Abo
  • Services:

Windows 8

Bootloader per Zertifikat gesperrt

Microsoft nutzt ab Windows 8 standardmäßig UEFI und installiert dort seinen Bootloader. Dieser soll signiert werden. Damit wird eine Dualboot-Installation mit Linux äußerst schwierig.

Artikel veröffentlicht am ,
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden.
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden. (Bild: Microsoft)

Rechner, die für Windows 8 zertifiziert werden, müssen statt mit einem herkömmlichen Bios mit UEFI-Firmware ausgestattet sein. Der dort abgelegte Bootloader für Windows soll signiert werden. Bei der Installation weiterer Betriebssysteme - etwa Linux - könnte Windows seinen Bootloader als kompromittiert erachten und den Windows-Start verweigern.

Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. Bosch Gruppe, Abstatt

Laut Microsoft sollen ab Windows 8 sämtliche Firmware und Software, die für den Boot-Prozess verantwortlich sind, mitsigniert werden. Hardwareunterstützung etwa durch das Trusted Platform Modul (TPM) ist nicht grundsätzlich nötig. Gültige Signaturen hingegen sind für den Start von Windows-8-Clients zwingend. Selbst die UEFI-Firmware muss mit einer Signatur versehen werden, etwa um bei Updates den Bios-Nachfolger abzusichern.

Bitlocker beim Booten entschlüsseln

Mit der neuen Sicherheitsinfrastruktur soll es auch künftig möglich sein, per Bitlocker verschlüsselte Festplatten beim Systemstart einzubinden. Hier ist allerdings TPM notwendig. Zusätzlich sollen Rechner mit Bitlocker-Verschlüsselung von Administratoren ohne Eingriff des Benutzers über das Netzwerk gestartet werden können. Die Freigabe erfolgt über entsprechende Schlüssel.

Die neue Sicherheitsinfrastruktur erschwert aber die Parallelinstallation von Linux auf Windows-8-Rechnern. Laut Red-Hat-Entwickler Matthew Garrett kommt dabei nur ein von Microsoft mitgelieferter Schlüssel infrage, denn jedem Hardwarehersteller die Auslieferung eines individuellen Schlüssels zu überlassen, dürfte nicht umzusetzen sein. Außerdem wäre es nahezu unmöglich, Boxed-Versionen von Windows 8 zu installieren, denn diese müssten jeweils von OEMs signiert werden.

GPL und öffentliche Schlüssel

Nach Ansicht von Garrett wären Linux-Distributoren also darauf angewiesen, dass entsprechende Bootloader wie Grub ebenfalls mit entsprechenden Schlüsseln ausgestattet werden. Grub2 steht aber unter der GPLv3 und diese verlangt auch die Offenlegung von Schlüsseln. Die erste Grub-Version steht unter der GPLv2, die zwar die Veröffentlichung von Schlüsseln nicht verlangt, aber so ausgelegt werden kann, dass sie freigegeben werden müssen.

Sollte sich das Problem mit den öffentlichen Schlüsseln lösen lassen, etwa durch einen Bootloader, der nicht unter der GPL steht, dann müsste der entsprechende Schlüssel von sämtlichen Herstellern mitgeliefert werden. Außerdem sollen künftige Kernel-Versionen ohne Bootloader auskommen. Dann müsste der Kernel selbst mit einem Schlüssel signiert werden - und dieser steht unter der GPLv2.

Garrett hofft, dass Hersteller im UEFI eine entsprechende Option implementieren, mit der Secure Boot ausgeschaltet werden kann. Allerdings befürchtet er, dass Windows 8 nur dann gestartet werden kann, wenn die Option eingeschaltet ist.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  3. 149€ (Bestpreis!)
  4. bei Alternate vorbestellen

yelda 30. Sep 2011

Langsam habe ich das Gefühl, das man von überall her mehr und mehr bevormundet wird...

Anonymer Nutzer 24. Sep 2011

Erkläre bitte hier und jetzt was Kinderpornographie und illegale Downloads mit der...

spanther 24. Sep 2011

Da fragt man sich echt, was bitte hat ein "Netzwerkstack" im EFI Bios zu suchen? Zugriff...

spanther 24. Sep 2011

Du wunderst dich dass dein Akku nach 2,5 Jahren Benutzung nur noch 65% der Kapazität...

spanther 24. Sep 2011

Für ein Serversystem löblich :) Ressourcen sollten nie in GUI verblasen werden! ^^ Aber...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
    Lenovo Thinkpad T480s im Test
    Das trotzdem beste Business-Notebook

    Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
    2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
    3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
    Zukunft der Arbeit
    Was Automatisierung mit dem Grundeinkommen zu tun hat

    Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
    Eine Analyse von Daniel Hautmann

    1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
    2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
    3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

      •  /