docUEFI/SecureBoot - FreieSoftwareOG
download 
Denúncia Transcrição
UEFI/SecureBoot - FreieSoftwareOG
UEFI/SecureBoot - Feinde unserer Freiheit Edgar ’Fast Edi’ Hoffmann Community FreieSoftwareOG [email protected] 3. September 2013 EFI/UEFI Begriffserklärung 2 / 14 EFI/UEFI Begriffserklärung Das Unified Extensible Firmware Interface (kurz UEFI, englisch für Vereinheitlichte erweiterbare Firmware-Schnittstelle) und dessen Vorgänger Extensible Firmware Interface (kurz EFI genannt) beschreiben die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. 2 / 14 EFI/UEFI Begriffserklärung Das Unified Extensible Firmware Interface (kurz UEFI, englisch für Vereinheitlichte erweiterbare Firmware-Schnittstelle) und dessen Vorgänger Extensible Firmware Interface (kurz EFI genannt) beschreiben die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Sitzt logisch gesehen unterhalb des Betriebssystems 2 / 14 EFI/UEFI Begriffserklärung Das Unified Extensible Firmware Interface (kurz UEFI, englisch für Vereinheitlichte erweiterbare Firmware-Schnittstelle) und dessen Vorgänger Extensible Firmware Interface (kurz EFI genannt) beschreiben die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Sitzt logisch gesehen unterhalb des Betriebssystems Nachfolger des PC-BIOS (Fokus: 64-Bit) 2 / 14 EFI/UEFI Begriffserklärung Das Unified Extensible Firmware Interface (kurz UEFI, englisch für Vereinheitlichte erweiterbare Firmware-Schnittstelle) und dessen Vorgänger Extensible Firmware Interface (kurz EFI genannt) beschreiben die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Sitzt logisch gesehen unterhalb des Betriebssystems Nachfolger des PC-BIOS (Fokus: 64-Bit) Ein Bestandteil ist SecureBoot 2 / 14 EFI/UEFI Begriffserklärung 3 / 14 EFI/UEFI Begriffserklärung 3 / 14 SecureBoot Begriffserklärung 4 / 14 SecureBoot Begriffserklärung Teil der UEFI-Spezifikation (um Echtheit/Unverfälschtheit wichtiger Teile der Firmware zu garantieren) 4 / 14 SecureBoot Begriffserklärung Teil der UEFI-Spezifikation (um Echtheit/Unverfälschtheit wichtiger Teile der Firmware zu garantieren) OS-Loader soll z.B. nur ausgeführt werden, wenn eine vertrauenswürdige Institution dazu autorisiert hat 4 / 14 SecureBoot Begriffserklärung Teil der UEFI-Spezifikation (um Echtheit/Unverfälschtheit wichtiger Teile der Firmware zu garantieren) OS-Loader soll z.B. nur ausgeführt werden, wenn eine vertrauenswürdige Institution dazu autorisiert hat Dies wird durch kryptografische Mechanismen (Signaturen) erreicht 4 / 14 SecureBoot Funktionsweise 5 / 14 SecureBoot Funktionsweise Die Schlüssel in der UEFI-Firmware prüfen die Authentizität z.B. des Bootloaders. 5 / 14 SecureBoot Funktionsweise Die Schlüssel in der UEFI-Firmware prüfen die Authentizität z.B. des Bootloaders. Dieser wird nur dann ausgeführt, wenn er eine gültige Unterschrift“vorweist. ” 5 / 14 SecureBoot Funktionsweise Die Schlüssel in der UEFI-Firmware prüfen die Authentizität z.B. des Bootloaders. Dieser wird nur dann ausgeführt, wenn er eine gültige Unterschrift“vorweist. ” Kann eine Unterschrift nicht überprüft werden bzw. ist sie nicht gültig wird das System am Starten gehindert. 5 / 14 SecureBoot Funktionsweise Die Schlüssel in der UEFI-Firmware prüfen die Authentizität z.B. des Bootloaders. Dieser wird nur dann ausgeführt, wenn er eine gültige Unterschrift“vorweist. ” Kann eine Unterschrift nicht überprüft werden bzw. ist sie nicht gültig wird das System am Starten gehindert. Entspricht z.B. die Unterschrift des Bootloaders nicht der, die die UEFI-Firmware erwartet, startet das System nicht. 5 / 14 EFI/UEFI und SecureBoot Vorteile 6 / 14 EFI/UEFI und SecureBoot Vorteile Schnellerer Bootvorgang 6 / 14 EFI/UEFI und SecureBoot Vorteile Schnellerer Bootvorgang Digital Rights Management 6 / 14 EFI/UEFI und SecureBoot Vorteile Schnellerer Bootvorgang Digital Rights Management Schutz vor Malware (z.B. Rootkits) 6 / 14 EFI/UEFI und SecureBoot Vorteile Schnellerer Bootvorgang Digital Rights Management Schutz vor Malware (z.B. Rootkits) Festplatten größer 2,2 TB 6 / 14 EFI/UEFI und SecureBoot Nachteile 7 / 14 EFI/UEFI und SecureBoot Nachteile Der Platform Key befindet sich nicht unter der Kontrolle des Endkunden 7 / 14 EFI/UEFI und SecureBoot Nachteile Der Platform Key befindet sich nicht unter der Kontrolle des Endkunden Für SecureBoot müssen alle Software-Teile signiert werden 7 / 14 EFI/UEFI und SecureBoot Nachteile Der Platform Key befindet sich nicht unter der Kontrolle des Endkunden Für SecureBoot müssen alle Software-Teile signiert werden Dazu zählen auch Hardware-Treiber für die Firmware 7 / 14 EFI/UEFI und SecureBoot Nachteile Der Platform Key befindet sich nicht unter der Kontrolle des Endkunden Für SecureBoot müssen alle Software-Teile signiert werden Dazu zählen auch Hardware-Treiber für die Firmware Für den nachträglichen Einbau von Hardware muss sichergestellt sein, daß sich der Key des Hardware-Herstellers des neuen Bauteils auf dem System befindet 7 / 14 EFI/UEFI und SecureBoot Nachteile Der Platform Key befindet sich nicht unter der Kontrolle des Endkunden Für SecureBoot müssen alle Software-Teile signiert werden Dazu zählen auch Hardware-Treiber für die Firmware Für den nachträglichen Einbau von Hardware muss sichergestellt sein, daß sich der Key des Hardware-Herstellers des neuen Bauteils auf dem System befindet Digital Rights Restrictions Management 7 / 14 EFI/UEFI und SecureBoot Nachteile 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen Nur 64-Bit Betriebssysteme 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen Nur 64-Bit Betriebssysteme Durch rudimentäre Netzwerktreiber angreifbar, noch bevor das Betriebssystem startet 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen Nur 64-Bit Betriebssysteme Durch rudimentäre Netzwerktreiber angreifbar, noch bevor das Betriebssystem startet Alternative Betriebssysteme bzw. Dual-Boot-Konfigurationen werden durch SecureBoot erschwert 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen Nur 64-Bit Betriebssysteme Durch rudimentäre Netzwerktreiber angreifbar, noch bevor das Betriebssystem startet Alternative Betriebssysteme bzw. Dual-Boot-Konfigurationen werden durch SecureBoot erschwert Linux-Installationen nur nach manueller Deaktivierung von SecureBoot in der UEFI-Firmware 8 / 14 EFI/UEFI und SecureBoot Nachteile Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen Hersteller kann beliebige Software am booten hindern Microsoft besitzt in KEK einen Schlüssel, der es erlaubt neue signierte OS hinzuzufügen und Software-Teile zu widerrufen Nur 64-Bit Betriebssysteme Durch rudimentäre Netzwerktreiber angreifbar, noch bevor das Betriebssystem startet Alternative Betriebssysteme bzw. Dual-Boot-Konfigurationen werden durch SecureBoot erschwert Linux-Installationen nur nach manueller Deaktivierung von SecureBoot in der UEFI-Firmware Beim Dual-Boot müsste ständig zwischen Secure und Nicht-SecureBoot gewechselt werden, um signierte und nicht signierte Betriebssysteme zu starten 8 / 14 Trusted Computing 9 / 14 Trusted Computing Der Begriff trusted ist in der Übersetzung mehrdeutig und definiert die Erwartung an ein Gerät oder eine Software, dass es bzw. sie sich für einen bestimmten Zweck in einer, meist vom Hersteller, vordefinierten Art und Weise verhält 9 / 14 Trusted Computing Der Begriff trusted ist in der Übersetzung mehrdeutig und definiert die Erwartung an ein Gerät oder eine Software, dass es bzw. sie sich für einen bestimmten Zweck in einer, meist vom Hersteller, vordefinierten Art und Weise verhält Es bedeutet nicht etwa trustworthy“ ” 9 / 14 Trusted Computing Der Begriff trusted ist in der Übersetzung mehrdeutig und definiert die Erwartung an ein Gerät oder eine Software, dass es bzw. sie sich für einen bestimmten Zweck in einer, meist vom Hersteller, vordefinierten Art und Weise verhält Es bedeutet nicht etwa trustworthy“ ” 9 / 14 Trusted Computing Der Begriff trusted ist in der Übersetzung mehrdeutig und definiert die Erwartung an ein Gerät oder eine Software, dass es bzw. sie sich für einen bestimmten Zweck in einer, meist vom Hersteller, vordefinierten Art und Weise verhält Es bedeutet nicht etwa trustworthy“ ” Trusted Computing 9 / 14 EFI/UEFI und SecureBoot Beispiele 10 / 14 EFI/UEFI und SecureBoot Beispiele TiVo 10 / 14 EFI/UEFI und SecureBoot Beispiele TiVo XBox 10 / 14 EFI/UEFI und SecureBoot Beispiele TiVo XBox Playstation 10 / 14 EFI/UEFI und SecureBoot Linux kann’s (teilweise) 11 / 14 EFI/UEFI und SecureBoot Linux kann’s (teilweise) Mittlerweile haben einige große Distributionen signierte Bootloader: 11 / 14 EFI/UEFI und SecureBoot Linux kann’s (teilweise) Mittlerweile haben einige große Distributionen signierte Bootloader: Ubuntu (ab 12.04) 11 / 14 EFI/UEFI und SecureBoot Linux kann’s (teilweise) Mittlerweile haben einige große Distributionen signierte Bootloader: Ubuntu (ab 12.04) Fedora (ab 18) 11 / 14 EFI/UEFI und SecureBoot Linux kann’s (teilweise) Mittlerweile haben einige große Distributionen signierte Bootloader: Ubuntu (ab 12.04) Fedora (ab 18) openSUSE (ab 12.2) 11 / 14 EFI/UEFI und SecureBoot Schlussbemerkung 12 / 14 EFI/UEFI und SecureBoot Schlussbemerkung Die Free Software Foundation Europe steht der Entwicklung von EFI/UEFI und SecureBoot naturgemäß äusserst skeptisch gegenüber. 12 / 14 EFI/UEFI und SecureBoot Schlussbemerkung Die Free Software Foundation Europe steht der Entwicklung von EFI/UEFI und SecureBoot naturgemäß äusserst skeptisch gegenüber. Mit Secure Boot“streben Hersteller von Hard- und Software danach, ” sich in eine Position zu bringen in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren 12 / 14 EFI/UEFI und SecureBoot Schlussbemerkung Die Free Software Foundation Europe steht der Entwicklung von EFI/UEFI und SecureBoot naturgemäß äusserst skeptisch gegenüber. Mit Secure Boot“streben Hersteller von Hard- und Software danach, ” sich in eine Position zu bringen in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren Solche Geräte sind aus Sicht der Hersteller sicher“, nicht unbedingt ” aus Sicht des Eigentümers 12 / 14 EFI/UEFI und SecureBoot Schlussbemerkung Die Free Software Foundation Europe steht der Entwicklung von EFI/UEFI und SecureBoot naturgemäß äusserst skeptisch gegenüber. Mit Secure Boot“streben Hersteller von Hard- und Software danach, ” sich in eine Position zu bringen in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren Solche Geräte sind aus Sicht der Hersteller sicher“, nicht unbedingt ” aus Sicht des Eigentümers Der Hersteller kann jederzeit Nutzungsmöglichkeiten beschränken und verhindern 12 / 14 EFI/UEFI und SecureBoot Schlussbemerkung Die Free Software Foundation Europe steht der Entwicklung von EFI/UEFI und SecureBoot naturgemäß äusserst skeptisch gegenüber. Mit Secure Boot“streben Hersteller von Hard- und Software danach, ” sich in eine Position zu bringen in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren Solche Geräte sind aus Sicht der Hersteller sicher“, nicht unbedingt ” aus Sicht des Eigentümers Der Hersteller kann jederzeit Nutzungsmöglichkeiten beschränken und verhindern Daraus folgt, daß die Hersteller nach Belieben grundlegende Rechte der Eigentümer von Produkten entziehen können 12 / 14 Links zur Präsentation http://fsfe.org/campaigns/generalpurposecomputing/ secure-boot-analysis.de.html http://wiki.ubuntuusers.de/EFI_Installieren http://docs.fedoraproject.org/en-US/Fedora/18/html-single/ UEFI_Secure_Boot_Guide/index.html http://en.opensuse.org/openSUSE:UEFI 13 / 14 Weitere Informationen bekommen Sie hier: http://www.FreieSoftwareOG.org und [email protected] oder kommen Sie doch einfach zu unserem regelmäßigen Treffen, jeden 1. Mittwoch im Monat ab 20:00 Uhr. (Treffpunkt und Thema laut Webseite) 14 / 14
