1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › UEFI: Zweifel an Secure-Boot-Lösung…

Warum signiert Red Hat nicht?

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Warum signiert Red Hat nicht?

    Autor: Vanger 06.06.12 - 20:47

    Wenn ich das richtig verstanden habe, lässt Red Hat von M$ ja nur einen minimalistischen Bootloader signieren. Der lädt dann ein von Red Hat signiertes Grub2, das einen ebenfalls von Red Hat signierten Kernel lädt. Das Ziel ist ja gerade M$ so wenig wie möglich signieren zu lassen um nur einen Einstieg zu bekommen, um selbst signierten Code zu ermöglichen.

    Die Frage die sich nun stellt ist: Warum baut Red Hat nicht selbst einen (kostenlosen) Signierungsdienst auf? Von M$ bleibt nur der Pre-Bootloader signiert, sobald der läuft, kann er jeden beliebigen Code laden der von jeder beliebigen Stelle signiert ist.

    Oder? ...

  2. Re: Warum signiert Red Hat nicht?

    Autor: kazhar 06.06.12 - 20:51

    weil die Zertifikate von Red Hat im UEFI abgelegt werden müssten, damit das funktioniert. Genau das wird aber wohl mit allen Mitteln verhindert werden...

  3. Re: Warum signiert Red Hat nicht?

    Autor: Vanger 06.06.12 - 21:01

    Verstehe ich nicht, das Ziel dabei den Mini-Bootloader von M$ signieren zu lassen, ist doch eigentlich gerade, dass die Zertifikate von Red Hat eben *nicht* auf der Hardware vorinstalliert sein muss. Die Hardwarehersteller sollen also ausdrücklich nicht tätig werden müssen - weil sie das für Linux mehrheitlich wohl nicht tun werden.

    Oder kann man mit bereits signierten (= von M$ signierten) Code etwas neue Zertifikate ins UEFI laden? Weil das ändert ja an meinem Vorschlag nichts, dann lädt der Mini-Bootloader eben nicht nur Red Hats Zertifikat sondern alle im Rahmen des Red Hat Zertifikatprogramms ausgestellten Zertifikate in UEFI.

  4. Re: Warum signiert Red Hat nicht?

    Autor: kazhar 06.06.12 - 21:32

    der Witz ist ja, dass (ausschließlich?) Microsofts Zertifikate in der Firmware stecken.

    Damit secure boot klappt, muss die Signatur des bootloaders zu den Zertifikaten passen.
    Wobei sich die Frage stellt, warum Microsoft der direkten Konkurrenz einen Gefallen tun sollte. 99 USD hin oder her...

  5. Re: Warum signiert Red Hat nicht?

    Autor: bstea 06.06.12 - 22:00

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Verstehe ich nicht, das Ziel dabei den Mini-Bootloader von M$ signieren zu
    > lassen, ist doch eigentlich gerade, dass die Zertifikate von Red Hat eben
    > *nicht* auf der Hardware vorinstalliert sein muss. Die Hardwarehersteller
    > sollen also ausdrücklich nicht tätig werden müssen - weil sie das für Linux
    > mehrheitlich wohl nicht tun werden.
    >
    Nö, Ziel ist es nicht jede popplige Änderung wieder bei MS einreichen zu müssen, damit die das signieren.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  6. Re: Warum signiert Red Hat nicht?

    Autor: Vanger 06.06.12 - 23:18

    Ja eben! Tatsächlich von M$ signiert ist nur der Mini-Bootloader, ab diesem Punkt wird Code ausgeführt, den M$ nie zu Gesicht bekommen hat. Es wird also ab diesem Punkt also nur noch von Red Hat signierter Code ausgeführt. Warum sollte man da nicht auch von anderen signierten Code ausführen können?

    Ich stelle mir das so vor, dass sozusagen das Zertifikat von Red Hat von M$ "signiert" wird. Was spricht dagegen dass man hier auch noch andere Zertifikate "signieren" lässt?

  7. Re: Warum signiert Red Hat nicht?

    Autor: Mingfu 07.06.12 - 06:42

    Das Problem dürfte sein, dass man von MS keine Zertifikate zum Signieren anderer Zertifikate signiert bekommen wird. Die signierten Zertifikate werden ausschließlich zum Unterzeichnen von Code gültig sein.

    Das Problem dürfte nämlich die Zuständigkeit für das Zurückziehen von Zertifikaten sein. Nehmen wir mal folgenden Fall an: MS signiert RedHat tatsächlich ein Zertifikat mit dessen Hilfe RedHat als Sub-CA auftreten kann. Anschließend signiert RedHat damit für einen Softwareanbieter ein fremdes Zertifikat. Was passiert jetzt, wenn dies ein bösartiger Softwareanbieter ist, der anschließend seinen privaten Schlüssel veröffentlicht, so dass darüber Secure Boot komplett ausgehebelt wäre (weil damit dann jeder beliebigen Code unterzeichnen kann) oder wenn der private Schlüssel anderweitig kompromittiert wird?

    In dem Fall muss das Zertifikat zurückgezogen werden, weil sonst Secure Boot wirkungslos wäre (es sind dafür wohl Blacklists vorgesehen, die regelmäßig aktualisiert werden müssen). Spätestens wenn das zwei bis drei Mal passiert ist, wird sich MS die Sache wohl nicht mehr länger anschauen und das Zertifikat von RedHat als "Wurzel des Problems" auf die Blacklist setzen. Und damit steht dann RedHat ohne Zertifikat da - genauso wie alle, die sich ihr Zertifikat von RedHat und nicht direkt von MS haben signieren lassen (ein Schelm, wer denkt, dass MS die Situation vielleicht auch direkt provozieren und ausnutzen könnte). Demzufolge kann RedHat also nur die Verantwortlichkeit für eigenen Code übernehmen und nicht für fremden Code.

    Und ganz nebenbei: Ein kostenloser Signierdienst wäre zwar toll - nur wäre das für den Anbieter ein erhebliches Zuschussgeschäft. Vermutlich wird es gewisse Richtlinien geben, die für die Erteilung eines Zertifikates notwendig sind. Zum einen wird die Identität geprüft werden müssen, zum anderen eventuell auch kurz mal geschaut, was da eigentlich für Code zum Zertifizieren vorgeschlagen wird (denn es sollte ja möglichst kein Schadcode sein - sonst wäre das System ja sinnfrei). Dafür braucht es auf jeden Fall Mitarbeiter und die kosten nunmal Geld.

  8. Re: Warum signiert Red Hat nicht?

    Autor: bstea 07.06.12 - 07:52

    Weil das ein Gedankenkonstrukt ist, ab irgendeiner Komponente vertraust du den vorherigen.
    Wenn dieses irgendwo beliebig ist, ist SecureBoot zwar irgendwie umgesetzt aber erfüllt eben nicht die Vertrauenskette. Dann bietet es null Sicherheit.
    Um das klarzustellen, Secure Boot kann relativ einfach umgesetzt werden, damit es aber seinen Namen verdient, müssen ALLE Komponenten vertrauenswürdig sein, was Beliebigkeit und Austauschbarkeit eben ausschließt. Schließlich will Linux/Red Hat mit Sicherheit werben und nicht das ihr System auch auf dieser Plattform existiert, nur kann man nicht Secure Boot vertrauen.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  9. Re: Warum signiert Red Hat nicht?

    Autor: bofhl 20.06.12 - 15:13

    kazhar schrieb:
    --------------------------------------------------------------------------------
    > der Witz ist ja, dass (ausschließlich?) Microsofts Zertifikate in der
    > Firmware stecken.
    Nur wenn man einen Windows-PC benutzt! Benutzt man einen Linux-PC, steckt das Zertifikat des Linux-Distributors drinnen!

    >
    > Damit secure boot klappt, muss die Signatur des bootloaders zu den
    > Zertifikaten passen.
    > Wobei sich die Frage stellt, warum Microsoft der direkten Konkurrenz einen
    > Gefallen tun sollte. 99 USD hin oder her...
    Weil sie dazu gezwungen werden - von wegen Monopol und so!
    Bei Tablets auf ARM-CPU-Basis wird so was eh nicht laufen - da kein Monopol, daher auch keine Notwendigkeit offen sein zu müssen!

    (und da Microsoft selbst nun Tablets anbietet, brauchen sie auf diesbezügliche Forderungen nicht mehr eingehen - siehe iPad)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Prodatic-EDV-Konzepte GmbH, Wermelskirchen
  2. GASAG AG, Berlin
  3. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  4. Haufe Group, Hannover, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. 4,99€
  3. (u. a. Standard Edition PC für 44,99€, Xbox One / Series S/X für 62,99€, Deluxe Edition PC...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme