1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › UEFI: Zweifel an Secure-Boot-Lösung…

Nennt mich altmodisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Nennt mich altmodisch

    Autor: lala1 06.06.12 - 18:10

    Aber der Secureboot Kram ist doch neumodischer Schwachsinn. Wozu brauche ich sowas, wenn ich ein gutes Unixsystem mit einem ordentlichen Sicherheitskonzept habe? Ich meine die Unixsystem der Welt haben kein Problem mit Viren und wenn überhaupt dann nur im Useraccount. Hat man höhere Sicherheitsansprüche reichen SELinux Kernelerweiterungen oder ähnliches aus.
    Außerdem ist mir nicht ganz wohl dabei ein Betriebssystem unter meinem Betriebsystem laufen zu haben auf das ich keinen Zugriff haben UND wenn ich an die letzten Eskapaden von Microsoft mit den Zertifikaten denke (mein Güte da konnte man mit einer Terminalserverfunktion Binarys unterschreiben) wächst mein Vertrauen in zertifikatbasierte Sicherheit nicht gerade sondern eher das Gegenteil passiert.
    Das ist in meinen Augen alles hahnebüchner Unsinn der hinten und vorne nicht richtig gehen wird, missbraucht wird um irgendwelchen DRM Quatsch umzustezen und man hat hintenrauß außer mehr Arbeit nichts weiter.

  2. Re: Nennt mich altmodisch

    Autor: hab (Golem.de) 06.06.12 - 18:18

    Naja, das setzt ja an einer völlig anderen Stelle an als selinux.

    Ganz blöd ist das vom Grundkonzept nicht: Die Hardware überprüft, ob die Software, die sie startet, korrekt ist.

    Man könnte es auch ohne Probleme so implementieren dass es völlig unproblematisch ist. Man müsste nur dafür sorgen, dass der User selbst Kontrolle darüber hat, welche Schlüssel installiert sind. Das könnte etwa ein Knopf sein, wenn der beim Booten gedrückt wird wird ein Schlüssel von CD oder USB installiert. Distributionen könnten ihre eigenen Schlüssel auf die CD packen. User, die lieber selbst was basteln, können ihre eigenen Schlüssel installieren.

  3. Re: Nennt mich altmodisch

    Autor: Wahrheitssager 06.06.12 - 18:26

    > Ganz blöd ist das vom Grundkonzept nicht: Die Hardware überprüft, ob die Software, die sie startet, korrekt ist.

    Klingt für mich nach einer idealen potentiellen Zensurinfrastrukturmaßnahme.

  4. Re: Nennt mich altmodisch

    Autor: JoyntSoft 06.06.12 - 18:33

    Wenn ich mich nicht irre, ist das Konzept aber für'n A.., weil die Stelle, welche die Software zertifiziert (hier: Microsoft), kompromitiert ist.

    Kann sein, dass ich mich irre, aber ich meine gelesen zu haben, dass z.B. Flame über's Windows-Update verteilt wurde.

    Also "sicher" würde ich _das_ nicht nennen wollen.

    :D

  5. Re: Nennt mich altmodisch

    Autor: Casandro 06.06.12 - 18:51

    Ich denke, der große Irrtum ist, dass hier eine Überprüfung auf Korrektheit stattfindet. Es wird lediglich überprüft ob der Autor der Software sein Lösegeld gezahlt hat oder nicht.

    Ein Zertifikatssystem verlangt, dass man einer externen Stelle vertrauen muss. Es schafft keine zusätzliche Sicherheit.

  6. Re: Nennt mich altmodisch

    Autor: bstea 06.06.12 - 19:16

    Wie soll dein Konstrukt mit einem Public Key Verfahren vereinbar sein?

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  7. Re: Nennt mich altmodisch

    Autor: derats 06.06.12 - 22:30

    Bei einem PC musst _du_ in der Lage sein die Rootschlüssel ändern zu können. Sonst gibts kein Win8-Logo. Somit kannst du dir dein eigenes Cert erzeugen, den Schlüssel davon in dein UEFI eintragen (und alle anderen löschen), damit _deinen_ Bootloader signieren und voila.

    Wo ist das Problem? _Wenn_ man basteln will, kann man's auch.

    Das Problem hier ergibt sich nur für Massen-Deployment von großen Distros. Weil das normale Menschen nicht können/wollen.

  8. Re: Nennt mich altmodisch

    Autor: Moe479 07.06.12 - 07:13

    nenn mich noch altmodischer, bei dos-winxp gings ohne warum jetzt nichtmehr?

    ich mein die ganze cert-scheisse ist doch fürn popo wenn immer alles und garnichts ohne wirkliche tiefenprüfung zertifiziert wird hat es keinen praktischen mehrwert.

  9. Re: Nennt mich altmodisch

    Autor: seta 12.06.12 - 22:06

    Das ist eine dieser Situationen wo ich irgentwo zwischen Weinkrampf und aprupten Suizid stehe. Nur um das mal auch für den letzten Affen verständlich zu machen.

    Wenn ich ein eigenes Betriebsystem schreibe, und es auf meinen Computer installieren will (ohne an der Hardware/Bios rumzubasteln, bei jeder Maschine) muss ich 99$ zahlen!

    Das ist ein sehr sehr sehr sehr kranker schritt.

    Und keiner kann mir erzählen das SecureBoot immer abschaltbar bleiben wird, das haben sie nur gesagt um leute wie mich zu beruhigen...

    Das schlimme daran ist ja, das ist sowas wie bei Patenten / Überwachung und co. Wenn es einmal da ist, wird man es ohne totalen zusammenbruch kaum mehr wieder los....

  10. Re: Nennt mich altmodisch

    Autor: derats 13.06.12 - 13:42

    Es wird immer abschaltbar bleiben.

    Es gibt mehr als genug Firmen, die ein Interesse daran haben, dass sie sich nicht mit dem Crypto-Kram rumschlagen müssen. Dazu kommen noch Unis und öfftl. Betriebe. Und alle Frickler. Microsoft wird ihre Logo-Spez. nicht ändern. Den Imageverlust wollen sie sich nicht leisten...

  11. Re: Nennt mich altmodisch

    Autor: SSD 18.06.12 - 19:41

    derats schrieb:
    --------------------------------------------------------------------------------
    > Es wird immer abschaltbar bleiben.
    >
    > Es gibt mehr als genug Firmen, die ein Interesse daran haben, dass sie sich
    > nicht mit dem Crypto-Kram rumschlagen müssen. Dazu kommen noch Unis und
    > öfftl. Betriebe. Und alle Frickler. Microsoft wird ihre Logo-Spez. nicht
    > ändern. Den Imageverlust wollen sie sich nicht leisten...

    Was macht dich da so sicher? Microsoft konnte schon viel durchboxen und wird es auch da können - vorausgesetzt es will.
    Und was heißt da, den Imageverlust wollen sie sich nicht leisten?
    Den Imageverlust hätten sie schon jetzt, wenn es jemanden kümmern würde ...
    (mich kümmert es und für mich gab es auch schon einen Imageverlust von MS)
    Denn die, die sich wirklich aufregen, sind und bleiben doch eh nur 'Freaks' und damit in der kleinen Minderheit. Ist leider so und daher darf man RestrictedBoot nicht kleinreden.

    Wenn es wirklich gesichert wäre, dass es (auch in Zukunft; z.B. per einfachem Knopfdruck) abgeschaltet werden kann, dann wäre ja eigentlich alles in Ordnung ...

    Wieso sollten sich eigentlich gerade Unis und öffentliche Betriebe gegen RestrictedBoot wehren (die Frickler können sowieso niemanden aufhalten)?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Consultant (m/w/d)
    Bistum Augsburg, Augsburg
  2. Java Softwareentwickler (m/w/d)
    SCHUFA Holding AG, Wiesbaden
  3. IT Consultant (m/w/d) S / 4HANA - Produktionslogistik
    Schaeffler Technologies AG & Co. KG, Nürnberg
  4. IT-System- und Anwendungsbetreuer (m/w/d)
    Stadt Freising Personalamt, Freising bei München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. DeepCool RF 140 2in1 140x140x26 Gehäuselüfter für 24,99€, NZXT H210 Tower für 74...
  2. (u. a. Winkelschleifer GWS 24-230 JH für 112,86€, Säbelsäge GSA 1100 E für 100,83€, Laser...
  3. (u. a. Chromebook 14 Zoll Full HD 64GB eMMC für 229€, Chromebook Convertible 13 Zoll Full HD...
  4. (u. a. Battlefield 5 für 5,99€, Titanfall 2 für 7,99€, Dead Space 2 für 4,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de