så er det rimeligt tidligt at udtale sig definitivt.

Det afholder som bekendt ikke mindre eftertænksomme individer i at snakke løs, men det er endnu klogt at forholde sig afventende.

#20: Har #17 mon misforstået noget?

Forudsætningen for at jeg har taget fejl er at jeg har skrevet noget forkert. Påstanden var: "Med SB vil du kunne verificere at du booter din kerne uden rootkits."

Ikke at:
Alt er sikkert
SB kan verificere UEFI.
UEFI kan verificere SB.
SB kan verificere SB.
UEFI kan verificere UEFI.

Så vil jeg lade dig svare på om jeg har misforstået noget. Det er da utroligt at man ikke kan skrive en linie, også skal man afkræfte 5!