Arch Linux

[SecureBoot] Torvalds: „Das ist hier kein Schwanzlutsch-Wettbewerb!“

Ovion

Naja, nichts ist unknackbar, die Frage ist eher, erschwert UEFI das, was es erschweren soll, so sehr, dass es sich lohnt UEFI zu nutzen? Einen abgeschalteten Rechner mit vernünftiger Festplattenverschlüsselung beispielsweise kannst du zwar knacken, aber nicht mit vertretbarem Aufwand (es sei denn, du hast dich mit den ganz Falschen angelegt, aber dann hast du vermutlich noch ganz andere Probleme).

Creshal

Ovion schrieb(Und OT: wie macht sich Lenovo so in Sachen Mainboard-Firmware-Qualität (ob jetzt selbst oder extern aquiriert)?)

Schwankt. Bei den Pöbel-Notebooks (IdeaPad, SL, L) kannst du es vergessen, die Edge gehen so halb (Thinkpad-Firmware, aber beschnittene Konfigurationsoptionen), die von X/T/W-Thinkpads ist brauchbar.

Workstations… keine Ahnung. Alle ThinkCentres, die ich im Einsatz habe, sind noch aus der BIOS-Ära, und da hab ich das BIOS nie angefasst. Laufen und laufen und laufen und laufen… Im Gegensatz zu unseren Thinkstation E20 (sind ja nur Xeon-Workstations…), die sind ca. 5% Zeit offline, weil Mainboard oder sonst was defekt ist und ich auf Ersatzteile warte. Bei n=3 will ich aber nicht generalisieren (und die sind sowieso ein totaler Fuckup, von der Bestellung bis zur Verwendung…).

Ovion schriebNaja, nichts ist unknackbar, die Frage ist eher, erschwert UEFI das, was es erschweren soll, so sehr, dass es sich lohnt UEFI zu nutzen?

Secure Boot ist ein Werkzeug, und wie jedes Werkzeug kommt es darauf an, wie man es benutzt. 🙂 Festplattenverschlüsselung verschiebt das Problem nur – Malware kann immer noch über den Bootloader eingespielt werden. Bootloader-Austausch ist nicht trivial, aber auch nicht sonderlich schwer. Secure Boot verschiebt das ganze eine Stufe tiefer zur Firmware und den CAs.
Kannst du der Firmware trauen? Vielleicht. Nachdem aber nicht mal die Mainboard-Hersteller es schaffen, funktionierende Firmware zu schreiben, ist die Gefahr eines unbemerkten Firmware-Austauschs nicht so groß (schlampig implementierte UEFI-APIs könnten eventuell Angriffsfläche bieten, k.A. wie weit das durch Secure Boot verhindert werden kann). Wenn die Firmware ausreichend durch das TPM gesichert ist, verschiebt sich das ganze noch eine Stufe weiter auf Hardware-Ebene. Dezeit sind mir keine TPM-Angriffe bekannt; alle Entitäten, die das derzeit realistischerweise umgehen können, können dich auch legal nach Guantanamo stecken, bis du das Passwort verrätst, und kriegen dafür noch einen Friedens-Nobelpreis.

Kannst du den mitgelieferten Microsoft-CAs trauen? Nein (siehe die ganzen SSL/Codesigning-CA-Skandale der letzten drei Jahre). Glücklicherweise kannst du die komplett von deinem System entfernen.
Kannst du deiner selbst erstellten CA trauen? Hoffentlich. 😃

Ovion

Der Hinweis auf Festplattenverschlüsselung bezog sich auch lediglich auf einen Rechner, der nicht anderweitig kompromittierbar ist, als Beispiel für mein "erschweren"-Argument. Man kann derzeit ja meistens problemlos auf /boot rumfuhrwerken, ohne dass das bemerkt wird (wenn richtig gemacht) und so einen kompromittierten Kernel einsetzen. Lediglich, wenn niemand da ist, der den Rechner anfasst (weil der Besitzer keinen Zugriff mehr drauf hat/haben will), ist eine Festplattenverschlüsselung in der Praxis quasi unknackbar (bei vernünftigem Passwort). Wenn ich auf einem kompromittierten System dagegen den Container manuell öffne, dann bin ich natürlich raus.

Zum CA-Problem: Full ACK, deswegen werden die im Falle des Falles definitiv rausfliegen. Was passiert eigentlich, wenn ich alle Zertifikate rauswerfe, kein eigenes einbaue/das abläuft und ich das Zugriffspasswort vergesse? Gibt's da einen Reset-Button oder ist die Hardware im Eimer (würde mich nicht wundern, wenn irgendwelche Hersteller da auf die Idee kommen, sowas zum Einschick-Fall zu machen)?

OT: War die L-Reihe nicht noch den "echten" ThinkPads zugehörig?

Alaska

ich frage mich schon länger was mir als Privatperson UEFI bringt.......ich mach mein Banking noch klassisch per Handschrift und Überweisungsträger (tja, Vertrauen ist immer so eine Sache! ;-) ), ansonsten habe ich alle Sicherheitsrelevanten Daten auf einer externen Platte die ich nur bei Bedarf anstöpsel....zudem nutze ich meinen Rechner nur zum rumspielen mit Software, installier mal diese, mal jene Distri neben Arch, kompilier ein bisschen rum usw.....also, was soll UEFI uns Secureboot auf meinem Rechner! ich kapiers nicht.......vor allem bin ich stolz dass ich mittlerweile seit mehr als 9 Jahren kein M$ Zeugs mehr (privat) benutze....hab denen sogar meine Lizenzen zurückgeschickt :-) und jetzt soll ich einer Signierung von denen mein Vertrauen schenken!?

fireandfuel

Ich finde UEFI mit SecureBoot ist nur ein reines Wettrüsten gegen die Blackhats und Skript-Kiddies. Je besser der Schutz wird, desto besser werden auch die Lösungen um den Schutz auszuhebeln.
Die ganzen Mitglieder des UEFI-Forums unterschätzen wohl das jedes System, selbst wenn es nicht das Internet angeschlossen ist, kompromittierbar ist - spätestens wenn wieder ein große Sicherheitslücke klafft um z.B. System/Admin/Root-Rechte zu kriegen.
Daran wird SecureBoot nichts ändern. SecureBoot ist reine Benutzer-Gängelung, gaukelt nur vorübergehend etwas Schutz vor - menschliches Versagen mit Zertifikaten reicht aus und das Kartenhaus namens SecureBoot stürzt zusammen - und UEFI ist unnötig komplex.

Ich lach mich tot, wenn in den nächsten paar Jahren schon mit dem M$-Key (oder anderen default-vertrauten Keys) signierte UEFI-Schadware verbreitet wird.
Denn es gibt ja jetzt schon signierte Windows-Schadware. SecureBoot und UEFI bietet da eine neue, große Angriffsfläche, da es weiterhin kein offenes System ist.
UEFI hebt zwar ein paar Beschränkungen des BIOS auf, aber man hat mit SecureBoot neue "Sicherheits"-Beschränkungen eingebaut.

Aber es muss ja nicht mal Schadware sein, es reicht schon aus, wenn sich DRM- oder Kopierschutz-Maßnahmen sich ins UEFI krallen.
Bei schlecht implementierten UEFIs kann das vielleicht schon zum "bricken" führen.

Das BIOS hat ausgedient, aber UEFI mit Secure Boot ist nicht der Nachfolger, den ich haben will.
Alternativen gibt es durchaus: Open Firmware und Coreboot + ein Payload. Aber keine davon konnte sich auf dem Desktop-PC/Laptop-Markt durchsetzen.

Wenn ich mir die Liste der wichtigsten Mitglieder des UEFI-Forums anschaue kommt mir das grausen, denn es ist kein einziger Vertreter dabei, dem ich es zutraue die Interessen der (Linux-)Nutzer zu vertreten.
Da bin ich froh, dass ich meine PCs noch vor der beginnenden UEFI-Ära gekauft habe. Die Zukunft von Desktop-PCs sieht sowieso im Moment sehr düster aus.

PS: Linus Ausbrüche sind immer sehr unterhaltend +1.

edit: Typo geändert, Beitrag erweitert.

Ovion

fireandfuel schriebIch lach mich tot, wenn in den nächsten paar Jahren schon mit dem M$-Key (oder anderen default-vertrauten Keys) signierte UEFI-Schadware verbreitet wird.

Ist wahr. Wird vor allem sehr interessant, es reicht ja schon, wenn Microsoft jemandem was ausgestellt hat, der es nicht haben darf oder dem es geklaut wird (finde ich die wahrscheinlicherere Variante) und dann versuch mal den gemeinen Nutzer dazu zu bringen, die interne Schlüsselliste des UEFI mit einem Update zu versehen. Ich weiß ja nicht, wie leicht sowas geht, aber ein BIOS-Update war, wenn ich mich recht erinnere, nichts, was man den einfachen ich-kauf-einen-Fertig-PC-im-Laden-Nutzer machen lässt. Ist ja jetzt schon schlimm, was da teilweise (auch bei Unternehmen) für löchriger, veralteter Kram auf den Maschinen läuft, das wird da wohl eher schlimmer werden (wenn's denn noch schlimmer geht).

Kann ich die Schlüsselverwaltung im UEFI eigentlich aus einem laufenden Betriebssystem heraus machen?

Dirk

fireandfuel schriebIch lach mich tot, wenn in den nächsten paar Jahren schon mit dem M$-Key (oder anderen default-vertrauten Keys) signierte UEFI-Schadware verbreitet wird.

Ich hoffe sehr, dass das passiert!

SecureBoot in seiner jetzigen Form ist ein riesiger Haufen unausgegorener Scheiße (um auch mal Kraftausdrücke zu benutzen *g*).

LessWire

Dirk schrieb
fireandfuel schriebIch lach mich tot, wenn in den nächsten paar Jahren schon mit dem M$-Key (oder anderen default-vertrauten Keys) signierte UEFI-Schadware verbreitet wird.
Ich hoffe sehr, dass das passiert!

Ich kann mir durchaus vorstellen, daß das sogar beabsichtigt ist, um Argumente für eine weitere, viel restriktivere Ausbaustufe zu schaffen, die heute noch nicht akzeptiert werden würde (aber sich bereits abzeichnet).

Man darf den politischen Hintergrund nicht vergessen - so ist durchaus denkbar, daß dieses dem Anwender als "secure boot" suggerierte Verfahren für bestimmte Stellen ein "unsecure boot" ist - es lebe das für diese Kreise endlich standardisierte Hintertürchen! 🙁

Selbst wenn mein Szenario so eintreten sollte, bin ich aber doch noch zuversichtlich, daß es mangels weltweiter Akzeptanz immer auch noch "brauchbare" Hardwarekomponenten geben wird - die Auswahl könnte allerdings kleiner werden.

Creshal

Ovion schriebIch weiß ja nicht, wie leicht sowas geht, aber ein BIOS-Update war, wenn ich mich recht erinnere, nichts, was man den einfachen ich-kauf-einen-Fertig-PC-im-Laden-Nutzer machen lässt.

Hach ja, die naiven Jungspunde, die davon ausgehen, dass Mainboard-Hersteller fehlerfreie Update-Komponenten schreiben können… 😃
Bei den meisten Mainboards ist einfacher, es direkt einzuschicken. Spart dir den Updateversuch und die anschließenden Wiederbelebungsversuche.

Kann ich die Schlüsselverwaltung im UEFI eigentlich aus einem laufenden Betriebssystem heraus machen?

Soweit ich weiß nicht.

Ovion

LessWire schrieb Selbst wenn mein Szenario so eintreten sollte, bin ich aber doch noch zuversichtlich, daß es mangels weltweiter Akzeptanz immer auch noch "brauchbare" Hardwarekomponenten geben wird - die Auswahl könnte allerdings kleiner werden.

Hoffen wir's. Ist auch nicht allzu dramatisch, wenn es denn nur die RICHTIGE Hardware ist, die noch "brauchbar" ist. Beim neuesten 150€-Netbook vom Aldi ist's mir eigentlich herzlich wurscht (wobei das Medion und damit mittlerweile Lenovo ist, und gerade die wären echt schön blöd, wenn sie's sich mit der freie-Systeme-Gemeinschaft verscherzen, aber ich denke, mein Punkt wird deutlich 😉).

Besagte Hintertür brauchst du übrigens gar nicht einbauen. $BeliebigeInstitution lässt sich von MS signieren und schon hast du deine Tür.

Creshal schriebBei den meisten Mainboards ist einfacher, es direkt einzuschicken. Spart dir den Updateversuch und die anschließenden Wiederbelebungsversuche.

Ach jemine, bin grad ganz froh, dass ich nie in die Notwendigkeit gekommen bin, ein BIOS zu updaten. War das nicht so, dass man bei einem fehlerhaften Update den ROM-Baustein (schon faszinierend, dass man auf einem Read-Only-Baustein schreiben kann) das ganze Board wegwerfen kann?

[gelöscht]

Ovion schrieb
Creshal schriebBei den meisten Mainboards ist einfacher, es direkt einzuschicken. Spart dir den Updateversuch und die anschließenden Wiederbelebungsversuche.
Ach jemine, bin grad ganz froh, dass ich nie in die Notwendigkeit gekommen bin, ein BIOS zu updaten. War das nicht so, dass man bei einem fehlerhaften Update den ROM-Baustein (schon faszinierend, dass man auf einem Read-Only-Baustein schreiben kann) das ganze Board wegwerfen kann?

Früher ja.

Inzwischen gibt es aber auch Boards mit zwei Flash-ROMS. Das erste kann aktualisiert werden und das zweite dient als Fallback, falls das erste mal kaputt aktualisiert wurde. :-)

Dirk

Wieso machen eigentlich alle immer so ein Mysterium um BIOS-Updates? Diskette/CD/USB-Stick mit draufkopiertem Image (gibt sogar Tools für Windows, um das Medium vorzubereiten) einlegen, Rechner rebooten, vom Medium starten, warten, bis die Kiste auffordert, das Medium zu entfernen und zu rebooten, fertig.

Ich hatte noch nie ein BIOS-Update, das aufwendiger war – oder gar schiefgelaufen ist. Da habe ich neulich viel mehr gekotzt, als ich die Firmware meiner DSLR updaten wollte: Es gibt ein Tool, das läuft nur unter Windows (kein WINE, keine VM, nichts!), und braucht Adminrechte.

Creshal

@Lycanthropist: Dass du so etwas brauchst, sagt schon alles über die Qualität der Updates… und so weit verbreitet ist das auch nicht (bspw. Notebooks, die dank ACPI-Fuckups noch am ehesten Updates brauchen).

@Dirk: Kauf mal ein 300€-Notebook (oder ein 70€-G4m0r-Mainboard) und versuchs da. Meistens wird da kein Flashen via Boot-Disk unterstützt, und die Windows-Tools funktionieren nie so, wie so sollen…

Ja, klar, bei richtiger Hardware funktionierts einwandfrei. Das ist aber auch die, die normalerweise keine Updates braucht, weil alles so läuft. Und einen gefühlten Marktanteil von 0,1% hat…

totschka

Gestern erst auf nem ASRock-Ersatzboard (~40€ ;-) ) BIOS aktualisiert, das Update auf 'nen FAT-32-Stick geschoben und die Flash-Funktion des BIOS gestartet, null Problemo. Einfacher gehts wohl kaum.
Bei der Gelegenheit scheint mir überlegenswert, generell ein Board (oder zwei, drei) als Reserve hin zu legen, um allen Secure-Boot-Eventualitäten aus dem Wege zu gehen. ;-) Mit dem passenden System + Desktop kommt man schon noch ein paar Jahre hin.

Dirk

totschka schriebBei der Gelegenheit scheint mir überlegenswert, generell ein Board (oder zwei, drei) als Reserve hin zu legen, um allen Secure-Boot-Eventualitäten aus dem Wege zu gehen. ;-)

Prinzipiell ist SecureBoot eine nette Sache. Man signiert sich Bootloader und Kernel, und nur DIESE starten dann auch: Keine Rootkits, die alles in eine VM schieben (vgl. Blue Pill damals) mehr möglich – jedenfalls nicht so ohne weiteres. Für „uns“ ist das kein Problem, „wir“ können (aktuell zumindest – ob MS das irgendwann mal den Herstellern anders Aufdrückt – wer weiß) jederzeit beliebig Keys hinzufügen und löschen. Das ganze Drama betrifft tatsächlich nur die bei Auslieferung mit Windows kompromittierten Systeme.

Macron

Dirk schrieb Das ganze Drama betrifft tatsächlich nur die bei Auslieferung mit Windows kompromittierten Systeme.

Hihi...
Der war gut! Ich muss zugeben ich musste mir ein LOL schon verkneifen...

Wird Zeit das mein Persönlicher Pinguinknecht bald auch meinen Flugsim incl Dongle essen mag damit ich die ekelhafte 7 auch noch loswerd 😉

MfG

remo

hihi Macron ich musste dat lol auch verkneifen =)

totschka

Dirk schriebDas ganze Drama betrifft tatsächlich nur die bei Auslieferung mit Windows kompromittierten Systeme.

Steht der unter Creative Commons? Dann könnten wir den nachnutzen. Ich nenne auch brav Deinen Namen... :-D

[gelöscht]

Creshal schrieb@Lycanthropist: Dass du so etwas brauchst, sagt schon alles über die Qualität der Updates… und so weit verbreitet ist das auch nicht (bspw. Notebooks, die dank ACPI-Fuckups noch am ehesten Updates brauchen).

Ich habe doch gar nicht gesagt, dass ich sowas brauche. Ich meinte nur, dass es sowas gibt. ;-) Bei mir ist noch nie ein BIOS-Update schief gegangen. :-)

Dirk

totschka schriebSteht der unter Creative Commons?

CC-BY-SA wie alles von mir 🙂

« Vorherige Seite