Doofe Frage ... aber müsste bei einem Open-Source-Programm nicht auch der private Schlüssel, der zur Signierung des Pre-Loaders verwendet wurde, irgendwo im Repository liegen? Und könnte man als Malware-Hersteller diesen Key nicht einfach verwenden, um Malware zu signieren?
Weiß jemand, wie dies üblicherweise in quelloffenen Projekten gehandhabt wird?
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommt auf die Lizenz an.
Ich glaube wenn es die GPL wäre müssten die Key's öffentlich sein.
Sie werden dann wahrscheinlich eine BSD Lizenz oder ähnliches nehmen die die Weitergabe ohne Quellcode erlaubt.
Benutzer wird von Ihnen ignoriert. Anzeigen
Den Private Key wird Microsoft nicht hergeben, da man sonst damit alles signieren könnte. Der Bootloader bekommt nur eine Signatur, die sich mit dem Public Key überprüfen lässt.
Benutzer wird von Ihnen ignoriert. Anzeigen
Aha, und wie sieht "bekommt nur eine Signatur" dann aus? Erhält der Antragssteller nicht ein Zertifikat (inklusive privatem Schlüssel) unterhalb der Secure-Boot-Root-CA von Microsoft (deren privaten Schlüssel Microsoft natürlich nicht rausgibt)?
Benutzer wird von Ihnen ignoriert. Anzeigen
War das nnicht nur bei GPL3 der Fall und nicht bei der GPL 2?
Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
-- Georg Schramm
Benutzer wird von Ihnen ignoriert. Anzeigen
Nein, natürlich nicht. Was soll der Private Key mit dem Programmcode zu tun haben?
Wäre sonst auch ziemlich blöde.
Benutzer wird von Ihnen ignoriert. Anzeigen
Das mit den Schlüsseln kann schnell komplex werden :) Die einfachste Form sieht so aus. Man erstellt einen CA. Dieser besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche wird an die einzelnen Stellen verteilt. Z.B. Mail Programme, Browser oder in diesem Fall die Mainboard Hersteller. Der private wird natürlich nicht raus gerückt.
Denn mit dem privaten CA Schlüssel können neue Zertifikate ausgestellt werden. Der Antragssteller bekommt nun ein neues Zertifikat, signiert mit dem privaten CA Schlüssel. Dieses landet dann im Boot Loader und kann gegen den öffentlichen CA Schlüssel, gespeichert im EFI, gegen geprüft werden.
Evtl. wird das Zertifikat des Antragsstellers auch noch zusätzlich verschlüsselt und das Passwort mit einem bestimmten Verfahren erstellt. Die Basis könnte z.B. ein Hash Wert des Boot Loaders sein.
So könnte man zum einen verhindern das Fremde, trotz öffentlichen Zugriff, das Zertifikat erhalten und zum anderen, das man diesen Schlüssel nicht für das laden eines fremden Boot Loaders missbrauchen kann. Zumindest nicht so einfach :)
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 830 | letzter Beitrag 00:13 Uhr
Kommentare: 295 | letzter Beitrag 07:53 Uhr
Kommentare: 233 | letzter Beitrag 07:42 Uhr
Kommentare: 156 | letzter Beitrag 02:51 Uhr
Kommentare: 154 | letzter Beitrag 00:04 Uhr
E-Mail an news@golem.de
Der Scanadu Scout ist ein mobiles Diagnosegerät nach dem Vorbild des Tricorders aus der Star-Trek-Serie. Damit lassen sich Blutdruck, Puls, Körpertemperatur, Atemfrequenz, Sauerstoffsättigung und ein Elektrokardiogramm anfertigen. Das Handgerät soll 200 US-Dollar kosten.
Störfeuer von Sony: Kurz vor der Enthüllung der nächsten Xbox hat Sony ein Video veröffentlicht, das zumindest einen verschwommenen Blick auf das Gehäuse der Playstation 4 gewährt.
Google steigt in das Energiegeschäft ein: Das Unternehmen hat Makani Power gekauft, einen Hersteller von Windturbinen. Makani soll ein Teil von Googles Forschungsabteilung Google X werden.
Wer ein gebrauchtes Spiel für die Xbox One verkaufen will, muss damit zum Händler marschieren: Dies berichtet zumindest ein britisches Fachmagazin. Unterdessen verkauft sich die neue Konsole schon sehr gut - und Microsoft verkündet hohe Ziele für seine "alte" Xbox 360.
Lenovos Finanzchef protzt, dass sich der PC-Hersteller jedes Unternehmen, das zum Verkauf steht, auch leisten könnte.
Peter Schaar wendet sich dagegen, dass Jobcenter-Mitarbeiter bei Facebook die soziale Lage der Menschen ausforschen und verdeckt Freundschaftsanfragen senden. Die Bundesagentur für Arbeit sagt, dass das gar nicht möglich sei.