Secure Boot Unterstützung

r4tzeblitz
Beiträge: 66
Registriert: 17 Sep 2015, 17:55

Secure Boot Unterstützung

Beitrag von r4tzeblitz »

Hallo zusammen.

Ich hoffe die Frage wurde noch nicht gestellt:

Wird perspektivisch das Linux Bootimage signiert, sodass eine Windows Installation mit aktiviertem UEFI Secure Boot möglich ist?

Viele Grüße

r4tze
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: Secure Boot Unterstützung

Beitrag von SisterOfMercy »

When would one need this? I'm not saying you don't need it, but I'm totally not understanding why people would want it. (yes I know what secureboot does)
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
r4tzeblitz
Beiträge: 66
Registriert: 17 Sep 2015, 17:55

Re: Secure Boot Unterstützung

Beitrag von r4tzeblitz »

You need it for some Windwos Features like Windows 10 Device Guard and Credential Guard.
And for some security audit visitors it's a serios problem if you can load unsigned bootimages.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitrag von ueluekmen »

Hi,

ja natürlich denken wir darüber nach und versuchen auch dran zu bleiben. Auch wenn ich hier Sister recht geben muss. Was hat man davon? Im Normallfall hält das Secureboot nicht wirklich jemanden ab böses zu tun. Im Gegenteil, durch Implementierungsfehler im UEFI kann man das secureboot auch im laufenden Betrieb abschalten und die Firmware manipulieren. Das man Code nachladen kann, was immer ein NO-GO in der Sicherheitstechnik war, wird hier als Feature angepriesen. Ich bin nicht gegen UEFI, das MBR mal ersetzt werden muss ist auch mir klar. GPT finde ich richtig und auch richtig gelungen. Hat zwar auch so seine Tücken, besonders die MS-Partitionstypen, von denen niemand weiß wofür man Sie braucht, aber alles in allem richtig.

Was mich besonders erschüttert, ist das man seine Sicherheit, die von den Auditern auch so blind vorausgesetzt wird eigentlich einer privaten Firma aus Redmond in die Hand drückt. Das ist nicht nur bei UEFI so, sondern auch in anderen Bereichen, google einfach mal nach TPM... mehr muss man dazu nicht sagen. Was ich nicht einsehen will, was verspricht man sich dadurch? Ist es jetzt sicherer nur weil Microsoft die einzigen sind, die signieren dürfen? Die bauen eine CA Struktur auf den Geräten auf, die schon in der Vergangenheit bei SSL für das ein oder andere Böse erwachen gesorgt haben.

Nun zum Technischen: ;)
Secureboot ist zwar bei uns ein Thema, aber es wird in der Praxis von unserer Kundschaft nicht so oft angefragt, wie man meinen würde (du bist seit langem der erste, der fragt 8-) ). Vielleicht wollt Ihr euch auch an einem ProofOfConcept beteiligen, wenn euch das Feature wichtig ist?!?!
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
r4tzeblitz
Beiträge: 66
Registriert: 17 Sep 2015, 17:55

Re: Secure Boot Unterstützung

Beitrag von r4tzeblitz »

Ich bin mir der Problematik bewusst und auch kein Fan davon, dass Microsoft sich anmaßt zu bestimmen wer vertrauenswürdig ist oder wer nicht. Außerdem hat Microsoft ja auch schon bei Win 10 Previews bewiesen das man sich bei dieser Thematik schöne Eigentore bauen kann. :)
Bis jetzt leben wir gut damit Secure Boot vor dem Deployment zu deaktivieren und hatten auch nie Probleme damit.

Problematisch wird es dann, wenn Windows Features angefordert werden die SecureBoot voraussetzen. Siehe die "Guard" Geschichten. Wer weiß wie Microsoft sich in Zukunft in Richtung Secure Boot und Security Features weiterentwickeln wird!?

Sollten diese Anforderungen auftreten würden wir uns gerne an einem PoC beteiligen.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitrag von ueluekmen »

r4tzeblitz hat geschrieben:Problematisch wird es dann, wenn Windows Features angefordert werden die SecureBoot voraussetzen. Siehe die "Guard" Geschichten. Wer weiß wie Microsoft sich in Zukunft in Richtung Secure Boot und Security Features weiterentwickeln wird!?
Ja, dass ist die große Frage. Das Wissen die selber noch nicht so genau. Die bauen Ihre internen Konzepte auch fast täglich um. Abwarten und reagieren würde ich da sagen. Wie gesagt, wir beobachten das Thema sehr genau, sehen aber nach wie vor keine große Notwendigkeit. Das ist genauso wie UEFI. Wir haben das Modul schon ewig mit drin und es hieß damals, jetzt wird alles umgestellt und es geht nur UEFI. Bis jetzt hat sich das ausser auf Tablets und einigen Notebooks auch noch nicht als Wahrheit herausgestellt. In der Praxis werden Rechner auch nicht so oft ersetzt, wie sich das einige Hersteller aus der Sicht des Konsumgedanken wünschen würden. Deshalb halte ich persönlich auch nichts von den Aussagen, ob das PC-Geschäft jetzt stärker oder schwächer war als im Vorjahr. Weil das nur für Anleger der großen Hersteller vielleicht interessant ist, das heißt aber nicht, dass weniger Rechner als im Vorjahr im Betrieb sind. Deshalb gilt immer der Leitspruch: Es wird nie so heiß gegessen, wie gekocht. 8-)
r4tzeblitz hat geschrieben:Sollten diese Anforderungen auftreten würden wir uns gerne an einem PoC beteiligen.
Für den Fall könnt Ihr uns gerne direkt kontaktieren. ;)
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
r4tzeblitz
Beiträge: 66
Registriert: 17 Sep 2015, 17:55

Re: Secure Boot Unterstützung

Beitrag von r4tzeblitz »

Vorstellbar wäre eventuell eine Implementierung des Shim Bootloaders, welcher dann das opsi Bootimage anstartet.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitrag von ueluekmen »

Wäre eine Möglichkeit. Nach kurzem drauf schauen ist es dann doch nicht so einfach. Weil shim zwar signiert ist, aber er prüft intern den nächsten Stage auch, ob er signiert ist. Das bekommt man in den Griff, ob nun mit shim, gummiboot oder sonst irgendwas, aber dafür braucht es einen anständigen PoC, damit ein Kollege auch mal die Zeit bekommt, mit dem kram rum zu spielen.

Wenn jemand damit schon Erfahrung gemacht und mit opsi auch paar Spielereien angestellt hat, sind wir natürlich für jede Info dankbar. :D
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: Secure Boot Unterstützung

Beitrag von SisterOfMercy »

ueluekmen hat geschrieben:Wir haben das Modul schon ewig mit drin und es hieß damals, jetzt wird alles umgestellt und es geht nur UEFI. Bis jetzt hat sich das ausser auf Tablets und einigen Notebooks auch noch nicht als Wahrheit herausgestellt. In der Praxis werden Rechner auch nicht so oft ersetzt, wie sich das einige Hersteller aus der Sicht des Konsumgedanken wünschen würden.
NVMe drives on half of the motherboards I encountered need UEFI mode.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitrag von ueluekmen »

Hi Sister,

hier geht es um SecureBoot. 8-)

Das man UEFI braucht, steht hier außer Frage. Das wird von opsi ja auch supported. Ob man zwingend Secureboot braucht war hier die Frage. Ich hätte auch Secureboot gerne in opsi drin, aber im Moment sind aus unserer Sicht und aus Sicht der Kundenwünsche andere Sachen dringender.

Übrigends hat mein Kollege in der letzten Zeit auch schon Spaß mit NVMe gehabt ;)
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Antworten