• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Secure Boot

Rosendoktor

Well-Known Member
Themenstarter #1
Hi alle,

nachdem ich ja nun meine erste Secure Boot fähige Maschine habe, auf der Debian, FreeBSD und Windows laufen, wollte ich es natürlich wissen... :ugly:

Okay, Debian kein großes Problem, deren Setup mit Shim funktioniert out of the box, bei Windows muss man eh nichts machen, der Krempel kommt ja von denen, und bei FreeBSD lief es darauf hinaus einen eigenen db (und dbx) Key zu erzeugen, im UEFI zu hinterlegen und den FreeBSD UEFI Loader damit zu signieren. Dann lassen sich alle drei Systeme entweder direkt oder über GRUB im Secure Boot Modus starten.

Debian und Windows führen die Validierung ja weiter über den Kernel bis zu den Modulen/Treibern, FreeBSD aber noch nicht, dessen Kernel und Module liegen aber immerhin auf verschlüsselten Partitionen die vom signierten und validierten UEFI Loader entsperrt werden.

Allerdings frage ich mich nach der ganzen Aktion, was das eigentlich bringen soll. Denn im Grunde kann ja jeder der Zugriff auf das Gerät hat, im UEFI das Secure Boot einfach abschalten und die Bootloader (und ggf Kernel/Treiber, sofern nicht verschlüsselt) beliebig manipulieren. Das UEFI ist zwar mit Passwort gesichert, aber wer weiß schon wie sicher das wirklich ist bei all den verschiedenen Geräten.

Oder hab'ich da einen Denkfehler? Gegen welche Angriffe soll Secure Boot eigentlich absichern? :confused:

Grüße,

Robert
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#3
Für FreeBSD ist Secure Boot im Kommen, es wird wahrscheinlich in 13.0 dabei sei. Es hat solange gedauert, da es für normale Desktops und Server weitgehend sinnlos ist und das Interesse daher lange gering war. Man kann sicher ein paar Szenarien konstruieren, in dem eine komplette Signaturkette vom UEFI bis hoch zur libc sinnvoll ist, aber wie du schon sagst, ist es in den meisten Fällen dort einfach unnützer Aufwand mit sehr überschaubaren Vorteilen. Viel interessanter ist es dann auch für geschlossene Systeme, denn man kann durch eine geschlossene Signaturkette verhindern, dass andere Software als vom Hersteller vorgesehen ausgeführt wird. Das kann man im Sinne des Kunden nutzen, bei FreeBSD ist z.B. Juniper die im Moment treibende Kraft hinter Secure Boot. Sie wollen verhindern, dass ein Angreifer die Firmware ihrer Geräte manipulieren kann. Man kann es eben auch missbrauchen, um den Kunden in einen goldenen Käfig zu sperren. Gute Beispiele sind die diversen Smartphones, deren Bootloader gesperrt ist und nicht anderes als das Hersteller-Android bootet.


Das UEFI ist zwar mit Passwort gesichert, aber wer weiß schon wie sicher das wirklich ist bei all den verschiedenen Geräten.
Tja. Das kommt drauf an. Bei normaler Konsumerhardware ist der Schutz oft überschaubar. Es gibt aber auch Fälle wie z.B. bei neueren Thinkpads, wo ein Passwort so ziemlich entgültig ist und sich (wenn man es nicht kennt) nur durch enormen Aufwand bis hin zum Überschreiben von auf dem Mainboard verlöteten Chips durch externe Hardware entfernen lässt.
 

Rosendoktor

Well-Known Member
Themenstarter #4
Danke, mir ist inzwischen einiges klarer.

Ohne mich näher damit beschäftigt zu haben bin ich davon ausgegangen, dass Secure Boot vor allem gegen Offline Angriffe schützen soll, also gegen Manipulation der unverschlüsselten Bootloader (und ggf. Kernel) bei physischem Zugriff auf das Gerät. Zweifel daran hab ich dann bekommen, als ich gesehen habe, wie einfach sich Secure Boot ausschalten lässt und wie leicht sich die Keys im UEFI austauschen lassen. Alles nur geschützt durch ein windiges Passwort, welches sich wohl irgendwie auch noch mehr oder weniger einfach zurücksetzen lässt. Okay, bei Geräten die ordentlich vernagelt sind wird Secure Boot wohl diesen Zweck auch erfüllen.

Gar nicht bewusst war mir, dass auch Online Angriffe durch Malware, die sich auf Kernelebene einnisten will durch Secure Boot erschwert werden bzw. spätestens beim nächsten Start auffliegen. Scheint mir eher der wichtigere Schutz zu sein bei normalen Servern und Desktops. Schön, dass FreeBSD da dran ist und es wohl bald kommt, auch wenn ich mir da bei meinen PCs und Laptops da wenig Sorgen mache. :)

Grüße, Robert