Fedora mit/ohne SecureBoot

[nutrix]

Hier noch was zum lesen:
:
Also alles sehr vertrauenswürdig aus der Hand von einem großen Konzern, der alles andere als für Sicherheit bekannt ist.

Eine Meldung von 2014 und 2016? 🙄 Leute, das ist über 10 und 8 Jahre her, da hat sich mittlerweile schon was getan.

Ergänzung (3. Juli 2024)

Ich werde doch jetzt nicht so blöd sein, das Booten meiner Rechner von etwas abhängig zu machen, was MS signiert hat.

Liest jemand hier auch die Links, die gepostet werden? 🙄

Ich bin grad auf das Thomas-Krenn-Wiki zu dem Thema gestoßen.

Secure Boot ist ein Teil der UEFI-Spezifikation

Ergänzung (3. Juli 2024)

Was macht "Kernisolierung", "VBS" und "HVCI"?
Wofür schützt "Kernisolierung, "VBS" und "HVCI" und wofür nicht?

Sorry, das wurde hier in CB bereits in Artikeln und anderswo weiter ausführlich erklärt. Man sollte vom einem mündigen CB-User erwarten könnte, daß er sich entsprechend selbst einliest.

Secure Boot verhindert in keinster Weise das auch Dritte auf deiner Kiste Schadsoftware installieren.

Doch, tut es. Es hat keiner behauptet, daß es perfekt ist. Und nochmals, es ist bei Windows (nicht bei Linux) Voraussetzung (und was manche hier verwechseln, nicht abhängig, das ist ein Unterschied) für den Einsatz von TPM, was wiederum Voraussetung (und hier ist es abhängig) für Kernisolierung ist.

Sicherheit ist mehr als nur weiteres Schlangenöl auf das Problem zu werfen.
Woher kommen eigentlich diese magischen Eigentschaften die Secure Boot immer wieder zugeschrieben werden? Macht M$ da ordentlich Propaganda?

Sicherheit ist bestimmt kein Schlangenöl.
Überraschung: IBM verwendet für AIX auch schon lange Secure Boot
https://www.ibm.com/docs/de/aix/7.3?topic=configuration-secure-boot

Fakt ist eben, daß Microsoft die Abhängigkeiten so geschaffen hat. Dafür kann ich und kein anderer hier was. Wofür aber alle was können, wenn Begriffe und Konzepte mißverständlich durcheinandergebracht werden, und jeder Sicherheitsaspekt blind abgelehnt wird.

Fakt ist ebenso, das SB Teil der UEFI-Spezifikation ist, damit hat MS so gar nichts zu tun. Sprich, Linux und Co. können das genauso nutzen wie MS. Sie könnten es auch signieren.
https://www.admin-magazin.de/Das-He...ot-und-alternative-Betriebssysteme/(offset)/2

• Signieren der eigenen Bootloader durch Microsoft.
• Hinterlegen eines eigenen KEK-Schlüssels durch den Hardware-Hersteller. Offenbar verfügt jedoch kein weiterer Betriebssystemanbieter über die entsprechende politische Marktmacht, um die Hardware-Hersteller flächendeckend von der Installation weiterer KEK-Schlüssel überzeugen zu können.
• Erzeugen eines eigenen Platform Key (PK) und Hinterlegen in der UEFI-Firmware. Durch den Austausch des Platform Keys wird ein Zugriff auf alle weiteren Zertifikatsspeicher möglich. Das Ersetzen eines Platform Keys bedingt jedoch physischen Zugang zum System.

Siehe IBM oben, die signieren hier auch selbst.

Und auch wenn alle hier darüber jammern, ja, es macht das System ein Stück sicherer. Da es nicht perfekt ist, liegt in der Natur der Sache bzgl. Sicherheit, kein System ist perfekt sicher. Ihr geht immer davon aus, daß wenn absolute Profis und Experten eine Sicherheitslücke ausnützen können, daß es jeder Wald- und Wiesendieb oder sonstwer, der das System angreifen will, das auch sofort kann. Nein, tut es nicht.

Nur weil etwas nicht perfekt ist, und man dann gleich ALLE Sicherheitsaspekte über Bord wirft, halte ich für eine falsche Einstellung. Genauso wie diejenigen, die bis heute mit Win7 im Netz unterwegs sind, und meine, alle Risiken im Netz abfangen zu können, ohne das etwas passiert, die irren sich genauso wie diejenigen, die meinen, alle Schutzmaßnahmen seinen für private Zwecke nutzlos.

 

[mike78sbg]

Eine Meldung von 2014 und 2016? 🙄 Leute, das ist über 10 und 8 Jahre her, da hat sich mittlerweile schon was getan.

Dann hier ein aktueller Artikel zum Thema Secure Boot und Sicherheitslücken. 😉
Nächster Akt im Secure-Boot-Drama: Startverbot für alle (!) Windows-Bootloader

Abschalten und System wechseln ist das beste was man machen kann.

[....] Anders formuliert: Wenn Ihre Sicherheitsstrategie daraus besteht, sich auf Virenscanner und Firewall zu verlassen und ansonsten Daumen zu drücken, dann kommt es auf Secure Boot nicht an. Dann können Sie diese Funktion im BIOS-Setup deaktivieren. [....]

[....] Was Sie also nun tun können? Im Grunde bleibt nur, entweder damit leben zu lernen, was Microsoft da für Sie plant, oder aber zu einem anderen Betriebssystem zu wechseln [....]

Der Artikel von 2016 ist heute nämlich immer noch aktuell. Wenn du das gelesen hättest, wüsstest du das. 😉

Ergänzung (3. Juli 2024)

Doch, tut es.

Nein, tut es nicht. Sonst könntest du selber auch keine SW mehr installieren. Wie kommt Schadsoftware in der Regel auf den Rechner? Indem man den User dazu bringt es zu installieren.

Typische Vorgehensweise, Email mit link zu einer Schadsoftware. Größtes Einfallstor ist Outlook.

Überraschung: IBM verwendet für AIX auch schon lange Secure Boot

Du greifst echt nach jedem Strohhalm, um Recht zu behalten. Verstehen tust du es aber nicht.

IBM nutzt nicht das Secure Boot wie mit x86 kompatiblen Rechnern und Windows, sondern die nutzen was eigenes. Das Prinzip mag dasselbe sein, aber es kommt nicht von Microsoft. Außerdem geht es hier um Server Anwendungen, nicht um Konsumer Geräte.
Die Verwenden auch andere CPUs ( POWER9 ) dafür.

Hier sind wir wieder beim Thema Use Case !!

IBM Server haben einen gänzlich anderen Anwendungsfall. Da sitzt auch niemand vor der Kiste und klickt auf eine Mail, sondern da hackt sich unter Umständen jemand rein und installiert Schadsoftware. Von daher bringt das dort auch wirklich Sinn.
Vor allem funktioniert das System auch, im Gegensatz zu Microsofts unsicherer Secure Boot Implementierung.
Und so ein Server kostet eine Menge Geld. Und da bekommst schon ein sehr gutes Auto dafür.

 

[foofoobar]

Sorry, das wurde hier in CB bereits in Artikeln und anderswo weiter ausführlich erklärt. Man sollte vom einem mündigen CB-User erwarten könnte, daß er sich entsprechend selbst einliest.

Gib mal die Links ich hab das nicht gefunden. Und auch bei M$ finde ich nur Blabla.