Abo
  • Services:
Anzeige
Matthew Garrett spricht über UEFI, Secure Boot.
Matthew Garrett spricht über UEFI, Secure Boot. (Bild: Daniel Pook/Golem.de)

Freiheit heißt, selbst zu entscheiden

In der Podiumsdiskussion bekräftigte Garrett, dass genau dieser Punkt ganz im Sinne der Nutzerfreiheit sei - ein ihm sehr wichtiges Ziel. Jeder könne mit Secure Boot selbst bestimmen, welcher Code auf dem eigenen Rechner ausgeführt wird und welcher nicht.

Diese Art der Freiheit ist gleichzeitig ein Sicherheitsgewinn. Denn Malware wie Keylogger und Bootkits könnten sich nicht mehr ohne weiteres auf Computern einbringen lassen. Das schützt wiederum die Privatsphäre jedes Einzelnen vor Bespitzelungen.

Anzeige

Voraussetzung für diese Freiheit und Sicherheit ist jedoch, dass die Hardware-Hersteller Secure Boot und die UEFI-Firmware in einer Weise implementierten, die es ermöglicht, eigene Schlüssel zu hinterlegen und ein anderes Betriebssystem zu installieren. In der Zeit, in der sich Garrett mit der Thematik befasst hat, hat das nicht immer geklappt.

UEFI-Implementierungen mit Fehlern

Der Grund dafür sei aber nicht etwa die Böswilligkeit der Hardware-Hersteller gewesen, sondern schlicht Fehler in der UEFI-Implementierung, sagte er. Garret berichtete von Toshiba-Laptops, die keinen korrekten Signaturschlüssel enthielten und dadurch den Start einer Linux-Distribution verwehrten. Auch auf einigen Geräten von Lenovo sei eine Parallelinstallation von Windows und Linux nicht möglich.

Außerdem bauten die Hersteller selbst Fehler in UEFI ein, zum Beispiel Samsung in Laptops, die unter bestimmten Umständen nicht mehr benutzbar waren, da die Firmware nicht startete. Der Fehler fiel zunächst nur Linux-Nutzern auf. Garrett fand jedoch heraus, dass sich der Bug in Samsungs Firmware auch unter Windows 7 ohne Secure Boot auslösen ließ. Ähnliches entdeckte Garrett auch auf Hauptplatinen von Intel.

Secure-Boot-Probleme noch nicht völlig ausgeräumt

"Alle Fehler, die uns bekannt sind, haben wir bereits behoben", sagte Garrett, bezog sich damit aber leider nur auf die Kernel-Entwickler. Diese haben einige Workarounds in den Quellcode eingebaut, um die Fehler der Hardware-Hersteller auszubügeln. Teilweise müssen Funktionen im Kernel ausgeschaltet werden, damit sie die Fehler in UEFI nicht auslösen.

In einem Fall verhindere der bestehende Workaround für ein System sogar effektiv die Installation von Linux auf einem anderen System, sagte Garrett. "Man kann es zwar nicht beschädigen, aber auch kein Linux darauf installieren." Für Linux-Nutzer heißt das, beim Kauf aktueller Geräte darauf zu vertrauen, dass die Firmware einigermaßen fehlerfrei ist. Bei etwas älteren Modellen ist sehr oft ein Firmware-Update angebracht.

Secure Boot im Server

Für Unternehmen, die großen Wert auf die Sicherheit und Integrität ihrer Server legen, könnte Secure Boot ebenfalls von Nutzen sein, sagte Garrett Golem.de. Denn auch hier gelte, dass mit Secure Boot letztlich der Administrator entscheide, welche Software ausgeführt wird.

Doch neben der noch fehlenden Unterstützung von einigen Kernel-Funktionen wie Kexec sprach Garrett ein Detail an, das in der UEFI-Spezifikation nicht berücksichtigt wurde: Derzeit muss eine Person physisch am Rechner sitzen, die die Installation eines Schlüssels in die Firmware bestätigt. Diese Sicherheitsmaßnahme ist auf Desktop-Systemen durchaus sinnvoll. In einer Serverumgebung mit mehreren Rechnern müsste auf jedem Einzelnen eine Linux-Distribution installiert werden. Damit wäre eine automatisierte Installation über das Netzwerk nicht mehr möglich.

Viele Serverhersteller bieten bereits Hardware mit UEFI an. Ob künftig auch Secure Boot auf Server-Hardware Anwendung findet, regelt höchstwahrscheinlich die Nachfrage. Ein Kernel-Entwickler, der nicht genannt werden möchte, äußerte gegenüber Golem.de auf dem Linuxtag starke Zweifel, dass diese Nachfrage je bestehen wird. Garrett, der seit etwa einem halben Jahr für den Server- und Cloud-Hosting-Spezialisten Nebula arbeitet, ist davon nicht überzeugt. Immerhin ist die mit Secure Boot gewonnene Freiheit und Sicherheit ein starkes Argument.

 Matthew Garrett: "UEFI ist kein böser Plan von Microsoft"

eye home zur Startseite
Danse Macabre 02. Feb 2015

Linux sein Problem ... schon bei der Grammatik schüttelt es einen.

Ass Bestos 18. Jul 2013

was ist falsch an anarchos?

DAUVersteher 13. Jun 2013

Dank inzwischen mehrerer signierten Bootloader sind auch LiveCDs bei aktiviertem...

DAUVersteher 13. Jun 2013

Da die meisten Themen hier nur über UEFI bzw. Secrureboot meckern brech ich mal ne Lanze...

Baron Münchhausen. 31. Mai 2013

"Das Problem mit Zitaten im Internet ist, dass Sie behaupten, ich hätte etwas über eine...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Giesecke & Devrient 3S GmbH, München
  3. Tetra GmbH, Melle
  4. MT AG, Ratingen bei Düsseldorf


Anzeige
Spiele-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Sicherheitsupdate Microsoft-Compiler baut Schutz gegen Spectre
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Nicht so schwer:

    sofries | 04:54

  2. Re: Verstehe das Geschrei nicht

    Bachsau | 04:30

  3. Re: verständlicher move nach vega_mobile ...

    ms (Golem.de) | 04:24

  4. Re: Danke nein, ich warte lieber auf Vega + Intel...

    ms (Golem.de) | 04:20

  5. Re: 1050 und dann noch langsamer?

    ms (Golem.de) | 04:17


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel