Seite 1 von 2

Secure Boot Unterstützung

Verfasst: 07 Feb 2017, 11:40
von r4tzeblitz
Hallo zusammen.

Ich hoffe die Frage wurde noch nicht gestellt:

Wird perspektivisch das Linux Bootimage signiert, sodass eine Windows Installation mit aktiviertem UEFI Secure Boot möglich ist?

Viele Grüße

r4tze

Re: Secure Boot Unterstützung

Verfasst: 07 Feb 2017, 19:05
von SisterOfMercy
When would one need this? I'm not saying you don't need it, but I'm totally not understanding why people would want it. (yes I know what secureboot does)

Re: Secure Boot Unterstützung

Verfasst: 08 Feb 2017, 09:41
von r4tzeblitz
You need it for some Windwos Features like Windows 10 Device Guard and Credential Guard.
And for some security audit visitors it's a serios problem if you can load unsigned bootimages.

Re: Secure Boot Unterstützung

Verfasst: 08 Feb 2017, 10:19
von ueluekmen
Hi,

ja natürlich denken wir darüber nach und versuchen auch dran zu bleiben. Auch wenn ich hier Sister recht geben muss. Was hat man davon? Im Normallfall hält das Secureboot nicht wirklich jemanden ab böses zu tun. Im Gegenteil, durch Implementierungsfehler im UEFI kann man das secureboot auch im laufenden Betrieb abschalten und die Firmware manipulieren. Das man Code nachladen kann, was immer ein NO-GO in der Sicherheitstechnik war, wird hier als Feature angepriesen. Ich bin nicht gegen UEFI, das MBR mal ersetzt werden muss ist auch mir klar. GPT finde ich richtig und auch richtig gelungen. Hat zwar auch so seine Tücken, besonders die MS-Partitionstypen, von denen niemand weiß wofür man Sie braucht, aber alles in allem richtig.

Was mich besonders erschüttert, ist das man seine Sicherheit, die von den Auditern auch so blind vorausgesetzt wird eigentlich einer privaten Firma aus Redmond in die Hand drückt. Das ist nicht nur bei UEFI so, sondern auch in anderen Bereichen, google einfach mal nach TPM... mehr muss man dazu nicht sagen. Was ich nicht einsehen will, was verspricht man sich dadurch? Ist es jetzt sicherer nur weil Microsoft die einzigen sind, die signieren dürfen? Die bauen eine CA Struktur auf den Geräten auf, die schon in der Vergangenheit bei SSL für das ein oder andere Böse erwachen gesorgt haben.

Nun zum Technischen: ;)
Secureboot ist zwar bei uns ein Thema, aber es wird in der Praxis von unserer Kundschaft nicht so oft angefragt, wie man meinen würde (du bist seit langem der erste, der fragt 8-) ). Vielleicht wollt Ihr euch auch an einem ProofOfConcept beteiligen, wenn euch das Feature wichtig ist?!?!

Re: Secure Boot Unterstützung

Verfasst: 08 Feb 2017, 11:01
von r4tzeblitz
Ich bin mir der Problematik bewusst und auch kein Fan davon, dass Microsoft sich anmaßt zu bestimmen wer vertrauenswürdig ist oder wer nicht. Außerdem hat Microsoft ja auch schon bei Win 10 Previews bewiesen das man sich bei dieser Thematik schöne Eigentore bauen kann. :)
Bis jetzt leben wir gut damit Secure Boot vor dem Deployment zu deaktivieren und hatten auch nie Probleme damit.

Problematisch wird es dann, wenn Windows Features angefordert werden die SecureBoot voraussetzen. Siehe die "Guard" Geschichten. Wer weiß wie Microsoft sich in Zukunft in Richtung Secure Boot und Security Features weiterentwickeln wird!?

Sollten diese Anforderungen auftreten würden wir uns gerne an einem PoC beteiligen.

Re: Secure Boot Unterstützung

Verfasst: 08 Feb 2017, 12:08
von ueluekmen
r4tzeblitz hat geschrieben:Problematisch wird es dann, wenn Windows Features angefordert werden die SecureBoot voraussetzen. Siehe die "Guard" Geschichten. Wer weiß wie Microsoft sich in Zukunft in Richtung Secure Boot und Security Features weiterentwickeln wird!?
Ja, dass ist die große Frage. Das Wissen die selber noch nicht so genau. Die bauen Ihre internen Konzepte auch fast täglich um. Abwarten und reagieren würde ich da sagen. Wie gesagt, wir beobachten das Thema sehr genau, sehen aber nach wie vor keine große Notwendigkeit. Das ist genauso wie UEFI. Wir haben das Modul schon ewig mit drin und es hieß damals, jetzt wird alles umgestellt und es geht nur UEFI. Bis jetzt hat sich das ausser auf Tablets und einigen Notebooks auch noch nicht als Wahrheit herausgestellt. In der Praxis werden Rechner auch nicht so oft ersetzt, wie sich das einige Hersteller aus der Sicht des Konsumgedanken wünschen würden. Deshalb halte ich persönlich auch nichts von den Aussagen, ob das PC-Geschäft jetzt stärker oder schwächer war als im Vorjahr. Weil das nur für Anleger der großen Hersteller vielleicht interessant ist, das heißt aber nicht, dass weniger Rechner als im Vorjahr im Betrieb sind. Deshalb gilt immer der Leitspruch: Es wird nie so heiß gegessen, wie gekocht. 8-)
r4tzeblitz hat geschrieben:Sollten diese Anforderungen auftreten würden wir uns gerne an einem PoC beteiligen.
Für den Fall könnt Ihr uns gerne direkt kontaktieren. ;)

Re: Secure Boot Unterstützung

Verfasst: 08 Feb 2017, 17:12
von r4tzeblitz
Vorstellbar wäre eventuell eine Implementierung des Shim Bootloaders, welcher dann das opsi Bootimage anstartet.

Re: Secure Boot Unterstützung

Verfasst: 09 Feb 2017, 15:35
von ueluekmen
Wäre eine Möglichkeit. Nach kurzem drauf schauen ist es dann doch nicht so einfach. Weil shim zwar signiert ist, aber er prüft intern den nächsten Stage auch, ob er signiert ist. Das bekommt man in den Griff, ob nun mit shim, gummiboot oder sonst irgendwas, aber dafür braucht es einen anständigen PoC, damit ein Kollege auch mal die Zeit bekommt, mit dem kram rum zu spielen.

Wenn jemand damit schon Erfahrung gemacht und mit opsi auch paar Spielereien angestellt hat, sind wir natürlich für jede Info dankbar. :D

Re: Secure Boot Unterstützung

Verfasst: 10 Feb 2017, 11:44
von SisterOfMercy
ueluekmen hat geschrieben:Wir haben das Modul schon ewig mit drin und es hieß damals, jetzt wird alles umgestellt und es geht nur UEFI. Bis jetzt hat sich das ausser auf Tablets und einigen Notebooks auch noch nicht als Wahrheit herausgestellt. In der Praxis werden Rechner auch nicht so oft ersetzt, wie sich das einige Hersteller aus der Sicht des Konsumgedanken wünschen würden.
NVMe drives on half of the motherboards I encountered need UEFI mode.

Re: Secure Boot Unterstützung

Verfasst: 10 Feb 2017, 14:59
von ueluekmen
Hi Sister,

hier geht es um SecureBoot. 8-)

Das man UEFI braucht, steht hier außer Frage. Das wird von opsi ja auch supported. Ob man zwingend Secureboot braucht war hier die Frage. Ich hätte auch Secureboot gerne in opsi drin, aber im Moment sind aus unserer Sicht und aus Sicht der Kundenwünsche andere Sachen dringender.

Übrigends hat mein Kollege in der letzten Zeit auch schon Spaß mit NVMe gehabt ;)