Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: Apple-Rechner eignen…

Secure Boot und sicheres Arbeiten

  1. Thema

Neues Thema Ansicht wechseln


  1. Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 15:29

    Secure Boot ist ja eine im Prinzip gute Idee - aber die Vorstellung des vertraulichen Arbeitens wird ad absurdum geführt, wenn der Hersteller nicht der Nutzer die Schlüssel bestimmt. Und IMHO ist das immer noch bei den meisten BIOS so, dass der Nutzer nicht den Schlüssel des Herstellers entfernen kann und einen eigenen einspielt und damit die von ihm genutzte Software signiert.

  2. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 15:51

    Microsoft hat doch vorgeschrieben, dass wenn Windows drauf laufen soll, die Möglichkeit bestehen soll, die Keys zu ändern.

  3. Re: Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 15:53

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > Microsoft hat doch vorgeschrieben, dass wenn Windows drauf laufen soll, die
    > Möglichkeit bestehen soll, die Keys zu ändern.
    IMHO nur Secure Boot ganz abzuschalten.

  4. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 16:00

    Lennart Poettering meinte in CRE209, dass man die alten Windows-Keys löschen und durch Linux-generierte ersetzen könne.

    Edit:
    http://cre.fm/cre209-das-linux-system#t=1:55:50
    Man kann es manuell abschalten und dann bei der Installation wieder aktivieren lassen...

    Das Problem scheint aber zu sein, dass ein Reset wieder die alten Keys zu Tage fördert?!



    2 mal bearbeitet, zuletzt am 05.01.16 16:12 durch Cok3.Zer0.

  5. Re: Secure Boot und sicheres Arbeiten

    Autor: mnementh 05.01.16 - 16:08

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > Lennart Poettering meinte in CRE209, dass man die alten Windows-Keys
    > löschen und durch Linux-generierte ersetzen könne.
    OK, mir nicht ganz klar wie das geht. Bei meinem Rechner habe ich Secure Boot abgeschaltet um Linux zu installieren (ich weiß manche Distros haben eine Microsoft-Signatur). Wenn man da auch eigene Schlüssel einspielen kann ist mir zumindest nicht ganz klar wie.

  6. Re: Secure Boot und sicheres Arbeiten

    Autor: MarioWario 05.01.16 - 16:42

    Dann müßte es ein BIOS-Menü dafür geben und (mindestens) drei potenzielle Eingabemöglichkeiten (Keyboard - CD - Stick).

  7. Re: Secure Boot und sicheres Arbeiten

    Autor: Cok3.Zer0 05.01.16 - 17:06

    https://fedoraproject.org/wiki/User:Pjones/SecureBootSelfSigning
    Hier werden doch die Schritte erklärt.

  8. Re: Secure Boot und sicheres Arbeiten

    Autor: elgooG 05.01.16 - 17:11

    Ubuntu macht das übrigens selbstständig, bzw erlaubt sogar eine nachträgliche Änderung.

    Das UEFI muss nur in den Setup-Mode gebracht werden und das Boot-Medium muss natürlich UEFI unterstützen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Secure Boot und sicheres Arbeiten

    Autor: MasterBlupperer 05.01.16 - 18:03

    Cok3.Zer0 schrieb:
    --------------------------------------------------------------------------------
    > fedoraproject.org
    > Hier werden doch die Schritte erklärt.

    ... genau das ist der Punkt, warum ich Secure Boot zwar als Sicherungslösung gegen quasi Remote installierte Malware die in den Startvorgang eingreift sehe, aber nur ein halbwegs brauchbaren Schutz wenn der Angreifer physikalischen Zugriff auf das System hat.

    Da gibt es schlichtweg zuviel Möglichkeiten wie man das System infiltrieren kann und zwar unabhängig vom Betriebssystem. Ein Stichwort ist da unter anderem Bad USB.

    Vereinfacht ausgedrückt - wenn der Nutzer z.B. einen selbstsignierten Kernel installieren kann, dann es per Bad USB auch ein potentieller Angreifer.

    Von daher - EFI/UEFI ist, je nach Konfiguration, eine Schutzstufe - aber kein (wie es der Autor des Ursprungsartikels suggest) quasi allumfassender Schutz.

    Generell finde ich Firmware-Angriffe (die u.A. afaik bei OS X ein physikalischen Zugriff benötigen) für eher unbedeutend. Das belegt auch, dass man kaum davon liest. Angriffe laufen in der Regel eher per Software - ohne physikalischen Zugriff zu benötigen.

    Von daher: System absichern, Festplatte brauchbar(!) verschlüsseln - d.h. auch kein Recovery-Key in der Cloud speichern (*winke*@Microsoft) und den Rechner mit einem Firmware-Kennwort versehen und bei einem Diebstahl ist man schonmal relativ sicher. Gegen wirklich professionelle Sachen wie Bad USB, Bad Firewire (evntl. auch mal Bad Thunderbolt) um den Nutzer auszuspionieren hilft eigentlich nur: physikalischen Zugriff unterbinden und keine USB Geräte anstecken. Das gilt egal ob man voll abgesichert ist mit UEFI oder nicht und auch egal welches System man verwendet.

    Von daher - UEFI mag zwar gegen einige Angriffe absichern, aber Optionen hat ein Angreifer immer noch. Von daher sollte es egal sein ob man OS X, Linux, BSD, Windows oder whatever verwendet.

  10. Verschlüsselung

    Autor: jo-1 05.01.16 - 19:04

    MasterBlupperer schrieb:
    --------------------------------------------------------------------------------
    >
    > Von daher - UEFI mag zwar gegen einige Angriffe absichern, aber Optionen
    > hat ein Angreifer immer noch. Von daher sollte es egal sein ob man OS X,
    > Linux, BSD, Windows oder whatever verwendet.


    wie ist das denn mit der Verschlüsselung?

    Nach meinem Dafürhalten kann ich mit Hardware in den Brotprozess eingreifen beim MAC - gut - dazu muss ich als potenzieller Angreifer physikalisch Zugriff und genügend Zeit haben.

    Den Schlüssel von Filevault hab ich dann aber nicht - ich könnte nur die andre hardware verändern und Schadcode aufspielen - korrekt ? An die Daten kommt keiner ran, weil die mit meinem geheimen AEL 256 bit Schlüssel symmetrisch verschlüsselt sind - korrekt?

    Oder sehe ich das falsch?

    Denke das geht i.O. wenn der Angriff sich auf physikalische Attacken beschränkt - gebe meinem MAC PRO selten aus der Hand und die Schlüssel speichere ich nicht in der Cloud sonder merke sie mir nach meinem eigenen Algorithmus.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. GKV-Spitzenverband, Berlin
  3. Hectronic GmbH, Bonndorf im Schwarzwald
  4. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  2. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid
  3. Elektroauto BMW meldet Zehntausende E-Mini-Interessenten

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

  1. Pro Trek: Casio stellt Outdoor-Smartwatch mit Pulsmesser vor
    Pro Trek
    Casio stellt Outdoor-Smartwatch mit Pulsmesser vor

    Casios neue Pro-Trek-Smartwatch WSD-F21HR kommt erstmals mit einem Pulsmesser, der automatisch bei Bewegung aktiviert werden kann. Die Uhr ist an Outdoor-Fans gerichtet: Unter anderem lassen sich Karten offline direkt auf der Uhr verwenden, auch Casios duales Display ist an Bord.

  2. Geforce Now: Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android
    Geforce Now
    Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

    Gamer können ihre Spiele per Geforce Now künftig auf ihre Android-Geräte streamen. Der Cloud-Gaming-Dienst wird auf Googles Betriebssystem erweitert. Zeitgleich platziert Nvidia die neuen RTX-Server in Frankfurt, was theoretisch Raytracing ermöglicht.

  3. Smartphone: Xiaomi bringt Mi 9T Pro für 450 Euro nach Deutschland
    Smartphone
    Xiaomi bringt Mi 9T Pro für 450 Euro nach Deutschland

    Mit dem Mi 9T Pro bringt Xiaomi ein weiteres Smartphone offiziell nach Deutschland: Das Gerät ist eine Weiterentwicklung des Mi 9 und hat unter anderem eine Pop-up-Frontkamera - dadurch wird das Display nicht durch eine Notch unterbrochen. Die ersten 3.000 Geräte werden für einen günstigeren Preis angeboten.


  1. 13:46

  2. 12:58

  3. 12:40

  4. 12:09

  5. 11:53

  6. 11:44

  7. 11:35

  8. 11:26