News UEFI Secure Boot hat jetzt zwei Bootloader

[fethomm]

PC-Hersteller, die eine Zertifizierung für Windows 8 in Form eines Aufklebers haben möchten, müssen der UEFI-Spezifikation inklusive Secure Boot entsprechen. Linux-Distributoren müssen sich auf diese neue Sicherheitsvorgabe einstellen, um ihren Nutzern weiterhin neben Windows auch die Installation von Linux zu ermöglichen.

Zur News: UEFI Secure Boot hat jetzt zwei Bootloader

 

[DunklerRabe]

Diese Secure Boot Geschichte ist so Banane...
Unfassbar mit was für einem Unfug man sich im Rahmen der vermeintlichen Erhöhung der Sicherheit so rumschlagen muss.

 

[noxon]

Musst du ja nicht. Ist ja alles optional.

 

[ghost_zero5]

Ich frag mich eher was sich SecureBoot bringen soll, wenn quasi Bootloader signiert sind, die alles mögliche laden können..?
OK. Gut der Loader selbst erzwingt dann quasi wieder seine eigene Signatur oder anderwärtige Sicherheit, aber nachdem dies das System selbst bereitstellen muss, kann dieser eigentlich auch manipuliert werden.
Die Grundidee mag ja nicht schlecht sein, aber man schränkt sich damit auch zu sehr ein.

P.S.: Wie funktionieren mit SecureBoot eigentich Komplett-Verschlüsselungen vom Windows-System?
Das wäre einer der wenigen Punkte wo ich sagen könnte, dass sowas Sinn machen könnte, damit man verhindert, dass jemand das Passwort mitloggt.

 

[DunklerRabe]

Ich seh das nicht nur auf Seite der User negativ, sondern auch auf Herstellerseite. Das ist mal wieder so ein komplett hirnloses Konzept. Signierte Bootloader, pff...

 

[Nikolaus117]

so richtig sehe ich den sinn auch nicht, hoffe nur das niemand dabei zu kurz kommt, oder iwas zu eingeschränkt wird.

Optional es auszumachen, Plicht Weiße wäre ideal

 

[1337blox]

Immer dieses Bootloader-Spaghetti .. gibt ja jetzt schon genug Probleme.
Es wäre wirklich mal schön wenn alle an einem Strang ziehen würden...Grub und Windows verstehen sich ja ganz und garnicht ..vor allem seit Windows 8 gibt es Probleme.

 

[deo]

Sichtbare Vorteile sind die schöne Oberfläche und bei Windows 8 schnelleres Booten und dann noch Plattengröße ab 2,2TB, wobei das Gigabyte auch per Treiber gelöst hat ohne UEFI. Der unsichtbare Vorteil ist der Netzwerkstack, über den man per Hintertür auf das System zugreifen kann. Diese Funktion macht komplett verdongelte Systeme möglich, die von außerhalb gewartet werden und der Nutzer keinen Zugriff mehr kriegt, damit er da nichts verändert. Das wird ja bereits bei Routern gemacht. Wenn das Gateway bereits fremdgesteuert ist, geht man nur einen Schritt weiter.

 

[Nikolaus117]

UEFi gibt's auch ohne secureboot

MSi hatte das ab den 60er Chipsätzen schon drin bei Intel

Ganz ohne secureboot, und der Post war keine 3 Sekunden zu sehen.
Samt 2,2 Tb und mehr, maus und grafisch.

 

[longwalk]

Ich glaube in den neuen UEFI-Spezifikationen ist jetzt immer SecureBoot mit enthalten.

Nichtsdestotrotz kann man auf UEFI und SecureBoot verzichten, indem man den Compatibility-Mode/Legacy-Mode einstellt, dass dann ein ganz normales BIOS simulert oder emuliert oder so. Ich meine Festplatten-Kapazitäten ab 2,2TB?! Ok, mag für den einen oder anderen was sein, und der kann dann auch UEFI nutzen - wie man sieht unter Linux genauso wie unter Windows - aber ansonsten sehe ich bis jetzt noch keinen wirklichen Vorteil.

 

[noxon]

Sichtbare Vorteile sind die schöne Oberfläche und bei Windows 8 schnelleres Booten und dann noch Plattengröße ab 2,2TB, wobei das Gigabyte auch per Treiber gelöst hat ohne UEFI. Der unsichtbare Vorteil ist der Netzwerkstack, über den man per Hintertür auf das System zugreifen kann. Diese Funktion macht komplett verdongelte Systeme möglich, die von außerhalb gewartet werden und der Nutzer keinen Zugriff mehr kriegt, damit er da nichts verändert. Das wird ja bereits bei Routern gemacht. Wenn das Gateway bereits fremdgesteuert ist, geht man nur einen Schritt weiter.

All das hat aber nichts mit Secure Boot zu tun. Secure Boot ist nur ein weiteres Feature der UEFI Spezifikation. Das muss man nicht anwenden um all deine aufgezählten Vorteile von UEFI zu erhalten.

Ich meine Festplatten-Kapazitäten ab 2,2TB?! Ok, mag für den einen oder anderen was sein, und der kann dann auch UEFI nutzen

Jeder tut immer so, als ob das kein wichtiges Feature wäre. Dabei gibt es selbst heute schon Platten mit eine Kapazität von 4 TB und man muss ja auch mal an die Zukunft denken. Mit dem BIOS kommen wir einfach nicht weiter wenn wir in 5 Jahren alle mit unseren 10 TB Platten booten wollen.

 

[longwalk]

@noxon ich sag ja, es geht auch mit UEFI und auch mit SecureBoot. Ich persönlich komme noch gerade mit einer 320GB Festpatte aus Aber klar, das ist schon sehr spartanisch aus heutiger Sicht.

 

[LHB]

ist ja alles optional.

noch!

 

[Rob83]

So lange wie man sich mit dem Problem rumquälen muss, könnte man die +3sec Bootzeit 234234234 mal ertragen.

 

[tree-snake]

noch!

Genau, es kommen sicher bald einige Notebooks auf den Markt wo man Secure Boot nicht mehr deaktvieren kann.
Das wars dann mit der freien Entscheidung.

 

[Zaeggu]

Bei Labtop's sind die Einstellmöglichkeiten im BIOS / UEFI sowieso sehr Mager bis Null, und da werden die Hersteller sicherlich mal Nachdenken müssen, ob sie die Kunden weiterhin Verarschen wollen / können, oder ob sie sich endlich dazu Entschliessen können / sollten für die Kunden, und nicht gegen die Kunden zu Arbeiten!

 

[Daaron]

Jeder tut immer so, als ob das kein wichtiges Feature wäre. Dabei gibt es selbst heute schon Platten mit eine Kapazität von 4 TB und man muss ja auch mal an die Zukunft denken. Mit dem BIOS kommen wir einfach nicht weiter wenn wir in 5 Jahren alle mit unseren 10 TB Platten booten wollen.

Warum sollte man überhaupt von einer >2TB - Platte booten wollen? Wie bald wird es Solid States geben, die an das MBR-Limit stoßen?
GPT hat nix mit UEFI zu tun, man kann ein OS wunderbar im BIOS-Mode, ohne den ganzen Secure-Scheiß, installieren und trotzdem ne 4TB-Platte ansprechen.

So lange wie man sich mit dem Problem rumquälen muss, könnte man die +3sec Bootzeit 234234234 mal ertragen.

Eben. Man bootet ja nun nicht gerade 100x am Tag, damit da ne nennenswerte Ersparnis raus kommt. Außerdem gab es schon genug Tests die gezeigt haben, dass UEFI-Startsequenzen nicht zwingend schneller als BIOS sind, teilweise ist UEFI sogar langsamer.

 

[testuser58]

Wenn nur der Pre-Loader signiert ist, kann der Grub booten, was er will - sehr "secure"

 

[noxon]

Genau, es kommen sicher bald einige Notebooks auf den Markt wo man Secure Boot nicht mehr deaktvieren kann.
Das wars dann mit der freien Entscheidung.

Wenn es so ein Notebook geben sollte, dann darf es aber nicht den Windows 8 Kompatibilitätsaufkleber tragen. Microsoft schreibt nämlich zwingend vor, dass Secureboot deaktivierbar sein muss.

Warum sollte man überhaupt von einer >2TB - Platte booten wollen?

Weil es Platten gibt, die größer als 2,2 TB sind.

Wie bald wird es Solid States geben, die an das MBR-Limit stoßen?

Sehr bald. Selbst meine SSD ist ja schon 512 GB groß. Dauert nicht mehr lange und wir sind auch da bei 2 TB angelangt.

GPT hat nix mit UEFI zu tun, man kann ein OS wunderbar im BIOS-Mode, ohne den ganzen Secure-Scheiß, installieren und trotzdem ne 4TB-Platte ansprechen.

Natürlich hat es auch etwas mit UEFI zu tun, da das BIOS keine GPT Partitionen ansprechen kann. Du brauchst 64 Bit um GPT Partitionen ansprechen zu können und das geht nur mit UEFI.

Außerdem gab es schon genug Tests die gezeigt haben, dass UEFI-Startsequenzen nicht zwingend schneller als BIOS sind, teilweise ist UEFI sogar langsamer.

Zeig mir den Test einmal. Ich wette da war das CSM noch nicht einmal abgeschaltet.

Wenn nur der Pre-Loader signiert ist, kann der Grub booten, was er will - sehr "secure"

Das ist ja auch nur so, weil Linux das "falsch" umsetzt.
Der Linux Bootloader vertraut ja einem nicht vertrauenswürdigem Bootloader und das mit Absicht, da man sonst keine eigenen Kernel kompilieren könnte.
Den Linux Usern geht es ja nicht um eine sichere Bootkette, sondern darum auch bei aktivierter Secureboot Option das Betriebssystem trotzdem noch starten zu können und das obwohl sich der Hashwert des Kernels immer wieder ändern kann.

Microsoft hingegen vertraut mit seinem Bootloader nur seinem vertrauenswürdigen und signiertem Kernel und dieser lädt nur die signierten Treiber und Bibliotheken.
Damit ist die Bootkette gesichert und da der User dort keinen eigenen Kernel kompiliert hat man auch nicht das Problem, dass man immer wieder neue Hashes für den Bootloader braucht.

 

[deo]

Jeder tut immer so, als ob das kein wichtiges Feature wäre. Dabei gibt es selbst heute schon Platten mit eine Kapazität von 4 TB und man muss ja auch mal an die Zukunft denken. Mit dem BIOS kommen wir einfach nicht weiter wenn wir in 5 Jahren alle mit unseren 10 TB Platten booten wollen.

In 5 Jahren bootet wohl keiner mehr von einer Festplatte. Die Ultrabooks booten von SSD Cache. Der wird dann wohl auch im Mainboard von Desktop PCs integriert. Da muss nur ein großer Abnehmer mal ein solches Feature fordern und es wird realisiert und andere machen es nach.