Warum signiert Red Hat nicht?

Wenn ich das richtig verstanden habe, lässt Red Hat von M$ ja nur einen minimalistischen Bootloader signieren. Der lädt dann ein von Red Hat signiertes Grub2, das einen ebenfalls von Red Hat signierten Kernel lädt. Das Ziel ist ja gerade M$ so wenig wie möglich signieren zu lassen um nur einen Einstieg zu bekommen, um selbst signierten Code zu ermöglichen.

Die Frage die sich nun stellt ist: Warum baut Red Hat nicht selbst einen (kostenlosen) Signierungsdienst auf? Von M$ bleibt nur der Pre-Bootloader signiert, sobald der läuft, kann er jeden beliebigen Code laden der von jeder beliebigen Stelle signiert ist.

Oder? ...

Benutzer wird von Ihnen ignoriert. Anzeigen

weil die Zertifikate von Red Hat im UEFI abgelegt werden müssten, damit das funktioniert. Genau das wird aber wohl mit allen Mitteln verhindert werden...

Benutzer wird von Ihnen ignoriert. Anzeigen

Verstehe ich nicht, das Ziel dabei den Mini-Bootloader von M$ signieren zu lassen, ist doch eigentlich gerade, dass die Zertifikate von Red Hat eben *nicht* auf der Hardware vorinstalliert sein muss. Die Hardwarehersteller sollen also ausdrücklich nicht tätig werden müssen - weil sie das für Linux mehrheitlich wohl nicht tun werden.

Oder kann man mit bereits signierten (= von M$ signierten) Code etwas neue Zertifikate ins UEFI laden? Weil das ändert ja an meinem Vorschlag nichts, dann lädt der Mini-Bootloader eben nicht nur Red Hats Zertifikat sondern alle im Rahmen des Red Hat Zertifikatprogramms ausgestellten Zertifikate in UEFI.

Benutzer wird von Ihnen ignoriert. Anzeigen

der Witz ist ja, dass (ausschließlich?) Microsofts Zertifikate in der Firmware stecken.

Damit secure boot klappt, muss die Signatur des bootloaders zu den Zertifikaten passen.
Wobei sich die Frage stellt, warum Microsoft der direkten Konkurrenz einen Gefallen tun sollte. 99 USD hin oder her...

Benutzer wird von Ihnen ignoriert. Anzeigen

Vanger schrieb:
--------------------------------------------------------------------------------
> Verstehe ich nicht, das Ziel dabei den Mini-Bootloader von M$ signieren zu
> lassen, ist doch eigentlich gerade, dass die Zertifikate von Red Hat eben
> *nicht* auf der Hardware vorinstalliert sein muss. Die Hardwarehersteller
> sollen also ausdrücklich nicht tätig werden müssen - weil sie das für Linux
> mehrheitlich wohl nicht tun werden.
>
Nö, Ziel ist es nicht jede popplige Änderung wieder bei MS einreichen zu müssen, damit die das signieren.

--
http://www.heise.de/open/meldung/Linux-auf-dem-Desktop-Europa-fuehrt-1243708.html
http://www.heise.de/newsticker/meldung/Immer-mehr-Linux-auf-dem-Desktop-1404775.html

Benutzer wird von Ihnen ignoriert. Anzeigen

Ja eben! Tatsächlich von M$ signiert ist nur der Mini-Bootloader, ab diesem Punkt wird Code ausgeführt, den M$ nie zu Gesicht bekommen hat. Es wird also ab diesem Punkt also nur noch von Red Hat signierter Code ausgeführt. Warum sollte man da nicht auch von anderen signierten Code ausführen können?

Ich stelle mir das so vor, dass sozusagen das Zertifikat von Red Hat von M$ "signiert" wird. Was spricht dagegen dass man hier auch noch andere Zertifikate "signieren" lässt?

Benutzer wird von Ihnen ignoriert. Anzeigen

Das Problem dürfte sein, dass man von MS keine Zertifikate zum Signieren anderer Zertifikate signiert bekommen wird. Die signierten Zertifikate werden ausschließlich zum Unterzeichnen von Code gültig sein.

Das Problem dürfte nämlich die Zuständigkeit für das Zurückziehen von Zertifikaten sein. Nehmen wir mal folgenden Fall an: MS signiert RedHat tatsächlich ein Zertifikat mit dessen Hilfe RedHat als Sub-CA auftreten kann. Anschließend signiert RedHat damit für einen Softwareanbieter ein fremdes Zertifikat. Was passiert jetzt, wenn dies ein bösartiger Softwareanbieter ist, der anschließend seinen privaten Schlüssel veröffentlicht, so dass darüber Secure Boot komplett ausgehebelt wäre (weil damit dann jeder beliebigen Code unterzeichnen kann) oder wenn der private Schlüssel anderweitig kompromittiert wird?

In dem Fall muss das Zertifikat zurückgezogen werden, weil sonst Secure Boot wirkungslos wäre (es sind dafür wohl Blacklists vorgesehen, die regelmäßig aktualisiert werden müssen). Spätestens wenn das zwei bis drei Mal passiert ist, wird sich MS die Sache wohl nicht mehr länger anschauen und das Zertifikat von RedHat als "Wurzel des Problems" auf die Blacklist setzen. Und damit steht dann RedHat ohne Zertifikat da - genauso wie alle, die sich ihr Zertifikat von RedHat und nicht direkt von MS haben signieren lassen (ein Schelm, wer denkt, dass MS die Situation vielleicht auch direkt provozieren und ausnutzen könnte). Demzufolge kann RedHat also nur die Verantwortlichkeit für eigenen Code übernehmen und nicht für fremden Code.

Und ganz nebenbei: Ein kostenloser Signierdienst wäre zwar toll - nur wäre das für den Anbieter ein erhebliches Zuschussgeschäft. Vermutlich wird es gewisse Richtlinien geben, die für die Erteilung eines Zertifikates notwendig sind. Zum einen wird die Identität geprüft werden müssen, zum anderen eventuell auch kurz mal geschaut, was da eigentlich für Code zum Zertifizieren vorgeschlagen wird (denn es sollte ja möglichst kein Schadcode sein - sonst wäre das System ja sinnfrei). Dafür braucht es auf jeden Fall Mitarbeiter und die kosten nunmal Geld.

Benutzer wird von Ihnen ignoriert. Anzeigen

Weil das ein Gedankenkonstrukt ist, ab irgendeiner Komponente vertraust du den vorherigen.
Wenn dieses irgendwo beliebig ist, ist SecureBoot zwar irgendwie umgesetzt aber erfüllt eben nicht die Vertrauenskette. Dann bietet es null Sicherheit.
Um das klarzustellen, Secure Boot kann relativ einfach umgesetzt werden, damit es aber seinen Namen verdient, müssen ALLE Komponenten vertrauenswürdig sein, was Beliebigkeit und Austauschbarkeit eben ausschließt. Schließlich will Linux/Red Hat mit Sicherheit werben und nicht das ihr System auch auf dieser Plattform existiert, nur kann man nicht Secure Boot vertrauen.

--
http://www.heise.de/open/meldung/Linux-auf-dem-Desktop-Europa-fuehrt-1243708.html
http://www.heise.de/newsticker/meldung/Immer-mehr-Linux-auf-dem-Desktop-1404775.html

Benutzer wird von Ihnen ignoriert. Anzeigen

kazhar schrieb:
--------------------------------------------------------------------------------
> der Witz ist ja, dass (ausschließlich?) Microsofts Zertifikate in der
> Firmware stecken.
Nur wenn man einen Windows-PC benutzt! Benutzt man einen Linux-PC, steckt das Zertifikat des Linux-Distributors drinnen!

>
> Damit secure boot klappt, muss die Signatur des bootloaders zu den
> Zertifikaten passen.
> Wobei sich die Frage stellt, warum Microsoft der direkten Konkurrenz einen
> Gefallen tun sollte. 99 USD hin oder her...
Weil sie dazu gezwungen werden - von wegen Monopol und so!
Bei Tablets auf ARM-CPU-Basis wird so was eh nicht laufen - da kein Monopol, daher auch keine Notwendigkeit offen sein zu müssen!

(und da Microsoft selbst nun Tablets anbietet, brauchen sie auf diesbezügliche Forderungen nicht mehr eingehen - siehe iPad)

Benutzer wird von Ihnen ignoriert. Anzeigen