Secure boot, TPM und alle diese schönen neuen Sicherheitsmaßnahmen. Alteingesessenen Linux-Veteranen sind sie ein Dorn im Auge, weil sie ihre gefühlte Kontrolle über das System beeinträchtigen. Da werden gerne mal die Fakten gebogen, um das eigene Weltbild zu pflegen.
Ich habe in der Vergangenheit hier so manche Lanze für die neuen Sicherheitsmaßnahmen in moderner Hardware gebrochen. Natürlich sind sie nicht perfekt und es gibt theoretische Risiken, aber sie bieten in bestimmten Szenarien substanzielle Vorteile. Wer es nicht nutzen möchte, kann alles abschalten. Das ist die volle Wahlfreiheit. Bereits im Februar hatte ich viel der angeblichen Kritik als FUD bezeichnet. Aus Angst und Unsicherheit geschürte Zweifel.
Es gibt bereits seit einigen Wochen Querelen zwischen Microsoft als Zertifizierungsstelle und den Entwicklern alternativer Betriebssysteme, was natürlich zuvorderst Linux betrifft. Microsoft möchte die Sicherheitsfunktionen mit seinem neuen Pluton-Chip stärken und hat in einer speziellen Einstellung die CA-Schlüssel Dritter gesperrt. Betroffen sind aktuell nur Kunden ganz neuer Lenovo-Notebooks, wobei dies es natürlich abstellen können. Das wird sich wie immer zurecht ruckeln und die Aufmerksamkeit kommt primär dadurch zustande, dass prominente Vertreter hier über Bande spielen und die Öffentlichkeit einbinden.
Den Vogel abgeschossen hat aber kürzlich Heise mit einem an Falschmeldung grenzenden Artikel „Bootloader-Signaturen per Update zurückgezogen: Microsoft bootet Linux aus„. Die Artikelüberschrift ist nicht nur völlig irreführend, sondern Heise mokiert sich über etwas, das eigentlich gut ist. Unsichere und veraltete Grub-Installationen werden von Secure Boot ausgeschlossen. Ein Problem haben nur Anwender völlig veralteter Linux-Installation. Mehr dazu kann man bei glasen nachlesen.
Warum das Heise macht, liegt meiner Meinung nach auf der Hand. Das Medium steigt schon länger ab und ist es längst nicht mehr „die“ IT-Zeitschrift von einst. Abozahlen kennen sie nur selbst, aber die c’t liegt längst nicht mehr in jeder IT-Abteilung als Dauerabo aus. Das hat natürlich etwas mit dem Medienwandel allgemein zu tun, aber Heise reagiert darauf – wie ich finde – mit einer speziellen Taktik. Klickzahlen verursachen nur noch kurze Aufreger und die Trollsportplattform – genannt Forum – auf der abgehängte Alleshasser ihren Frust über die Welt ablassen. Diese immer engere Zielgruppe bedient man mit solchen Artikeln. Gerne am Freitag vor dem Wochenende.
In der Linux-Blase wurde die Meldung natürlich gerne aufgegriffen und sogar noch irreführender verpackt. Plötzlich war ganz Ubuntu 20.04 betroffen und eine kleine Verschwörung zwischen Microsoft und den Hardwareherstellern konstruiert, bei denen sich Microsoft die „alleinstehend die Kontrolle über die Zertifizierungsstelle“ sicherte. Das muss derselbe böse Masterplan wie beim Microsoft-Novell-Deal gewesen sein… Der naheliegende Fall, dass es einfach gar keine Zertifizierungsstelle gab, Microsoft für seinen Secure Boot-Ansatz vorangehen musste und keine Lust auf langwierige und zu nichts führende Verhandlungen mit dem heterogenen Linux-Haufen und seinem Marktanteil von <5% hatte, schien wohl zu naheliegend. Die Ironie, Kunden von Lenovo 13z Notebooks auf eine Seite der FSFE zu verweisen, die T400 Notebooks führt, setzt dem ganzen die Krone auf. Wenn man andauernd um Reichweite und Spenden wirbt, sollte man auch um Qualität bemüht sein.
Die Berichterstattung und die Kommentare, auch hier im Blog, führen mich zu einem anderen Punkt: Die Linux-Community muss echt aufpassen, dass sie nicht in alternative Fakten abgleitet, weil ihr die Entwicklung in manchen Bereichen nicht passt. Unterschiedliche Perspektive einzunehmen bedeutet nicht, sich die Fakten zurecht zu schieben, wie sie im eigenen Weltbild Platz finden.
Darum nochmal kurz die Fakten zusammen gefasst:
- Microsoft entwickelt Secure Boot weiter. Das reibt sich manchmal mit Linux-Interessen. Ein Ausschluss alternativer Systeme ist nicht angekündigt und nicht geplant. Daran hätten nicht zuletzt Hersteller wie Lenovo, HP oder Dell mit Business-Kunden auch gar kein Interesse.
- Microsoft und die Linux-Distributionen arbeiten seit vielen Jahren zuverlässig zusammen und ermöglichen es auch Linux von Secure Boot profitieren zu lassen. Das betrifft auch Community-Distributionen wie z. B. Debian. Wenn eine Distribution kein Secure Boot unterstützt, dann weil sie es nicht will.
- Microsoft hat als Zertifizierungsstelle Zertifikate für unsichere Systeme zurückgezogen und damit seine Funktion als Zertifizierungsstelle erfüllt.
Es müsste IMO vom Securebootkosortium garantiert sein, dass in jedem BIOS/EFI, das Secureboot anbietet, Secureboot vollständig und ohne weitere Einschränkungen abgeschaltet werden kann, sowie der Hardwarebesitzer jeden Konfigurationsschritt, ohne jede Einschränkung, selbstbestimmt, mit Hilfe allgemein zugänglicher und dokumentierter Werkzeuge, vornehmen kann, ohne spezifische Betriebssysteme verwenden zu müssen.
Warum soll man etwas regeln, das bisher kein Problem war? Das ist doch letztlich total überzogene Regulierungswut. Secure Boot kann man auf jeder noch so billigen Flunder abschalten.
Das ganze Security-Theater ist völlig überflüssig, solange Microsoft beliebige Bootloader und sogar Malware signiert.
https://www.heise.de/news/DefCon-30-Kritik-an-Microsoft-und-Unsicherheiten-in-UEFI-Secure-Boot-7221728.html
https://www.golem.de/news/malware-microsoft-signiert-rootkit-2106-157685.html
Was übrig bleibt ist nur eine weitere Hürde, die es den Leuten schwieriger macht, Linux auf ihren Geräten zu installieren.
Aber ohne die Signatur „beliebiger“ Loader, gäbe es kein Linux mit Secure Boot. Das ist ein Henne-Ei-Problem. Anstelle das Problem bei Microsofts Signaturpraxis zu suchen könnte man ebenso die Shim-GRUB Kombination als Problem identifizieren.
Dass immer mal wieder Schadsoftware zertifiziert wird, lässt sich nicht vermeiden. Ist Google und Apple auch schon passiert.
Okay, also ist es in Ordnung, wenn beliebige Bootloader und ab und an auch mal Schadsoftware signiert wird.
Wenn wir das akzeptieren, wofür brauchen wir Secure Boot dann noch? Sollte es uns nicht genau davor schützen?
Nein, aber es ist durch die Pfadabhängigkeiten im PC-Sektor (wozu Notebooks auch gehören) quasi nicht zu ändern. Eine Lösung bestünde tatsächlich ja nur in dem von vielen so gefürchteten Ausschluss von Linux oder noch viel strengere Kontrollen, was Community-Linux ausschließen würde. Lösungen, die gleichzeitig sicherer sein sollen und trotzdem offen für Alternativen, laufen eben in diese Probleme. Apple mit seiner Hardware-Software-Kombination hat es da einfacher.
Die Frage ist, ob man Probleme angehen möchte, oder lieber gleich alles über Bord werfen möchte und die verifizierte Bootkette gleich mit ausschüttet. Leute, die letzteres fordern haben meiner Meinung nach nur darauf gewartet, dass es Probleme gibt, um dann endlich die zu ihrem geliebten Status quo ante zurückkehren zu können.
Zu Ubuntu 20.04.5. Ich habe mir das aktuelle Image heruntergeladen und versucht auf einem PC mit aktivem Secure Boot zu starten. Das hat dort in der Tat nicht funktioniert.
Auf einem anderen PC mit H510 Mainbuard und aktuellem Bios(changelog – Change the default setting of Secure Boot.) klappt es und ich kann Ubuntu 20.04.5 laden. Was kann dort an den „default Settings“ geändert worden sein, dass Ubuntu startet?
Die Firmware-Ebene wird immer mehr beachtet werden müssen, ich denke das hat Microsoft schon lange erkannt.
Hier mal ein Beispiel dafür:
Verwundbare UEFI Backdoors in Lenovo Laptops entdeckt
https://www.welivesecurity.com/deutsch/2022/04/19/verwundbare-uefi-backdoors-in-lenovo-laptops-entdeckt/
Und? Genau deshalb gibt es doch monatlich Updates für die Firmware bei allen professionellen Herstellern. Natürlich kann man die ausufernde Firmware irgendwie doof finden, aber ohne diese würde auch extrem viel gar nicht funktionieren…
Mehr Open Source in dem Bereich wäre natürlich nett.
Warum dein 20.04.5 mit Secure Boot zickt, kann dir wohl niemand sagen, der das System nicht hat. „Ein PC mit aktivem Secure Boot“ kann ja echt viel bedeuten.
Weil das Image von Ubuntu 20.04.5 eben eine verwundbare Grub Version beinhaltet. Deshalb startet die nicht. Dieser Grub Version wurde quasi die Lizenz entzogen. Kann man nur starten, indem man SecureBoot abschaltet. Wenn man dann eben dieses Ubuntu installiert, und voll updatet, dann kann man SecureBoot wieder einschalten, weil dann die neuere Version den Fehler nicht mehr hat.
@chris_blues
Ubuntu 20.04.5 startet ja auf einem PC mit Secure Boot. Es ist der PC, für den es vor zwei Monaten dieses „Change the default setting of Secure Boot“ Bios Update gab.
Ich finde es schade das du so abwertend schreibst. Zumindest bei dem Artikel bei GLN ging es in erster Linie darum, darauf aufmerksam zu machen, dass diese wie du selbst schreibst wichtige Rolle, nicht in den Händen einer einzelnen Firma liegt. Das Argument, dass zur damaligen Zeit Microsoft einfach angepackt hat um eine Lösung anbieten zu können, lasse ich nicht gelten. Hätten sie Interesse daran, wäre es ohne weiteres möglich, eine unabhängige Infrastruktur aufzubauen.
Das Microsoft Druck auf Hersteller ausübt ist darüber hinaus durchaus begannt, wie die Entscheidung nur noch Microsoft Zertifikate zuzulassen, gut zeigt.
Klar kann man hier argumentieren, dass es einen Sicherheitsgewinn darstellt, allerdings erschwert es darurch die Installation von Freien Alternativen. Mit dieser Argumentationskette förderst du lediglich proprietäre Insellösungen. Wie heisst das neu so schön: Dynamic Island?
Spinnen wir den Gedanken mal weiter. Diese unabhängige Stiftung benötigt natürlich Mitarbeiter und finanzielle Ressourcen. Microsoft hat bei Desktop- und Notebookverkäufen jenseits der Apple-Hardware einen Marktanteil >95%. Wer müsste dann also die Stiftung finanzieren. Vermutlich Microsoft. Wer würde in dem Fall sofort die mangelnde Unabhängigkeit kritisieren und behaupten, die Stiftung sei doch vollständig von Microsoft abhängig? Sicher einige aus der Linux-Community 😉 Siehe analog die Mozilla Foundation.
Das ist tatsächlich nicht so abwegig wie es dir scheit. Siehe aktuell beispielsweise die Integration von PyTorch (Meta) in die Linux Foundation.
Das sind Äpfel und Birnen. Außerdem ist die Linux Foundation ähnlich wenig neutral wie Microsoft. Das wäre vom Regen in die Traufe.
Eher vergleichbar ist die Zertifizierung mit Projekten wie Let’s Encrypt. Aber die haben sich noch nicht mal an S/MIME heran gewagt und daher glaube ich nicht, dass sie ein Interesse an diesem Thema hätten.
Wenn man sich die Sponsoren hinter Let’s encrypt anschaut, frage ich mich ernstlich wer das für Secure Boot leisten sollte. Lediglich Microsoft und die Hardwarehersteller fallen mir da ein. Keine Ahnung, ob die ein Problem mit der aktuellen Struktur und Änderungsbedarf sehen.
Also, ich blicke da bald nicht mehr durch. Ich (für meinen Teil) werde mir in Zukunft nur noch PCs kaufen ohne vorinstalliertem Betriebssystem, damit wäre die Sache mit TPM/Secure Boot wohl vom Tisch, anschliessend bügel ich mir irgenteine Linuxdistribution auf dem Rechner.
Nein, Secure Boot und TPM haben nichts mit dem vorinstallierten Betriebssystem zu tun, sondern sind auf Hardware- und Firmware-Ebene. Du wirst kaum ein Gerät finden, das beides nicht hat.
… Marktanteil > 95% … Halte ich für ein Gerücht. Dass du dabei mitmachst, wundert mich. Im Westen wird Microsoft auf dem Desktop noch einen Weile Vorreiter sein, aber auch da bekommen sie Probleme, eingeklemmt zwischen Apple und ja, Linux, mit Chromebooks und den immer stärker werdenden SBC’s und Tablets. In asiatischen Ländern, wie z.B. China und Indien, wirds schon viel dünner. Von den Ländern auch gewollt.
Aber Mal was anderes:
UEFI, das ist doch eine Linux Ding?
Ich fahre also die Hardware mit einem Linux hoch , um dann Windows zu booten? Ernsthaft?
Vielleicht liege ich ja auch ganz daneben. Kam schon vor.
Ich halte die Strategie von Microsoft, um Secure Boot und diesen ganzen Krimskrams ausschließlich in Eigenregie durchzuziehen, für kurzichtig.
Wäre auch bei MS nicht das 1.Mal, dass etwas daneben lagen.
Ich schrieb jenseits der Apple-Hardware (und gedanklich kannst du gerne ChromeOS-Hardware hinzufügen). Sollten dir andere Zahlen vorliegen. Gerne her damit.
Und wieso sollte UEFI ein „Linux-Ding“ sein?
Und wieso sollte Microsoft das nicht in Eigenregie durchziehen? Wen sollten sie denn einbinden?
Etwas mehr Butter bei die Fische bitte.