Secure Boot - leichter gesagt als getan

Das System aus signierten Bootloadern und deren Überprüfung war von Microsoft zunächst ausschließlich für Windows erdacht worden, das gemeinsam mit seinen OEMs dafür gesorgt hat, dass die entsprechenden Schlüssel und signierten Bootloader verteilt werden. Damit waren aber zunächst sämtliche alternativen Betriebssysteme von Windows-Rechnern ausgeschlossen, da diese nicht über signierte Bootloader verfügten.

Stellenmarkt
  1. Informatiker / Software Engineer (m/w/d) Customer Service - IT-Systeme
    AIXTRON SE, Herzogenrath
  2. IT-Anwendungsbetreuer (m/w/d) Krankenhausträgergesellscha- ft
    Knappschaft Kliniken Service GmbH, Gelsenkirchen
Detailsuche

Microsoft machte sich dann selbst zu einer Certificate Authority (CA) für die Secure-Boot-Signaturen und signierte die alternativen Bootloader, allen voran den in Linux genutzten Shim-Loader. Nach Boothole ist Microsoft wohl aber mit der Fülle an Anfragen für neue Signaturen überfordert und kommt mit dem Abarbeiten nicht mehr hinterher.

Dass mit der flächendeckenden Einführung von Secure Boot in Windows andere Betriebssysteme und Hersteller von den Aktionen Microsofts abhängen, war einer der großen Kritikpunkte zur Einführung der Technik. Mit der Boothole-Lücke zeigt sich, dass diese Sorgen absolut berechtigt waren, und Microsoft hat trotzdem nichts oder einfach zu wenig dagegen unternommen.

Liste zu groß

Mehr als irritierend ist auch, dass den Verantwortlichen erst jetzt auffällt, dass der Platz für die Liste der zurückgezogenen Zertifikate und Signaturen beschränkt ist. Allein wegen Boothole müssen 3 Zertifikate und 150 Image-Hashwerte zurückgezogen werden, wie aus einem Eintrag auf Github hervor geht. Zusammen mit bereits vorhergehenden Ereignissen zum Zurückziehen von Signaturen sind damit bereits rund 50 Prozent der nur 32 KByte großen Datenbank belegt, die in der Firmware dafür vorgesehen ist.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Hinzu kommt, dass die Arbeiten im Zusammenhang mit Boothole noch nicht abgeschlossen sind und die Liste entsprechend weiter wachsen könnte. In dem dazu veröffentlichten Dokument heißt es außerdem, dass sich dieser Prozess wohl noch Jahre hinziehen könnte.

Offenbar hat nie jemand darüber nachgedacht, was eigentlich passiert, wenn eine Vielzahl von Signaturen und Hashes zurückgezogen werden muss, und dass die Größe der Datenbank dafür langfristig nicht ausreichen könnte. Diese Überlegungen werden erst jetzt durchgeführt, neun Jahre nach der Einführung von Secure Boot.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bis das Datenbank-Problem gelöst ist, dürfte einiges an Zeit vergehen. Wie Heise.de berichtet, wird Microsoft deshalb bis mindestens Frühjahr 2021 keine weiteren alternativen Shim-Bootloader signieren. Das führt aber das gesamte Secure-Boot-System ad absurdum, da neue Boot-Medien im Zweifel eben nur noch dann starten, wenn Secure Boot deaktiviert ist.

Unternehmen ebenso wie Nutzerinnen und Nutzer müssen bei Problemen aufgrund der Boothole-Lücke also längere Zeit auf eine wichtige Sicherheitsfunktion verzichten, obwohl das Szenario eigentlich hätte betrachtet werden müssen. Das kann doch nicht wahr sein!

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Boothole: Kein Plan, keine Sicherheit
  1.  
  2. 1
  3. 2


derdiedas 21. Dez 2021

"Das System aus signierten Bootloadern und deren Überprüfung war von Microsoft zunächst...

Xandros 24. Nov 2020

Mal abgesehen davon, dass Microsoft niemals in diese Position hätte kommen dürfen, sehe...

Dystopinator 18. Nov 2020

ähm nein, letztes bitte nicht, also voregerenerierte aufgedruckte passwörter die nicht...

x2k 18. Nov 2020

Es gibt einen microcode im bios/uefi der wird beim starten geladen damit die cpu...

Copper 17. Nov 2020

Nein, warum sollte es das auch sein? Behauptet auch niemand. Ist aber für das Problem...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /