Secure Boot. Zertifikate

    Quote from faxxy

    Mal wieder MS bashing von feinsten. Ohne Angabe von Gründen die sich auf dieses Thema beziehen.

    Nutzt du nur Computer die älter sind als 15 Jahre? Denn so lange wird UEFI schon auf allen PCs ausgeliefert.

    Nein aber ich schalte Legacy Boot an. Ausserdem sind bei uns nur Thinkpads im Einsatz und das schon seit ca. 2000 und keine anderen Geraete.

    Quote from rrbs

    Nepomuk

    Ja nur wenn man sein Notebook etc richtig einrichtet, dann startet es doch eh nur, wenn ich das mache, da kann nix fremdes ran.

    Secure Boot hat nichts mit Zugangskontrolle zu tun. Das Verfahren soll frühzeitig, also noch vor dem eigentlichen Boot des Betriebssystems, sicherstellen, daß lediglich signierte und zulässige Komponenten, die die Firmware ausführt, geladen werden. Das soll vor allem verhindern, daß bereits während der frühen Systeminitialisierung etwaiger Schadcode ausgeführt wird. Darüber hinaus kann Secure Boot im Zusammenspiel mit anderen Komponenten wie einer vollständigen Systemverschlüsselung und einem TPM genutzt werden, eine weitreichende Sicherheitskette herzustellen.

    Quote from rrbs

    Also fuer mich kommt der schlechte Ruf, weil es von MS ist. ;)

    Nochmals, Secure Boot stammt nicht von Microsoft sondern ist ein vom UEFI Konsortium definiertes Protokoll/definierter Standard. Microsoft ist Mitglied dieses Konsortiums. Allerdings ist Microsoft die Certification Authority (CA) für Secure Boot, was dann wohl auch der Grund dafür ist, daß viele Menschen glauben, es sei ein von Microsoft definierter Standard.

    Persönlich halte ich den letzten Punkt für kritisch und hätte mir gewünscht, daß eine möglichst unabhängige Partei als CA gewählt worden wäre. Und natürlich bietet auch Secure Boot keinen 100% Schutz. Ich halte den Ansatz und Gedanken dahinter aber für absolut sinnvoll.

    Um das ganze zum Abschluß noch mal mit einem kleinen Auszug aus dem Debian Wiki abzurunden:

    Quote

    What is UEFI Secure Boot NOT?

    UEFI Secure Boot is not an attempt by Microsoft to lock Linux out of the PC market here; Secure Boot is a security measure to protect against malware during early system boot. Microsoft act as a Certification Authority (CA) for Secure Boot, and they will sign programs on behalf of other trusted organisations so that their programs will also run. There are certain identification requirements that organisations have to meet here, and code has to be audited for safety. But these are not too difficult to achieve.

    Secure Boot is also not meant to lock users out of controlling their own systems. Users can enroll extra keys into the system, allowing them to sign programs for their own systems. Many Secure Boot-enabled systems also allow users to remove the platform-provided keys altogether, forcing the firmware to only trust user-signed binaries.

    Quelle: https://wiki.debian.org/SecureBoot#Wha…ure_Boot_NOT.3F

    Nepomuk

    Danke Dir fuer die gute Erklaerung.

    Das ist fuer mich der wichtigste Satz.

    "Many Secure Boot-enabled systems also allow users to remove the platform-provided keys altogether, forcing the firmware to only trust user-signed binaries."

    Ich werde mich mal intensiver damit befassen.

    Wobei ich dann sicherlich erstmal meine img's fuer die Firma neu machen muesste und ob sich das lohnt muss ich erstmal ausloten.

    Bei uns finden regelmaessige Systemsicherheitsaudits statt und die Fileintegritaet wird ueberwacht.

    und paranoid sind wir ja noch nicht. :)

    Also ich kenne es als Compliance Anforderung von Firmen (Banken, Versicherungen, Pharma, etc) das Trusted Boot (Secure Boot ist ein Puzzle-Teil von Trusted Boot) inzwischen vorgeschrieben ist. Da ist nichts mit Legacy Boot, etc.

    In solchen Firmenumgebungen nutzt man dann sehr oft auch eigene Schlüssel. So wie es Tealk macht.

    ich glaub, ich da raus:

    "Fedora Secure Boot
    To enable or check the status of Secure Boot in Fedora from the terminal, you can use the mokutil command. This utility allows you to manage Machine Owner Keys (MOKs) and check the current status of Secure Boot. For example, you can check if Secure Boot is enabled or disabled by running mokutil --sb-state ... "

    Code
    tux@fedora:~$ mokutil --sb-state
SecureBoot disabled
Platform is in Setup Mode
tux@fedora:~$
    Quote from rrbs

    Ich weis zwar nicht, was du mit "Linuxtester" willst aber ja ich teste auch die Software die ich erstelle.

    Das ist / war ein User, der prinzipiell und grundsätzlich gegen Microsoft und deren Produkte ist / war.
    Das war schon oft sehr extrem, aber ich finde, man muss deswegen jetzt nicht auf "Kuschelkurs" mit dem Unternehmen aus Redmond gehen.

    Eine gewisse Objektivität schadet sicher nicht, auch wenn ich kein Fan von Windows und Co. bin, sonst hätte ich nicht vor Jahren diesem Betriebssystem den Rücken gekehrt. Zum Thema Secure Boot ist der Grundgedanke, schon beim Start des Systems Schadsoftware auszusperren sicher gut, der fade Beigeschmack kommt daher, dass Microsoft festlegt, was vertrauenswürdig ist und was nicht.

    Frei nach dem Motto "Wo Rauch ist, da ist auch Feuer" denke ich schon, dass etwas gesunde Skepsis dem gegenüber nicht schadet.

    Es ist ja auch jedem selbst überlassen, wem er vertraut und wem nicht.
    Wichtig ist, dass man seine Meinung äußern darf, ohne direkt geächtet zu werden.

    Passwörter sind wie Unterwäsche. Du darfst Sie keinen sehen lassen, musst sie regelmäßig wechseln und solltest sie nicht mit Fremden tauschen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login