Schlüssel-Frage

Editorial

16.11.2011

Sehr geehrte Leserinnen und Leser,

mussten Sie in letzter Zeit mal ein Windows installieren? Falls nein, herzlichen Glückwunsch – ich schon. Einer meiner Söhne hatte, um EAs Spyware-verseuchtes, ohne Netzverbindung nicht benutzbares Battlefield**3 zocken zu können (warum gelten Spiele eigentlich als Pro-Windows-Argument?), seinem PC eine neue Grafikkarte und in der Folge auch gleich ein größeres Netzteil spendieren müssen. Das vorinstallierte Windows 7 reagierte mit einer Komplettgrätsche, es half nur noch eine Neuinstallation – in stundenlanger Frickelei samt Suche und Installation von Treibern und Anwendungen unter dutzendweiser Abfrage von Lizenzschlüsseln.

Spätestens in einer solchen Situation weiß man, was man an Linux hat, selbst wenn man nur Bequemlichkeit schätzt und Freiheit ausklammert. DVD einlegen, 15 Minuten warten, fertig ist die Installation – inklusive aller Treiber, Anwendungen für jeden nur denkbaren Bereich und hunderten Tools. Mit dieser Herrlichkeit könnte es aber schon bald vorbei sein, dank eines Features mit dem harmlos erscheinenden Namen UEFI Secure Boot.

Zu den Vorteilen und Erweiterungen des kommenden BIOS-Nachfolgers UEFI [1] zählt die Möglichkeit, nur noch korrekt signierte Softwarekomponenten zu laden, so dass vom Bootloader über das Betriebssystem bis zu den Treibern eine gegen Bootkits, Rootkits und andere Malware sichere Kette entsteht. Ohne dieses UEFI Secure Boot, so die Einschätzung von Experten, dürfte vor allem das notorisch löchrige Windows gegen Schadsoftware der nächsten Generation kaum noch eine Chance haben, aber auch für andere Betriebssysteme wäre dieser Schutz durchaus eine feine Sache. Allerdings setzt dies voraus, dass UEFI bereits zur Bootzeit den Public Key des zu startenden OS kennt, sonst lädt es das System schlicht nicht.

An dieser Stelle hakt aktuell Microsoft ein: Um das Logo Designed for Windows**8 führen zu dürfen, müssen OEMs ihre Rechner mit aktiviertem Secure Boot ausliefern. Da sich PCs ohne das entsprechende Pickerl wohl schon bald nur noch mühsam verkaufen lassen – schließlich steht Windows 8 im nächsten Jahr an – setzen die Hardware-Hersteller diese Anforderung sicherlich zügig um. Die Schlüsselverwaltung aber sollen laut Microsoft die OEMs übernehmen, sodass sich auf entsprechenden Rechnern nur noch solche Betriebssysteme booten lassen, deren Public Key der OEM in UEFI hinterlegt hat.

Kommt Microsoft damit durch, booten in der Werkseinstellung neue PCs schon bald nur noch Windows 8, und sonst gar nichts [2]. Um in dieser Konstellation eine Linux-Distribution zu starten, müsste der OEM auch deren Key in seine Firmware gepatcht haben – bei hunderten Linux-Spielarten und täglich neu erscheinenden Versionen in der Praxis ein Ding der Unmöglichkeit. Selbst, wenn die Hersteller dies leisteten: Möchten Sie vor jeder Installation ein Firmware-Upgrade vornehmen? Obendrein blieben auch dann selbst übersetzte Kernel grundsätzlich außen vor. Mit viel Glück implementiert der OEM im UEFI-Interface wenigstens eine Möglichkeit, Secure Boot zu deaktivieren – was der Standard aber nicht zwingend vorschreibt.

Das breite Grinsen in den Gesichtern der Ecosystem-Strategen in Redmond kann ich mir geradezu plastisch vorstellen: Endlich haben sie einen Weg gefunden, um der lästigen Linux-Konkurrenz gründlich eins auszuwischen. Obendrein lässt sich das Ganze nicht nur als längst überfällige Sicherheitsmaßnahme verkaufen, sondern Microsoft kann im Falle eines Falles im Brustton der gerechten Entrüstung mit dem Finger anklagend auf die OEMs zeigen und diesen den schwarzen Peter zuschanzen [3].

Der entscheidende Haken von Microsofts UEFI-Konzept liegt natürlich in der Schlüsselverwaltung, bei der Redmond einmal mehr versucht, den Anwender zu entmündigen. Selbstredend darf es keinesfalls den Hardware-Herstellern überlassen bleiben, zu entscheiden, welches Betriebssystem ein Rechner bootet: Diese Kompetenz steht einzig und allein dem Benutzer zu. Dass und wie sich das gerade auch mit UEFI realisieren lässt, zeigt ein gemeinsames Papier, das Matt Garrett (Red Hat), Jeremy Kerr (Canonical) und der Kernel-Entwickler James Bottomley vorgelegt haben [4]. Nach diesem Konzept kämen zudem völlig unabhängig von ihrer Herkunft alle Betriebssysteme in den zweifellos wünschenswerten Genuss von Secure Boot.

Nun gilt es dringend, diese Tatsache auch den Hardware-Herstellern vor Augen zu führen. Die derzeit beste Möglichkeit, dies zu tun, bietet eine Unterschriftsliste der Free Software Foundation [5]. Darauf finden Sie auch meinen Namen, obwohl ich solche Listen eigentlich nicht mag. Noch viel weniger gefällt mir allerdings die Idee, in Zukunft mit der Install-DVD in der Hand vor einem für mich nutzlosen, weil per Secure Boot vernagelten Rechner zu stehen. Falls Ihnen das ähnlich geht, lassen Sie Microsoft und die OEMs das wissen und unterschreiben Sie auch.

Herzliche Grüße,

Jörg Luther

Chefredakteur

Infos

[1] UEFI im Überblick: http://de.wikipedia.org/wiki/Extensible_Firmware_Interface

[2] "UEFI Secure Booting": http://mjg59.dreamwidth.org/5552.html

[3] "MS denies secure boot will exclude Linux": http://www.theregister.co.uk/2011/09/23/ms_denies_uefi_lock_in/

[4] "Secure Boot Impact on Linux": http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

[5] "Stand up for your freedom to install free software": http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare
Wer anderen eine Grube gräbt....
Marcus Nasarek, Dienstag, 29. November 2011 20:58:19
Ein/Ausklappen

Die komplette Neuinstallation eines Windows-Systems - und das meint die Installation einschließlich der Treiber und der Anwendungen - ist wirklich die Hölle. Ich tu alles dafür, dass dieser Fall nicht eintritt. Den eigens für die Festplatten-Images angeschafften Sicherungs-Server habe ich mir einige hundert Euro kosten lassen. Der Aufbau des "Backup-Konzepts" hat mich ein paar Abende gekostet und die Pflege der Lizenzschlüssel diverser Anwendungen ist ein Heidenaufwand. Die Verfahren, die eine Windows-Welt für den Privatanwender bereithält, sind - milde gesagt - Steinzeit. Man muss sich doch wundern: Man sitzt vor einem Computer und weder Treiberverwaltung noch Software-Manager ist automatisiert. Man macht alles mit der Hand am Arm. Ich habe das Gefühl, dass die Situation mit Einzug der modernen Zeiten sogar noch übler wurde. Die Lizenzdaten sind in den Online-Accounts der Anbieter über das Internet verstreut.

Letztens traf der Gau nach zwei Jahren dann doch ein und ich musste das Windows-System neu aufsetzen. Nach einem Nachmittag lief das Grundsystem wieder. Office 2010 hatte ich als Download-Ausgabe gekauft und konnte mich einfach nicht erinnern, bei wem eigentlich und wo der Lizenzschlüssel hinterlegt war. Über eine mühsame Rekonstruktion 2 Jahre alter E-Mails konnte ich eine Spur aufnehmen und die Situation einigermaßen nachvollziehen. Und das, obwohl ich eigentlich akribisch dokumentiere, wann ich welche Lizenzschlüssel kaufe. Der ganze Vorgang zog sich ein paar Tage hin, weil ich noch ein paar E-Mails mit dem Lieferanten wechselte - der allerdings nur virtuell die Schultern hob.

Inzwischen bin ich der Meinung, dass ein Windows-System nichts mehr für den Privatgebrauch ist. Das mag in Unternehmen deutlich anders aussehen. Meine Wahrnehmung ist jedoch, dass im privaten Umfeld hinter jedem "Windows-Dummy" ein Verwandter oder Bekannter steht, der die Sache wieder richtet. Also Grube Nummer 1: Stringente Lizenzregeln und Piraterie-Drohgebärden. Geht mir inzwischen gehörig auf den Keks und trifft ironischerweise nur die, die für die Software tatsächlich Geld bezahlen.

Die Sache mit dem UEFI erinnert mich doch stark an das Trusted Platform Module. Das ist doch grandios gescheitert. Ich habe viele Jahre als Sicherheitsanalyst gearbeitet und die Erkenntnis gewonnen, dass man für wirksame Sicherheit vor allem Erfahrung mit dem Anwender und die Expertise von Psychologen braucht. Keine technisch verplombte Tür, an der steht "Eltern haften für ihre Kinder" (Wo habt Ihr als Kinder gespielt?). Als juristische Laie verblüfft mich dann noch, wie man solche Vorhaben kartellrechtlich argumentieren will? Und das Schlüsselmanagement von OEMs ist sicher mindestens so vertrauenswürdig, wie das von renommierten CAs a la DigiNotar - weil sich OEMs so gut damit auskennen? Also Grube Nummer 2: Technische Symptombehandlung.

Die Installation eines Linux-Systems ist in wenigen Minuten über den Berg. Das ist so komfortabel, dass ich Distributionen schnell mal ausprobiere. Ich würde im Leben nicht auf die Idee kommen, eine "Windows-Distribution" mal eben auszuprobieren. Ich weiß nicht, ob ich kommerziellen Anbietern den Rat geben möchte, sie sollen doch bitte den Kunden nicht aus dem Auge verlieren. Ich habe genug Zeit mit denen verbracht. Ich bin unbelehrbar und durchaus bereit, Geld für Software zu zahlen. Ich habe allerdings noch nie (tatsächlich nie) das Gefühl gehabt, das war ein gutes Geschäft.




Bewertung: 116 Punkte bei 14 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...