1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › UEFI: Zweifel an Secure-Boot-Lösung…

Einfacheres Secure Boot

  1. Thema

Neues Thema Ansicht wechseln


  1. Einfacheres Secure Boot

    Autor: nautsch 06.06.12 - 19:25

    Was spricht eigentlich dagegen "Secure" Boot folgendermaßen zu gestalten.

    - Beim ersten Boot wird ein kryptografischer Hash und eine Kopie des Bootsektors angefertigt.
    - Ändert sich dieser Hash wird der User gebeten zu verifizieren, dass da tatsächlich etwas neues stehen darf.
    - Ist das nicht der Fall, wird die Kopie wieder hergestellt..

    Ist das so schwer? Wo ist mein Denkfehler?

  2. Re: Einfacheres Secure Boot

    Autor: bstea 06.06.12 - 19:52

    Variante 0: Ich ändere gleich den Bootsektor, keine Kontrolle und gut so.
    Variante 1: Ich gebe mich als Backup aus und spiele ein wenig mit dem Bootsektor damit der Hash nicht mehr stimmt.
    Variante 2: Ich boote einfach von einem anderen Device.
    ...

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  3. Re: Einfacheres Secure Boot

    Autor: nautsch 06.06.12 - 20:09

    Ich bin mir nicht sicher, ob wir uns verstehen. Das waren keine Varianten, sondern einzelne Schritte/Punkte eines einzelnen Verfahrens. Falls doch, dann:

    Variante 0: also kein Secure Boot?

    Variante 1: Dann bekommt der User eine Warnung, und muss misstrauisch werden. Das ist ja der Zweck der ganzen Geschichte. Ändert irgendwer am Bootsektor rum, muss er mir das mitteilen, weil ich sonst den alten Zustand wieder herstelle.

    Variante 2: Verstehe ich nicht. Neuer Bootsektor -> neue Abfrage. Bei CDs/DVDs/USB Sticks kann man sowieso vorher nachfragen.



    1 mal bearbeitet, zuletzt am 06.06.12 20:10 durch nautsch.

  4. Re: Einfacheres Secure Boot

    Autor: bstea 06.06.12 - 21:52

    Secure Boot beginnt nicht erst bei Bootsektor, denn der ist so sicher wie eine offene Haustür.
    Du musst schon vor dem ausführen des Bootloaders sicher sein, dass nichts mod. wurden ist.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  5. Re: Einfacheres Secure Boot

    Autor: SSD 13.06.12 - 09:09

    nautsch schrieb:
    --------------------------------------------------------------------------------
    > Was spricht eigentlich dagegen "Secure" Boot folgendermaßen zu gestalten.
    >
    > - Beim ersten Boot wird ein kryptografischer Hash und eine Kopie des
    > Bootsektors angefertigt.
    > - Ändert sich dieser Hash wird der User gebeten zu verifizieren, dass da
    > tatsächlich etwas neues stehen darf.
    > - Ist das nicht der Fall, wird die Kopie wieder hergestellt..
    >
    > Ist das so schwer? Wo ist mein Denkfehler?

    Ich denke, es soll einfach und schnell möglich sein, die Boot-Software zu ändern.
    z.B. für Kernel-Updates bei Linux-Distributionen oder SPs bei Windows

    Allerdings würde ich auch gerne wissen, ob das jetzt in ersterem Falle bei der Fedora-Lösung überhaupt notwendig ist.
    Wie in einem anderen Thread schon gefragt worden ist:
    Reicht es nicht aus, dass lediglich der Mini-Bootloader signiert ist?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systemadministrator (m/w/d) Exchange / Mobile Kommunikation
    SIS Schweriner IT- und Servicegesellschaft mbH, Schwerin
  2. Entwickler PIM/DAM (m/w/d)
    abilex GmbH, Stuttgart, Berlin
  3. DevOps Engineer (m/w/d)
    e.solutions GmbH, Erlangen
  4. IT-Systemadministrator*in
    Fraunhofer-Einrichtung für Wertstoffkreisläufe und Ressourcenstrategie IWKS, Alzenau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de