• IT-Karriere:
  • Services:

Windows 8

Bootloader per Zertifikat gesperrt

Microsoft nutzt ab Windows 8 standardmäßig UEFI und installiert dort seinen Bootloader. Dieser soll signiert werden. Damit wird eine Dualboot-Installation mit Linux äußerst schwierig.

Artikel veröffentlicht am ,
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden.
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden. (Bild: Microsoft)

Rechner, die für Windows 8 zertifiziert werden, müssen statt mit einem herkömmlichen Bios mit UEFI-Firmware ausgestattet sein. Der dort abgelegte Bootloader für Windows soll signiert werden. Bei der Installation weiterer Betriebssysteme - etwa Linux - könnte Windows seinen Bootloader als kompromittiert erachten und den Windows-Start verweigern.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Herne
  2. über duerenhoff GmbH, Raum Wuppertal

Laut Microsoft sollen ab Windows 8 sämtliche Firmware und Software, die für den Boot-Prozess verantwortlich sind, mitsigniert werden. Hardwareunterstützung etwa durch das Trusted Platform Modul (TPM) ist nicht grundsätzlich nötig. Gültige Signaturen hingegen sind für den Start von Windows-8-Clients zwingend. Selbst die UEFI-Firmware muss mit einer Signatur versehen werden, etwa um bei Updates den Bios-Nachfolger abzusichern.

Bitlocker beim Booten entschlüsseln

Mit der neuen Sicherheitsinfrastruktur soll es auch künftig möglich sein, per Bitlocker verschlüsselte Festplatten beim Systemstart einzubinden. Hier ist allerdings TPM notwendig. Zusätzlich sollen Rechner mit Bitlocker-Verschlüsselung von Administratoren ohne Eingriff des Benutzers über das Netzwerk gestartet werden können. Die Freigabe erfolgt über entsprechende Schlüssel.

Die neue Sicherheitsinfrastruktur erschwert aber die Parallelinstallation von Linux auf Windows-8-Rechnern. Laut Red-Hat-Entwickler Matthew Garrett kommt dabei nur ein von Microsoft mitgelieferter Schlüssel infrage, denn jedem Hardwarehersteller die Auslieferung eines individuellen Schlüssels zu überlassen, dürfte nicht umzusetzen sein. Außerdem wäre es nahezu unmöglich, Boxed-Versionen von Windows 8 zu installieren, denn diese müssten jeweils von OEMs signiert werden.

GPL und öffentliche Schlüssel

Nach Ansicht von Garrett wären Linux-Distributoren also darauf angewiesen, dass entsprechende Bootloader wie Grub ebenfalls mit entsprechenden Schlüsseln ausgestattet werden. Grub2 steht aber unter der GPLv3 und diese verlangt auch die Offenlegung von Schlüsseln. Die erste Grub-Version steht unter der GPLv2, die zwar die Veröffentlichung von Schlüsseln nicht verlangt, aber so ausgelegt werden kann, dass sie freigegeben werden müssen.

Sollte sich das Problem mit den öffentlichen Schlüsseln lösen lassen, etwa durch einen Bootloader, der nicht unter der GPL steht, dann müsste der entsprechende Schlüssel von sämtlichen Herstellern mitgeliefert werden. Außerdem sollen künftige Kernel-Versionen ohne Bootloader auskommen. Dann müsste der Kernel selbst mit einem Schlüssel signiert werden - und dieser steht unter der GPLv2.

Garrett hofft, dass Hersteller im UEFI eine entsprechende Option implementieren, mit der Secure Boot ausgeschaltet werden kann. Allerdings befürchtet er, dass Windows 8 nur dann gestartet werden kann, wenn die Option eingeschaltet ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Windows 10 Home bei Alternate
Zu den Kommentaren springen
Meistgelesen
  1. Messenger
    Was es mit der Signal-PIN auf sich hat
  2. IT-Freelancer
    Nur scheinbar scheinselbstständig
  3. Architekturzeichnung
    Elon Musk zeigt Tesla-Fabrik in Grünheide
  4. Xiaomi
    Elektromofa Ninebot C30 kostet nur 470 Euro
  5. Terrorismus
    Gamer unter Terrorverdacht
Anzeige
Top-Angebote
  1. (u. a. H65BE7000 165cm für 479,99€, H55BE7000 138cm für 314,99€, Hisense 75AE7000F 190cm für...
  2. 55,90€ (mit Club-Deal-Rabatt - Bestpreis!)
  3. (u. a. DXRacer Formula Series F08-NB Gaming Stuhl aus Kunstleder für 214,90€, SONGMICS...
  4. (u. a. Crucial MX500 500GB für 55,90€, Fritz!Box 7530 für 105,28€, Razer Deathadder Essential...
Kommentarübersicht
Bevormundung und Rückschritt
yelda 30. Sep 2011

Langsam habe ich das Gefühl, das man von überall her mehr und mehr bevormundet wird...

Re: Wirklich ein Nachteil?
Anonymer Nutzer 24. Sep 2011

Erkläre bitte hier und jetzt was Kinderpornographie und illegale Downloads mit der...

Re: UEFI BIOS
spanther 24. Sep 2011

Da fragt man sich echt, was bitte hat ein "Netzwerkstack" im EFI Bios zu suchen? Zugriff...

Re: Mein Gott, haben die Angst vor Linux...
spanther 24. Sep 2011

Du wunderst dich dass dein Akku nach 2,5 Jahren Benutzung nur noch 65% der Kapazität...

Re: wen stören schon irgendwelche schlüssel?
spanther 24. Sep 2011

Für ein Serversystem löblich :) Ressourcen sollten nie in GUI verblasen werden! ^^ Aber...

Folgen Sie uns
       
Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
Coronavirus
Coronakrise: Die Maske schreibt mit
Coronakrise
Die Maske schreibt mit

Ein Startup aus Japan hat einen intelligenten Mundschutz entwickelt, der die Worte des Trägers aufnehmen, übersetzen und verschicken kann. Ein Problem gibt es aber bei der Zielgruppe.
Ein Bericht von Felix Lill

  1. Coronakrise Unternehmen könnten längerfristig auf Homeoffice setzen
  2. Curevac Tesla baut mobile Moleküldrucker für Corona-Impfstoff
  3. Jens Spahn Bislang 300 Infektionsmeldungen über Corona-Warn-App
TLS
HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
HTTPS/TLS
Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

  1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
  2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
  3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger
Autonomes Fahren
Staupilot: Wie deutsche Hersteller beim autonomen Fahren rumeiern
Staupilot
Wie deutsche Hersteller beim autonomen Fahren rumeiern

Vom kommenden Jahr an dürfen erstmals selbstfahrende Autos in Deutschland unterwegs sein. Doch kein Hersteller verspricht ein konkretes Produkt.
Eine Analyse von Friedhelm Greis

  1. Hochautomatisiertes Fahren UN beschließt Vorgaben für Staupiloten
  2. Auto BMW und Daimler beenden Kooperation zum autonomen Fahren
  3. Autonomes Fahren Entwickler baut selbstfahrendes Auto für GTA V
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /