1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › UEFI: Zweifel an Secure-Boot-Lösung…

Nennt mich altmodisch

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Nennt mich altmodisch

    Autor: lala1 06.06.12 - 18:10

    Aber der Secureboot Kram ist doch neumodischer Schwachsinn. Wozu brauche ich sowas, wenn ich ein gutes Unixsystem mit einem ordentlichen Sicherheitskonzept habe? Ich meine die Unixsystem der Welt haben kein Problem mit Viren und wenn überhaupt dann nur im Useraccount. Hat man höhere Sicherheitsansprüche reichen SELinux Kernelerweiterungen oder ähnliches aus.
    Außerdem ist mir nicht ganz wohl dabei ein Betriebssystem unter meinem Betriebsystem laufen zu haben auf das ich keinen Zugriff haben UND wenn ich an die letzten Eskapaden von Microsoft mit den Zertifikaten denke (mein Güte da konnte man mit einer Terminalserverfunktion Binarys unterschreiben) wächst mein Vertrauen in zertifikatbasierte Sicherheit nicht gerade sondern eher das Gegenteil passiert.
    Das ist in meinen Augen alles hahnebüchner Unsinn der hinten und vorne nicht richtig gehen wird, missbraucht wird um irgendwelchen DRM Quatsch umzustezen und man hat hintenrauß außer mehr Arbeit nichts weiter.

  2. Re: Nennt mich altmodisch

    Autor: hab (Golem.de) 06.06.12 - 18:18

    Naja, das setzt ja an einer völlig anderen Stelle an als selinux.

    Ganz blöd ist das vom Grundkonzept nicht: Die Hardware überprüft, ob die Software, die sie startet, korrekt ist.

    Man könnte es auch ohne Probleme so implementieren dass es völlig unproblematisch ist. Man müsste nur dafür sorgen, dass der User selbst Kontrolle darüber hat, welche Schlüssel installiert sind. Das könnte etwa ein Knopf sein, wenn der beim Booten gedrückt wird wird ein Schlüssel von CD oder USB installiert. Distributionen könnten ihre eigenen Schlüssel auf die CD packen. User, die lieber selbst was basteln, können ihre eigenen Schlüssel installieren.

  3. Re: Nennt mich altmodisch

    Autor: Wahrheitssager 06.06.12 - 18:26

    > Ganz blöd ist das vom Grundkonzept nicht: Die Hardware überprüft, ob die Software, die sie startet, korrekt ist.

    Klingt für mich nach einer idealen potentiellen Zensurinfrastrukturmaßnahme.

  4. Re: Nennt mich altmodisch

    Autor: JoyntSoft 06.06.12 - 18:33

    Wenn ich mich nicht irre, ist das Konzept aber für'n A.., weil die Stelle, welche die Software zertifiziert (hier: Microsoft), kompromitiert ist.

    Kann sein, dass ich mich irre, aber ich meine gelesen zu haben, dass z.B. Flame über's Windows-Update verteilt wurde.

    Also "sicher" würde ich _das_ nicht nennen wollen.

    :D

  5. Re: Nennt mich altmodisch

    Autor: Casandro 06.06.12 - 18:51

    Ich denke, der große Irrtum ist, dass hier eine Überprüfung auf Korrektheit stattfindet. Es wird lediglich überprüft ob der Autor der Software sein Lösegeld gezahlt hat oder nicht.

    Ein Zertifikatssystem verlangt, dass man einer externen Stelle vertrauen muss. Es schafft keine zusätzliche Sicherheit.

  6. Re: Nennt mich altmodisch

    Autor: bstea 06.06.12 - 19:16

    Wie soll dein Konstrukt mit einem Public Key Verfahren vereinbar sein?

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  7. Re: Nennt mich altmodisch

    Autor: derats 06.06.12 - 22:30

    Bei einem PC musst _du_ in der Lage sein die Rootschlüssel ändern zu können. Sonst gibts kein Win8-Logo. Somit kannst du dir dein eigenes Cert erzeugen, den Schlüssel davon in dein UEFI eintragen (und alle anderen löschen), damit _deinen_ Bootloader signieren und voila.

    Wo ist das Problem? _Wenn_ man basteln will, kann man's auch.

    Das Problem hier ergibt sich nur für Massen-Deployment von großen Distros. Weil das normale Menschen nicht können/wollen.

  8. Re: Nennt mich altmodisch

    Autor: Moe479 07.06.12 - 07:13

    nenn mich noch altmodischer, bei dos-winxp gings ohne warum jetzt nichtmehr?

    ich mein die ganze cert-scheisse ist doch fürn popo wenn immer alles und garnichts ohne wirkliche tiefenprüfung zertifiziert wird hat es keinen praktischen mehrwert.

  9. Re: Nennt mich altmodisch

    Autor: seta 12.06.12 - 22:06

    Das ist eine dieser Situationen wo ich irgentwo zwischen Weinkrampf und aprupten Suizid stehe. Nur um das mal auch für den letzten Affen verständlich zu machen.

    Wenn ich ein eigenes Betriebsystem schreibe, und es auf meinen Computer installieren will (ohne an der Hardware/Bios rumzubasteln, bei jeder Maschine) muss ich 99$ zahlen!

    Das ist ein sehr sehr sehr sehr kranker schritt.

    Und keiner kann mir erzählen das SecureBoot immer abschaltbar bleiben wird, das haben sie nur gesagt um leute wie mich zu beruhigen...

    Das schlimme daran ist ja, das ist sowas wie bei Patenten / Überwachung und co. Wenn es einmal da ist, wird man es ohne totalen zusammenbruch kaum mehr wieder los....

  10. Re: Nennt mich altmodisch

    Autor: derats 13.06.12 - 13:42

    Es wird immer abschaltbar bleiben.

    Es gibt mehr als genug Firmen, die ein Interesse daran haben, dass sie sich nicht mit dem Crypto-Kram rumschlagen müssen. Dazu kommen noch Unis und öfftl. Betriebe. Und alle Frickler. Microsoft wird ihre Logo-Spez. nicht ändern. Den Imageverlust wollen sie sich nicht leisten...

  11. Re: Nennt mich altmodisch

    Autor: SSD 18.06.12 - 19:41

    derats schrieb:
    --------------------------------------------------------------------------------
    > Es wird immer abschaltbar bleiben.
    >
    > Es gibt mehr als genug Firmen, die ein Interesse daran haben, dass sie sich
    > nicht mit dem Crypto-Kram rumschlagen müssen. Dazu kommen noch Unis und
    > öfftl. Betriebe. Und alle Frickler. Microsoft wird ihre Logo-Spez. nicht
    > ändern. Den Imageverlust wollen sie sich nicht leisten...

    Was macht dich da so sicher? Microsoft konnte schon viel durchboxen und wird es auch da können - vorausgesetzt es will.
    Und was heißt da, den Imageverlust wollen sie sich nicht leisten?
    Den Imageverlust hätten sie schon jetzt, wenn es jemanden kümmern würde ...
    (mich kümmert es und für mich gab es auch schon einen Imageverlust von MS)
    Denn die, die sich wirklich aufregen, sind und bleiben doch eh nur 'Freaks' und damit in der kleinen Minderheit. Ist leider so und daher darf man RestrictedBoot nicht kleinreden.

    Wenn es wirklich gesichert wäre, dass es (auch in Zukunft; z.B. per einfachem Knopfdruck) abgeschaltet werden kann, dann wäre ja eigentlich alles in Ordnung ...

    Wieso sollten sich eigentlich gerade Unis und öffentliche Betriebe gegen RestrictedBoot wehren (die Frickler können sowieso niemanden aufhalten)?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BG Klinikum Unfallkrankenhaus Berlin gGmbH, Berlin
  2. Haufe Group, Freiburg
  3. über Hays AG, München
  4. mahl gebhard konzepte Landschaftsarchitekten BDLA Stadtplaner Partnerschaftsgesellschaft mbB, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme