1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Windows 8 und RT: Linux Foundation…

Private Key & Open Source

  1. Thema

Neues Thema Ansicht wechseln


  1. Private Key & Open Source

    Autor: Kaliumhexacyanoferrat 12.10.12 - 10:21

    Doofe Frage ... aber müsste bei einem Open-Source-Programm nicht auch der private Schlüssel, der zur Signierung des Pre-Loaders verwendet wurde, irgendwo im Repository liegen? Und könnte man als Malware-Hersteller diesen Key nicht einfach verwenden, um Malware zu signieren?

    Weiß jemand, wie dies üblicherweise in quelloffenen Projekten gehandhabt wird?

  2. Re: Private Key & Open Source

    Autor: mc-kay 12.10.12 - 10:38

    Kommt auf die Lizenz an.
    Ich glaube wenn es die GPL wäre müssten die Key's öffentlich sein.
    Sie werden dann wahrscheinlich eine BSD Lizenz oder ähnliches nehmen die die Weitergabe ohne Quellcode erlaubt.

  3. Re: Private Key & Open Source

    Autor: kabbalah 12.10.12 - 11:00

    Den Private Key wird Microsoft nicht hergeben, da man sonst damit alles signieren könnte. Der Bootloader bekommt nur eine Signatur, die sich mit dem Public Key überprüfen lässt.

  4. Re: Private Key & Open Source

    Autor: Kaliumhexacyanoferrat 12.10.12 - 11:16

    Aha, und wie sieht "bekommt nur eine Signatur" dann aus? Erhält der Antragssteller nicht ein Zertifikat (inklusive privatem Schlüssel) unterhalb der Secure-Boot-Root-CA von Microsoft (deren privaten Schlüssel Microsoft natürlich nicht rausgibt)?

  5. Re: Private Key & Open Source

    Autor: Thaodan 12.10.12 - 11:48

    War das nnicht nur bei GPL3 der Fall und nicht bei der GPL 2?

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

  6. Re: Private Key & Open Source

    Autor: honk 12.10.12 - 19:10

    Nein, natürlich nicht. Was soll der Private Key mit dem Programmcode zu tun haben?

    Wäre sonst auch ziemlich blöde.

  7. Re: Private Key & Open Source

    Autor: tingelchen 13.10.12 - 14:24

    Das mit den Schlüsseln kann schnell komplex werden :) Die einfachste Form sieht so aus. Man erstellt einen CA. Dieser besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche wird an die einzelnen Stellen verteilt. Z.B. Mail Programme, Browser oder in diesem Fall die Mainboard Hersteller. Der private wird natürlich nicht raus gerückt.

    Denn mit dem privaten CA Schlüssel können neue Zertifikate ausgestellt werden. Der Antragssteller bekommt nun ein neues Zertifikat, signiert mit dem privaten CA Schlüssel. Dieses landet dann im Boot Loader und kann gegen den öffentlichen CA Schlüssel, gespeichert im EFI, gegen geprüft werden.


    Evtl. wird das Zertifikat des Antragsstellers auch noch zusätzlich verschlüsselt und das Passwort mit einem bestimmten Verfahren erstellt. Die Basis könnte z.B. ein Hash Wert des Boot Loaders sein.

    So könnte man zum einen verhindern das Fremde, trotz öffentlichen Zugriff, das Zertifikat erhalten und zum anderen, das man diesen Schlüssel nicht für das laden eines fremden Boot Loaders missbrauchen kann. Zumindest nicht so einfach :)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BASF Digital Solutions GmbH, Ludwigshafen
  2. Melitta Business Service Center GmbH & Co. KG, Minden
  3. Deutsche Energie-Agentur GmbH (dena), Berlin
  4. Limbach Gruppe SE, Heidelberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 57,80€ neuer Bestpreis auf Geizhals


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt