Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: Apple-Rechner eignen…

Secure Boot und sicheres Arbeiten

  1. Thema

Neues Thema Ansicht wechseln


  1. Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 15:29

    Secure Boot ist ja eine im Prinzip gute Idee - aber die Vorstellung des vertraulichen Arbeitens wird ad absurdum geführt, wenn der Hersteller nicht der Nutzer die Schlüssel bestimmt. Und IMHO ist das immer noch bei den meisten BIOS so, dass der Nutzer nicht den Schlüssel des Herstellers entfernen kann und einen eigenen einspielt und damit die von ihm genutzte Software signiert.

  2. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 15:51

    Microsoft hat doch vorgeschrieben, dass wenn Windows drauf laufen soll, die Möglichkeit bestehen soll, die Keys zu ändern.

  3. Re: Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 15:53

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > Microsoft hat doch vorgeschrieben, dass wenn Windows drauf laufen soll, die
    > Möglichkeit bestehen soll, die Keys zu ändern.
    IMHO nur Secure Boot ganz abzuschalten.

  4. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 16:00

    Lennart Poettering meinte in CRE209, dass man die alten Windows-Keys löschen und durch Linux-generierte ersetzen könne.

    Edit:
    http://cre.fm/cre209-das-linux-system#t=1:55:50
    Man kann es manuell abschalten und dann bei der Installation wieder aktivieren lassen...

    Das Problem scheint aber zu sein, dass ein Reset wieder die alten Keys zu Tage fördert?!



    2 mal bearbeitet, zuletzt am 05.01.16 16:12 durch Cok3.Zer0.

  5. Re: Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 16:08

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > Lennart Poettering meinte in CRE209, dass man die alten Windows-Keys
    > löschen und durch Linux-generierte ersetzen könne.
    OK, mir nicht ganz klar wie das geht. Bei meinem Rechner habe ich Secure Boot abgeschaltet um Linux zu installieren (ich weiß manche Distros haben eine Microsoft-Signatur). Wenn man da auch eigene Schlüssel einspielen kann ist mir zumindest nicht ganz klar wie.

  6. Re: Secure Boot und sicheres Arbeiten

    Autor: MarioWario 05.01.16 - 16:42

    Dann müßte es ein BIOS-Menü dafür geben und (mindestens) drei potenzielle Eingabemöglichkeiten (Keyboard - CD - Stick).

  7. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 17:06

    https://fedoraproject.org/wiki/User:Pjones/SecureBootSelfSigning
    Hier werden doch die Schritte erklärt.

  8. Re: Secure Boot und sicheres Arbeiten

    Autor: elgooG 05.01.16 - 17:11

    Ubuntu macht das übrigens selbstständig, bzw erlaubt sogar eine nachträgliche Änderung.

    Das UEFI muss nur in den Setup-Mode gebracht werden und das Boot-Medium muss natürlich UEFI unterstützen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Secure Boot und sicheres Arbeiten

    Autor: MasterBlupperer 05.01.16 - 18:03

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > fedoraproject.org
    > Hier werden doch die Schritte erklärt.

    ... genau das ist der Punkt, warum ich Secure Boot zwar als Sicherungslösung gegen quasi Remote installierte Malware die in den Startvorgang eingreift sehe, aber nur ein halbwegs brauchbaren Schutz wenn der Angreifer physikalischen Zugriff auf das System hat.

    Da gibt es schlichtweg zuviel Möglichkeiten wie man das System infiltrieren kann und zwar unabhängig vom Betriebssystem. Ein Stichwort ist da unter anderem Bad USB.

    Vereinfacht ausgedrückt - wenn der Nutzer z.B. einen selbstsignierten Kernel installieren kann, dann es per Bad USB auch ein potentieller Angreifer.

    Von daher - EFI/UEFI ist, je nach Konfiguration, eine Schutzstufe - aber kein (wie es der Autor des Ursprungsartikels suggest) quasi allumfassender Schutz.

    Generell finde ich Firmware-Angriffe (die u.A. afaik bei OS X ein physikalischen Zugriff benötigen) für eher unbedeutend. Das belegt auch, dass man kaum davon liest. Angriffe laufen in der Regel eher per Software - ohne physikalischen Zugriff zu benötigen.

    Von daher: System absichern, Festplatte brauchbar(!) verschlüsseln - d.h. auch kein Recovery-Key in der Cloud speichern (*winke*@Microsoft) und den Rechner mit einem Firmware-Kennwort versehen und bei einem Diebstahl ist man schonmal relativ sicher. Gegen wirklich professionelle Sachen wie Bad USB, Bad Firewire (evntl. auch mal Bad Thunderbolt) um den Nutzer auszuspionieren hilft eigentlich nur: physikalischen Zugriff unterbinden und keine USB Geräte anstecken. Das gilt egal ob man voll abgesichert ist mit UEFI oder nicht und auch egal welches System man verwendet.

    Von daher - UEFI mag zwar gegen einige Angriffe absichern, aber Optionen hat ein Angreifer immer noch. Von daher sollte es egal sein ob man OS X, Linux, BSD, Windows oder whatever verwendet.

  10. Verschlüsselung

    Autor: jo-1 05.01.16 - 19:04

    MasterBlupperer schrieb:
    --------------------------------------------------------------------------------
    >
    > Von daher - UEFI mag zwar gegen einige Angriffe absichern, aber Optionen
    > hat ein Angreifer immer noch. Von daher sollte es egal sein ob man OS X,
    > Linux, BSD, Windows oder whatever verwendet.


    wie ist das denn mit der Verschlüsselung?

    Nach meinem Dafürhalten kann ich mit Hardware in den Brotprozess eingreifen beim MAC - gut - dazu muss ich als potenzieller Angreifer physikalisch Zugriff und genügend Zeit haben.

    Den Schlüssel von Filevault hab ich dann aber nicht - ich könnte nur die andre hardware verändern und Schadcode aufspielen - korrekt ? An die Daten kommt keiner ran, weil die mit meinem geheimen AEL 256 bit Schlüssel symmetrisch verschlüsselt sind - korrekt?

    Oder sehe ich das falsch?

    Denke das geht i.O. wenn der Angriff sich auf physikalische Attacken beschränkt - gebe meinem MAC PRO selten aus der Hand und die Schlüssel speichere ich nicht in der Cloud sonder merke sie mir nach meinem eigenen Algorithmus.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, München, Meckenheim
  2. Wilhelm Layher GmbH & Co. KG, Güglingen
  3. Dataport, verschiedene Standorte
  4. Aareal Bank Group, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 32,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

  1. Matternet: Schweizer Post pausiert Drohnenlieferungen nach Absturz
    Matternet
    Schweizer Post pausiert Drohnenlieferungen nach Absturz

    Blutkonserven oder Gewebeproben müssen unter Umständen schnell zu ihrem Bestimmungsort gebracht werden. Die Schweizer Post setzt für solche Transporte Drohnen ein. Doch nach vielen problemlosen Flüge ist ein Copter abgestürzt. Das Drohnenprogramm wurde daraufhin vorerst gestoppt.

  2. Nintendo: Akku von überarbeiteter Switch schafft bis zu 9 Stunden
    Nintendo
    Akku von überarbeiteter Switch schafft bis zu 9 Stunden

    Die Hinweise auf eine Hardwarerevision bei der Nintendo Switch sind bestätigt. Bei der neuen Version ist die Akkulaufzeit deutlich verbessert - sie übertrumpft nun sogar die vom Handheld Switch Lite.

  3. Maps: Duckduckgo mit Kartendienst von Apple
    Maps
    Duckduckgo mit Kartendienst von Apple

    Duckduckgo erweitert seine Suchmaschine um einen Kartendienst. Hierzu wird auf Kartenmaterial von Apple zurückgegriffen, die IP-Adresse des Nutzers soll Apple allerdings nicht erhalten.


  1. 16:52

  2. 15:49

  3. 14:30

  4. 14:10

  5. 13:40

  6. 13:00

  7. 12:45

  8. 12:30