Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: "Secure Boot ist…

Welches Problem wird eigentlich gelöst ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welches Problem wird eigentlich gelöst ?

    Autor: dabbes 30.03.13 - 13:10

    Ich sehe in all dem keinen Sinn.

  2. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 13:46

    Hardwarehersteller müssen nun komplexere Treiber schreiben und können endlich mehr Bugs einbauen, die den Rechner endlich auch zerstören, wenn z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit SecureBoot. Ist das nicht toll, dann kaufst du endlich auch mehr Rechner :D

    Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres System ^^

    Nebenbei hast du jetzt den Vorteil eines Smartphone endlich auch für deinen Laptop, du kannst das vorinstallierte System endlich nicht einfach austauschen. Toll oder, hast du dir das noch nie gewünscht ^^ ?

  3. Re: Welches Problem wird eigentlich gelöst ?

    Autor: nille02 30.03.13 - 13:53

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > Hardwarehersteller müssen nun komplexere Treiber schreiben und können
    > endlich mehr Bugs einbauen,

    Was ist an einem Signierten treiber Komplexer oder wo sollen dadurch Bugs auftreten?

    > die den Rechner endlich auch zerstören, wenn
    > z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit
    > SecureBoot.

    Nur hat der Bug nichts mit Secure Boot oder dem Ram zu tun. Es geht um den UEFI Speicher wo das OS Key=Value Daten Ablegen kann.

    > Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen
    > jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres
    > System ^^

    Und das Belegst du womit?

  4. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:16

    "Evil Maid atack" wird damit ziemlich unmöglich gemacht.
    http://www.zdnet.com/blog/security/evil-maid-usb-stick-attack-keylogs-truecrypt-passphrases/4662

    Kurz zusammengefasst man lässt einen Computer mit Festplattenverschlüsselung unbeaufsichtigt zum Beispiel im Hotelzimmer und z.B.: das Zimmermädchen hat Zugriff (daher auch der Name). Jetzt kann der Hacker von einem USB Stick booten (falls das Booten von Fremden medien nicht erlaubt ist könnte natürlich auch die Festplatte ausgebaut werden und mit einem anderem Computer gearbeitet werden), den Bootloader austauschen und dann Malware installieren, die dann Passwörter aufzeichnet. Könnte durchaus sein, dass soetwas im Rahmen von Industriespionage gemacht wird. Im Idealfall hätte man sogar den Microsoft schlüssel entfernt und Benutzt nur seine eigenen, dann währe man relativ sicher gegen diese Art des angriffes (wobei ein Angreifer natürlich auch Kameras im Hotelzimmer anbringen könnte um an das Passwort zu kommen)

    Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da der neue Bootloader nicht signiert ist.

  5. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 14:24

    lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die Infektion.

  6. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:28

    Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop PCs wo es meistens nur ein Jumper ist.

  7. Re: Welches Problem wird eigentlich gelöst ?

    Autor: tingelchen 30.03.13 - 14:35

    > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird
    > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da
    > der neue Bootloader nicht signiert ist.
    >
    Auch hier. Sag niemals nie ;)

    Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit ins UEFI.

    Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach ein Image von dieser und nimmt die 1:1 Kopie einfach mit. Alternativ greift man die Tasteneinschläge von der Tastatur direkt ab. Oder man baut die Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert das System von Hand.

    Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu schützen, wenn der Angreifer physischen Zugriff auf diesen hat.

    Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners führen kann.

  8. Re: Welches Problem wird eigentlich gelöst ?

    Autor: xmaniac 30.03.13 - 14:57

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die
    > Infektion.


    wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

  9. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 15:12

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte
    > ausgebaut wird
    > > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr
    > Booten, da
    > > der neue Bootloader nicht signiert ist.
    > >
    > Auch hier. Sag niemals nie ;)
    >
    > Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der
    > bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder
    > man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit
    > ins UEFI.
    >
    Setzt zugriff auf das BIOS / UEFI Setup vorraus und dass man da einfach dran kommt. Passwort Reset ist bei Notebooks teilweise schon jetzt problematischer, als bei Desktop PCs
    > Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach
    > ein Image von dieser und nimmt die 1:1 Kopie einfach mit.
    Dann hat man eine Kopie einer verschlüsselten Festplatet mit der man nichts anfangen kann.
    > Alternativ greift
    > man die Tasteneinschläge von der Tastatur direkt ab.
    Einbau eines Keyloggers in das Notebook währe tatsächlich noch ein Angriffspunkt. Ist aber je nach Modell schon aufwendiger und man läuft gefahr dass Beschädigungen entstehen, die dann aufffallen. Falls ein Schlüssel auf einem USB Stick benutzt wird statt eines Passwortes (oder zusätzlich zum password) wird es Problematischer
    > Oder man baut die
    > Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert
    > das System von Hand.
    Was willst du da Infizieren bei einem Verschlüsseltem System sieht man nur den Bootloader bzw. bei Linux systemen mit LUKS verschlüsselung sieht man noch /boot aber da könnte man höchstens den kernel oder die initrd manipulieren oder halt den Bootloader, aber wenn man die Manipuliert wird das System nicht mehr starten da sie nicht mehr signiert sind.

    >
    > Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu
    > schützen, wenn der Angreifer physischen Zugriff auf diesen hat.
    >
    Verschlüsselung ist da schon ein relativ sicheres System und in verbindung mit einem vernünftig umgesetzten Secure Boot sogar recht sicher, falls man auch noch den Original Microsoft Schlüssel entfernen kann wird es sogar noch sicherer
    > Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen
    > gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings
    > nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist
    > eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners
    > führen kann.

  10. Re: Welches Problem wird eigentlich gelöst ?

    Autor: a user 30.03.13 - 17:29

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen
    > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop
    > PCs wo es meistens nur ein Jumper ist.
    also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset ;)

    und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne secureboot von usb booten, denn dazu müssten man im normal fall das im bios erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.

  11. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 17:35

    a user schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat
    > einspielen
    > > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > > das BIOS passwort reset in der Regel schon einiges schwerer wie bie
    > Desktop
    > > PCs wo es meistens nur ein Jumper ist.
    > also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset
    > ;)
    >
    bei einigen Notebooks nicht so einfach ;)
    > und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne
    > secureboot von usb booten, denn dazu müssten man im normal fall das im bios
    > erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.
    Na ich gehe für einen sicherheitsgewinn schon von bios einstellungen aus die "Secure Boot Only" im setup gesetzt haben und an das Setup kommt man ohne Passwort nicht sehr leicht ran (klar nicht völlig unmöglich aber schon viel aufwendiger)

  12. Re: Welches Problem wird eigentlich gelöst ?

    Autor: NeverDefeated 30.03.13 - 23:18

    xmaniac schrieb:
    --------------------------------------------------------------------------------
    > k@rsten schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist
    > die
    > > Infektion.
    >
    > wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

    Die Aufregung herrscht nicht nur im Linux-Lager. Mit dieser Technologie ist es ebenfalls möglich Programmierern die Möglichkeit zu nehmen ihren selbstgeschriebenen Code auf ihrem System auszuführen, egal ob das nun ein Windows- oder Linux-System ist. D.h. man müsste als Windows-Nutzer nicht nur beim Hersteller "betteln", wenn man sein Mainboard austauscht und sein altes System weiterverwenden will, sondern sogar um eigenen Code ausserhalb einer virtuellen Maschine testen zu können.

    Eher friert die Hölle zu als das ich mir ein System kaufe auf dem ich keine eigenen Programme mehr schreiben kann ohne bei Microsoft "Bitte, Bitte" machen zu müssen um diese auch wirklich zu nutzen.

    Hinzu kommt, dass es durchaus möglich ist sogar in den Linux-Kernel einen "Wrapper" zu integrieren, der einfach einen Microsoft-Zertifizierungsschlüssel enthält und Linux so auf Secure-Boot-Maschinen laufen lässt. Die Linux-Community will so einen höchst fragwürdigen Ansatz aber nicht im Kernel integrieren, da dieser Microsoft eine Möglichkeit bieten könnte gerichtlich gegen Linux vorzugehen. Es wird also darauf hinauslaufen, dass das Auslesen und Einschmuggeln des Microsoft-Zertifikats von jedem Linux-Nutzer persönlich übernommen werden muss, da es keine legale Handlung darstellt und daher von offizieller Seite nicht angeboten werden kann.

    Solange man SecureBoot abschalten kann, interessiert mich persönlich der ganze Kram aber nicht weiter. Wenn neuere Windows-Versionen bei abgeschaltetem SecureBoot nicht mehr laufen, disqualifiziert sich Windows als Betriebssystem bei mir ganz von selbst und wird nicht mehr eingesetzt werden. Ich werde nicht darauf verzichten meine alten DOS, OS2 und Windows-Versionen weiter zu verwenden und die unterstützen SecureBoot ohnehin nicht. D.h. SecureBoot wird auf meinen Rechnern nie aktiviert sein und was auf einem solchen Rechner nicht läuft kommt gleich in die Tonne.

  13. Re: Welches Problem wird eigentlich gelöst ?

    Autor: Raketen angetriebene Granate 31.03.13 - 01:24

    Du willst uns doch nicht weis machen, dass Secure Boot deshalb entwickelt und eingeführt wird.

    Ich denke, man sollte eher einmal im Smartphone-Sektor nach möglichen Beweggründen gucken.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Wirecard Technologies GmbH, Aschheim bei München
  3. über Hays AG, Karlsfeld
  4. ENERTRAG Aktiengesellschaft, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. (-40%) 17,99€
  3. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. DNS NET: Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s
    DNS NET
    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

    Das neue Netz ist fertig und wird geschaltet. Auch die Preise von DNS:NET und Zweckverband Breitband Altmark sind jetzt bekannt. Die Telekom warnt vor solchen Modellen und will Angst verbreiten.

  2. Netzwerk: EWE reduziert FTTH auf 40 MBit/s im Upload
    Netzwerk
    EWE reduziert FTTH auf 40 MBit/s im Upload

    Wie das geht, einen Glasfaseranschluss zu drosseln, wollten wir von Ewe Tel wissen, und bekamen es heraus: " Glas kann natürlich mehr", hieß es.

  3. Rahmenvertrag: VG Wort will mit Unis neue Zwischenlösung für 2017 finden
    Rahmenvertrag
    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

    Die Proteste und Weigerung der Hochschulen, dem Unirahmenvertrag der VG Wort zuzustimmen, zeigen Wirkung. Die VG Wort will noch in diesem Jahr eine Übergangslösung für 2017 erarbeiten. An der heftig kritisierten Einzelmeldung von Seminartexten will die VG Wort offenbar festhalten.


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48