Will ein Hardware-Hersteller einen zertifizierten Rechner mit Windows-8-Logo verkaufen, muss er “sicheres Booten” anbieten. Das aber macht einen Dualboot mit Linux (und älteren Windows-Versionen) schwierig bis unmöglich.
Wer sich zukünftig einen Rechner kauft, der für Windows 8 zertifiziert ist (mit dem Windows-Logo), sollte zweimal nachdenken: Der für das Zertifikat notwendige sichere Boot-Prozess von Windows 8 sperrt womöglich Nutzer anderer Betriebssysteme aus. Er erfordert für die am Bootprozess beteiligte Software und Firmware Zertifizierungen durch eine Certificate Authority (CA). Zudem muss die BIOS-Firmware durch UEFI ersetzt werden (PPTX-Dokument). Microsofts offizielle Begründung für diesen Schritt lautet Malware-Prävention.
Aufgefallen ist die neue Anforderung Matthew Garrett. Das Problem sei weniger die UEFI-Spezifikation für das Booten (Linux unterstützt den Vorläufer EFI), sondern die Zertifizierung, schreibt Garrett in seinem Blog. Die werde mit Schlüsseln umgesetzt, die von Microsoft stammen oder vom Hardware-Hersteller. Ohne die passenden Schlüssel verweigere der Rechner das Booten. Damit also Linux bootet, müssten der Bootloader Grub oder – in Zukunft – der Kernel signiert werden. Das sei nicht nur für selbstgebaute Kernel ein Problem, sondern auch für den unter der GPL stehenden Bootloader Grub.
Garrett verfällt jedoch nicht in Panik: Die Hardware-Hersteller würden vermutliche eine Boot-Option anbieten, um das sichere Booten zu unterdrücken. Dann bliebe allerdings noch ein gravierendes anderes Problem: Für Dual-Boots müssten die Anwender jedes Mal zwischen sicherem und unsicherem Booten umschalten. Das würde aber auch für einen Dual-Boot mit Windows 7 oder früher gelten. Insofern wird vielleicht sogar Microsoft selbst dafür sorgen, sich nicht ins eigene Bein zu schießen und rechtzeitig eine Lösung für das Problem finden.
Hi ! Ich kann beim besten Willen nicht erkennen, in welcher Weise sich hier -irgendein- Problem für den Linux-User ergeben soll, denn : a) Für den Linux-User (der von seinem OS überzeugt ist) ist eine MS-Zertifizierung in der Regel sowieo lächerlich und daher noch nichtmal einen feuchten Dreck wert. b) Der normale Linux-User kauft allein schon aus Treibergründen selten oder garkeine Fertigsysteme. c) Ich kenne keinen einzigen Linux-User, für den es ein größeres Problem darstellen würde, sich seine Hardware selbst zusammenzustellen / zusammenzusetzen. d) Sollte es tatsächlich dazu kommen, dass man Linux auf manchen Rechnern nicht installieren kann, wird sich… Mehr »
Ich muss W.H. leider widersprechen. Seine Argumentation passt (genau) auf erfahrene Linux-User, wie wohl die meisten hier. Für Einsteiger trifft jedoch weder b), c) noch d) zu. Ich unterrichte Gymnasiasten in einem Einführungskurs in (echte) Informatik (d.h. nicht ICT). Diese Jugendlichen kommen dort zum ersten Mal mit Linux in Kontakt. Sie verwenden eigene Laptops, welche zumeist recht aktuell sind. Es ist jetzt schon nicht immer leicht, die passenden Treiber für alle Graphik- und Wireless-Karten zusammenzuklauben, um alle Kisten unter Linux zum laufen zu bringen. Die Vorstellung, dass Microsoft als de facto-Standardgeber in Sachen Desktop- & Laptop-Hardware (abgesehen vom Hardware-/OS-Konglomerat Apple)… Mehr »
ist lediglich BIOS Mods und SLP & SLIC Bootloader zu unterbinden.
Bis heute war Microsoft nicht in der Lage Systemordner wie “System Volume Information” oder “Recycler” vor Malware zu schützen. Was sollte also ein UEFI Cert an diesem Umstand ändern?
Die ganze Geschichte mit dem neuen Bootloader hat einen driftigen Hintergrund: SLICv3, das neue Lizenzierungsverfahren für OEMs. Und wie die Lemminge werden die Hardwarehersteller mitziehen.
Ich habe keinen Zweifel daran, daß MS das durchzieht.
Netter Side-Effekt: Linux wird an die Entwicklung von MS gebunden.
Auf jeden Fall ist das eine bedenkliche & brisante Entwicklung.
Zur Zeit könnte ich mich zurück lehnen und sagen damit habe ich kein Problem. WINDOWS benutze ich selten. Nur wegen der verfluchten Banking-Software bzw. wegen dem Teil das die TAN-Nummer generiert. WINDOWS befindet sich auf einer eigenen Platte. Benutzen tue ich WINDOWS XP. Ob ich LINUX oder WINDOWS hoch laufen lassen will steuere ich übers BIOS.
Nur ob diese meine heile Welt sich so erhalten läßt ist leider unwahrscheinlich. Was dann? Vielleicht zwei Rechner einer mit WINDOWS und einer mit LINUX?
Hallo Günter ! 1. Hast Du mal versucht, Deine Bankingsoftware über Wine unter Linux zum Laufen zu bekommen ? Dann könntest Du auf diese einzige, große Sicherheitslücke, die sich Windows nennt, endlich verzichten. Es gibt inzwischen Trojanerbaukästen, die verschlüsselte Custom-Trojaner generieren, die an jedem Virenscanner vorbeigehen. Wenn sich Dein XP, mit dem Du Online-Banking machst, so einen einfängt, bringst Du ein sowieso schon instabiles Element (nämlich Windows) in eine kritisiche Situation. Die Trojanerbaukästen, die sowas drauf haben, und natürlich nur unter Windows funktionieren, nennen sich im Übrigen “BiFrost”, “SubSeven” und “Poison Ivy”. Man kann sie überall runterladen, und sie sind… Mehr »
Ist das ganze nichts ein Faz von Missbrauch der Marktmacht von Microsoft? Und damit ein Falle für die EU-Wettbewerbshüter? Weiß jemand ob und wie man die einschaltet?