Wird Windows 8 Linux (und andere) ausbooten?

Sicheres Booten als Problem für Linux

Sicheres Booten als Problem für Linux

Kristian Kißling
21.09.2011 Will ein Hardware-Hersteller einen zertifizierten Rechner mit Windows-8-Logo verkaufen, muss er "sicheres Booten" anbieten. Das aber macht einen Dualboot mit Linux (und älteren Windows-Versionen) schwierig bis unmöglich.

Wer sich zukünftig einen Rechner kauft, der für Windows 8 zertifiziert ist (mit dem Windows-Logo), sollte zweimal nachdenken: Der für das Zertifikat notwendige sichere Boot-Prozess von Windows 8 sperrt womöglich Nutzer anderer Betriebssysteme aus. Er erfordert für die am Bootprozess beteiligte Software und Firmware Zertifizierungen durch eine Certificate Authority (CA). Zudem muss die BIOS-Firmware durch UEFI ersetzt werden (PPTX-Dokument). Microsofts offizielle Begründung für diesen Schritt lautet Malware-Prävention.

Aufgefallen ist die neue Anforderung Matthew Garrett. Das Problem sei weniger die UEFI-Spezifikation für das Booten (Linux unterstützt den Vorläufer EFI), sondern die Zertifizierung, schreibt Garrett in seinem Blog. Die werde mit Schlüsseln umgesetzt, die von Microsoft stammen oder vom Hardware-Hersteller. Ohne die passenden Schlüssel verweigere der Rechner das Booten. Damit also Linux bootet, müssten der Bootloader Grub oder - in Zukunft - der Kernel signiert werden. Das sei nicht nur für selbstgebaute Kernel ein Problem, sondern auch für den unter der GPL stehenden Bootloader Grub.

Garrett verfällt jedoch nicht in Panik: Die Hardware-Hersteller würden vermutliche eine Boot-Option anbieten, um das sichere Booten zu unterdrücken. Dann bliebe allerdings noch ein gravierendes anderes Problem: Für Dual-Boots müssten die Anwender jedes Mal zwischen sicherem und unsicherem Booten umschalten. Das würde aber auch für einen Dual-Boot mit Windows 7 oder früher gelten. Insofern wird vielleicht sogar Microsoft selbst dafür sorgen, sich nicht ins eigene Bein zu schießen und rechtzeitig eine Lösung für das Problem finden.

Ähnliche Artikel

Kommentare
Monopolstellung missbraucht?
Stefan Josten (unangemeldet), Sonntag, 02. Oktober 2011 20:30:48
Ein/Ausklappen

Ist das ganze nichts ein Faz von Missbrauch der Marktmacht von Microsoft? Und damit ein Falle für die EU-Wettbewerbshüter? Weiß jemand ob und wie man die einschaltet?


Bewertung: 89 Punkte bei 7 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Ein neuer Versuch andere auszusperren
Günter Kreuscher (unangemeldet), Dienstag, 27. September 2011 23:13:03
Ein/Ausklappen

Zur Zeit könnte ich mich zurück lehnen und sagen damit habe ich kein Problem. WINDOWS benutze ich selten. Nur wegen der verfluchten Banking-Software bzw. wegen dem Teil das die TAN-Nummer generiert. WINDOWS befindet sich auf einer eigenen Platte. Benutzen tue ich WINDOWS XP. Ob ich LINUX oder WINDOWS hoch laufen lassen will steuere ich übers BIOS.

Nur ob diese meine heile Welt sich so erhalten läßt ist leider unwahrscheinlich. Was dann? Vielleicht zwei Rechner einer mit WINDOWS und einer mit LINUX?


Bewertung: 83 Punkte bei 4 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Ein neuer Versuch andere auszusperren
Werner Heisenberg (unangemeldet), Mittwoch, 28. September 2011 17:33:45
Ein/Ausklappen

Hallo Günter !

1. Hast Du mal versucht, Deine Bankingsoftware über Wine unter Linux zum Laufen zu bekommen ? Dann könntest Du auf diese einzige, große Sicherheitslücke, die sich Windows nennt, endlich verzichten. Es gibt inzwischen Trojanerbaukästen, die verschlüsselte Custom-Trojaner generieren, die an jedem Virenscanner vorbeigehen. Wenn sich Dein XP, mit dem Du Online-Banking machst, so einen einfängt, bringst Du ein sowieso schon instabiles Element (nämlich Windows) in eine kritisiche Situation.

Die Trojanerbaukästen, die sowas drauf haben, und natürlich nur unter Windows funktionieren, nennen sich im Übrigen "BiFrost", "SubSeven" und "Poison Ivy". Man kann sie überall runterladen, und sie sind von so gut wie JEDEM bedienbar.

Hier unten runter sind Links, die zu Videos führen, in denen die Fähigkeiten der Baukästen demonstriert werden. Sie sind meiner Ansicht nach ausgesprochen überzeugend :

Trojaner-Baukasten Poison Ivy :
www.sempervideo.de/?p=7544

Trojaner-Baukasten BiFrost :
www.sempervideo.de/?p=7567

Trojaner-Baukasten SubSeven :
www.sempervideo.de/?p=7651

2. Eine andere Option wäre, Dir die PINs oder TANs von Deiner Bank generieren zu lassen. Ins der Praxis läuft das dann so, dass Du eine Karte von Deiner Bank in die Hand bekommst, auf der die (sagen wir mal) nächsten 30 PINs und TANs draufstehen. Frag' Deine Bank einfach, ob sie diese Option anbieten.

Mit freundlichen Grüßen,
Werner.


Bewertung: 97 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Sinn & Zweck der Aktion
linux-admin (unangemeldet), Montag, 26. September 2011 03:51:17
Ein/Ausklappen

ist lediglich BIOS Mods und SLP & SLIC Bootloader zu unterbinden.
Bis heute war Microsoft nicht in der Lage Systemordner wie "System Volume Information" oder "Recycler" vor Malware zu schützen. Was sollte also ein UEFI Cert an diesem Umstand ändern?

Die ganze Geschichte mit dem neuen Bootloader hat einen driftigen Hintergrund: SLICv3, das neue Lizenzierungsverfahren für OEMs. Und wie die Lemminge werden die Hardwarehersteller mitziehen.
Ich habe keinen Zweifel daran, daß MS das durchzieht.
Netter Side-Effekt: Linux wird an die Entwicklung von MS gebunden.
Auf jeden Fall ist das eine bedenkliche & brisante Entwicklung.


Bewertung: 80 Punkte bei 4 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Wird Windows 8 Linux (und andere) ausbooten ?
Werner Heisenberg (unangemeldet), Donnerstag, 22. September 2011 20:44:10
Ein/Ausklappen

Hi !

Ich kann beim besten Willen nicht erkennen, in welcher Weise sich hier -irgendein- Problem für den Linux-User ergeben soll, denn :


a) Für den Linux-User (der von seinem OS überzeugt ist) ist eine MS-Zertifizierung in der Regel sowieo lächerlich und daher noch nichtmal einen feuchten Dreck wert.

b) Der normale Linux-User kauft allein schon aus Treibergründen selten oder garkeine Fertigsysteme.

c) Ich kenne keinen einzigen Linux-User, für den es ein größeres Problem darstellen würde, sich seine Hardware selbst zusammenzustellen / zusammenzusetzen.

d) Sollte es tatsächlich dazu kommen, dass man Linux auf manchen Rechnern nicht installieren kann, wird sich schnell ein Markt für Komplettsysteme entwickeln, auf denen die Linux- oder die Dualbootinstallation funktioniert - denn dort, wo eine Nachfrage existiert, wird es schnell Angebote geben (Gesetz von Angebot und Nachfrage).

Mit anderen Worten ist diese Maßnahme entweder ein populistischer Schachzug, um wechselfreudigen Usern Angst zu machen und damit wieder zurück ins Boot von MS zu holen, oder mal wieder so ein schwachsinniger, MS-typischer Gedanke der nicht funktioniert - wie so viele Aktionen von MS ...

Gibt also keinerlei Grund zur Aufregung.

Grüziwohl !


Bewertung: 140 Punkte bei 8 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Wird Windows 8 Linux (und andere) ausbooten ?
S M-W, Sonntag, 25. September 2011 02:17:06
Ein/Ausklappen

Ich muss W.H. leider widersprechen. Seine Argumentation passt (genau) auf erfahrene Linux-User, wie wohl die meisten hier. Für Einsteiger trifft jedoch weder b), c) noch d) zu.
Ich unterrichte Gymnasiasten in einem Einführungskurs in (echte) Informatik (d.h. nicht ICT). Diese Jugendlichen kommen dort zum ersten Mal mit Linux in Kontakt. Sie verwenden eigene Laptops, welche zumeist recht aktuell sind. Es ist jetzt schon nicht immer leicht, die passenden Treiber für alle Graphik- und Wireless-Karten zusammenzuklauben, um alle Kisten unter Linux zum laufen zu bringen.
Die Vorstellung, dass Microsoft als de facto-Standardgeber in Sachen Desktop- & Laptop-Hardware (abgesehen vom Hardware-/OS-Konglomerat Apple) eine obskure Hürde einbaut, erschreckt mich sehr. Ich hoffe, dass dies tatsächlich auf allen Geräten als Option im UEFI Boot-Prozess deaktivierbar ist, wie in http://blogs.msdn.com/b/b8/...-os-environment-with-uefi.aspx dargestellt.
Einsteiger auf eigene Faust werden trotzdem durch drakonische Warnungen à la "Sie verlassen den geschützten (d.h. überwachten) Bereich der Welt und müssen nun selber anfangen zu denken!" abgeschreckt.


Bewertung: 130 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...