Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Nur noch signierte Bootloader zu starten -> Tod von Gentoo?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ixo
Guru
Guru


Joined: 09 Jul 2005
Posts: 375

PostPosted: Wed Aug 15, 2012 2:05 pm    Post subject: Reply with quote

Hallo,

da mir das Thema quer runtergeht, möchte ich hier noch einen anderen Aspekt beitragen:

Linux hat einen Anteil von 6% am Servermarkt. Die Hardware-Margen sind für die Hersteller äußerst bescheiden. Soweit ein paar Fakten.

Wenn nun Windows UEFI erfordert, bleibt den Herstellern nichts anderes übrig, als das einzubauen. Wenn in absehbarer Zukunft RedHat (und SUSE) UEFI unterstützen, werden diese Linuxe auch zunehmend mit UEFI installiert werden, da sie sonst ja "unsichter" sind. Zumindest marketingtechnisch wird das so laufen. In den "richtigen" Rechenzentren werden übrigens zu großen Teilen RedHat (RHEL) und SUSE (SLES) verwendet. (1) Das bedeutet, dass der Anteil der Systeme, die mit Linux auf Servern ohne UEFI laufen müssen (wie Debian oder Gentoo) deutlich kleiner als 6% sein wird. Die Marketingmaschinerie (vor allem von Microsoft, Stichwort FUD) wird ihren Teil dazu beitragen, diese System als "unsicher" zu verunglimpfen, was zu weiteren Umstellungen Richtung UEFI führen wird.

Für die Hersteller von Servern bleibt also nur noch ein kleiner Teil von Servern, die UEFI abschaltbar haben müssen (was dann angeblich auch eine Sicherheitslücke ist). Die Frage ist also, reicht z.B. 1.% der Server noch aus, um ein komplexeres BIOS zu rechtfertigen?


Sehen wir uns die Arbeitsplatzrechner an: Bei den "professionell" genutzten Arbeitsplatzrechnern sieht der Linux-Anteil noch schlechter aus als bei den Servern. Ansonsten; siehe oben.


Bei den privat genutzten Rechner wird der Linux Anteil heruntergehen, einfach weil man im BIOS herumfummeln muss, damit es überhaupt bootet - und zwar nicht nur einmal, sondern jedes Mal, wenn man statt Windoze Linux booten will (sei's von Platte, von USB-Stick oder von CD). Dazu hat Lieschen Müller (oder auf Englisch "Joe Sixpack") keine Lust. Das heißt wiederum, wenn überhaupt nimmt man RedHat oder irgendwas anderes, was UEFI unterstützt. Auch hier stellt sich wieder die Frage, ob man Boot ohne UEFI unterstützen will (Pflege, QA, Support). Bei - mal angenommenem - einem Euro Mehrkosten pro Rechner kommt da unterm Strich einiges zusammen (für einen großen Anbieter).


Das ist meine mir gar nicht gefallende Sicht der Dinge. Sagt mir bitte, dass ich Unrecht habe, aber dieses UEFI Zeugs könnte sich noch äußerst übel entwickeln.

8O ixo



(1) RZs wie z.B. die von Google und 1&1 nehme ich hier aus, die bauen meist sowieso ihre eigene Hardware und sind keine Kunden für die Hersteller.
Back to top
View user's profile Send private message
firefly
Advocate
Advocate


Joined: 31 Oct 2002
Posts: 4571

PostPosted: Wed Aug 15, 2012 2:18 pm    Post subject: Reply with quote

UEFI != SecureBoot! Secureboot ist nur Bestandteil von UEFI 2.3.x
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
ixo
Guru
Guru


Joined: 09 Jul 2005
Posts: 375

PostPosted: Wed Aug 15, 2012 2:21 pm    Post subject: Reply with quote

Ok, danke; dann tausch die Begriffe aus.

Grüße, ixo
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1629
Location: Schweiz

PostPosted: Mon Jan 06, 2020 7:16 pm    Post subject: Reply with quote

Inzwischen sind ja ein paar Jährchen ins Land gezogen und wir alle um die eine oder andere Erfahrung reicher. ;)
Hier mal meine:

Inzwischen gibt es kaum noch ein Gerät bei dem SecureBoot nicht mit dabei wäre und das üblicherweise auch gleich standardmässig eingeschaltet. Und wie erwartet wird das ganze in eigentlich allen Fällen nur mit den Microsoft-Zertifikaten ausgeliefert, was natürlich bedeutet das nun alle zum signieren zu Microsoft rennen wenn sie wollen das ihre Software möglichst überall OOTB läuft. Aber es gibt auch Lichtblicke.

Zumindest bei den besseren Geräten (üblichweise Business-Modelle) wird SecureBoot offenbar gemäss den Spezifikationen implementiert. Was bedeutet das man es dort problemlos Ein-/Ausschalten kann und man kann in der Regel auch den Zertifikats-Speicher auf irgendeine Art und Weise frei konfigurieren. Klar warnen kann man eigentlich nur vor den Consumer-Modellen, dort ist völlig unklar in welcher Qualität das ganze umgesetzt wird.

Mein kürzlicher Versuch das SecureBoot von meinem Tuxedo-Laptop nach meinen Vorstellungen einzurichten verlief überraschend positiv, was aber auch zu grossen Teilen der wirklichen guten Doku von Sakaki zu verdanken ist.
https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Configuring_Secure_Boot
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
Klaus Meier
Advocate
Advocate


Joined: 18 Apr 2005
Posts: 2908
Location: Bozen

PostPosted: Tue Jan 07, 2020 9:37 am    Post subject: Reply with quote

Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest. Also ich hatte bislang 2 Modelle von HP, immer unterste Preisklasse, ließ sich im BIOS ohne Probleme ausschalten. Genauso wie bei meinen PCs, die ich mir eh alle selber zusammenbaue. Bei jedem separat gekauften Mainboard war Secureboot komplett abschalt und konfigurierbar. Aber man weiß halt vorher nie, was da irgendwelche OEMs verbasteln.

Einfach im Geschäft kaufen und vor dem Kauf nachsehen.

Und ich hatte noch nie ein Bedürfnis, es zu aktivieren.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1629
Location: Schweiz

PostPosted: Tue Jan 07, 2020 9:50 am    Post subject: Reply with quote

Klaus Meier wrote:
Hallo Schmidicon, ich gehe jetzt mal davon aus, dass du ausschließlich von Laptops redest.
...

Ja, ich meinte hauptsächlich Laptops. Sorry, hätte da etwas genauer sein sollen.
Im Desktop-Bereich kenne ich nichts anderes als die eher besseren Business-Geräte oder eben Selbstbau-Teile und da lies sich SecureBoot bis jetzt auch immer ohne Probleme abschalten.

Klaus Meier wrote:
Und ich hatte noch nie ein Bedürfnis, es zu aktivieren.

Ich hab es primär auch nur gemacht um mal erste Erfahrungen damit zu sammeln und weil das ganze (natürlich mit eigenen Zertifikaten im Speicher) beim Laptop möglicherweise auch gar nicht mal so verkehrt ist.
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2284
Location: Germany

PostPosted: Wed Jan 08, 2020 10:21 pm    Post subject: Reply with quote

Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren?

So hatte sich das doch dann auch aufgelöst. Ich hab es auch immer ausgeschaltet, aber wenn man auch selber eine Signatur nutzen kann wäre es noch besser.

Auf der anderen Seite gefällt mir folgender Ansatz noch besser: Coreboot, Pureboot und U-Boot.

Pureboot wurde halt von den Leuten hinter Librem5 entwickelt die halt auch das Pureos machen. Es setzt glaub ich auch auf Coreboot auf. Ist halt dann gleich der nächste Schritt bei dem man auch dem Bios nicht mehr Vertraut und es durch was anderes ersetzt.

Aber da muss man dann auch bei der Hardware schauen oder selber noch größere "Klimmzüge" machen wenn das Board das nicht unterstützt.

Das mit den eigenen Zertifikaten im Speicher, ist wirklich interessant schmidicom. Hatte ich bisher so gar nicht im Blickfeld das es da schon was gibt das man mal umsetzen könnte.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1629
Location: Schweiz

PostPosted: Thu Jan 09, 2020 9:47 am    Post subject: Reply with quote

ChrisJumper wrote:
Oh ich dachte auch das Debian oder Red Hat diesen Schlüssel haben um damit eigene Kernel zu signieren?

Schön wärs...
Microsoft wird diesen Schlüssel niemals aus der Hand geben.

Der einzige Grund warum Distributionen wie RedHat, Fedora, Debian, Ubuntu und so weiter auf Maschinen mit aktivem SecureBoot (wo der Zertifikatsspeicher nicht angepasst/erweitert wurde) überhaupt noch booten können ist der Zwischenbootloader "Shim" [1]. Und "Shim" ist im Prinzip nichts anderes als ein Hack, ein Bootkit mit guten Absichten, das zur Überraschung von vielen den Signierungsprozess bei Microsoft ohne grosse Probleme überstanden hat.
Nur so als Info am Rande, die Signierung von GRUB oder eines fertig kompilierten Linux-Kernel lehnte Microsoft bis jetzt immer ab.

[1] https://www.pro-linux.de/news/1/19063/uefi-secure-boot-technische-beschreibung-von-shim.html

EDIT:
Ich weiss nicht warum Microsoft den Zwischenbootloader "Shim" im Gegensatz zu GRUB oder dem Linux-Kernel für OK genug hält um das mit ihrem Schlüssel zu signieren, aber vielleicht wollten sie ja auch einfach einen weiteren "M$ ist ein böses Monopol, Fight it!"-Shitstorm vermeiden und da kam ihnen "Shim" gerade recht. Und/Oder sie wollten den Kartellwächtern keinen weiteren Grund geben ihnen aufs Dach zu steigen...
_________________
GPG: 0x3FC78AEE51E5FB95
Back to top
View user's profile Send private message
Erdie
Advocate
Advocate


Joined: 20 May 2004
Posts: 2086
Location: Heidelberg - Germany

PostPosted: Mon Feb 10, 2020 12:43 pm    Post subject: Reply with quote

Irgendwie klingt das alles nach Murks, auch wenn es funktioniert. Zwar bietet Secure Boot eine (scheinbare) Sicherheit, aber auf der anderen Seite ist UEFI so mächtig und komplex, dass dort wiederum Scheunentore offenstehen und das Ganz ad absurdum geführt wird. Dann hätte man besser gleich alles auf dem Stand von vor 10 Jahren lassen können.
_________________
Desktop AMD FX-4300 18GB RAM, Asus GF GTX 660. Sound: RME Multiface 20 Kanal + envy24 6 Kanal Soundkarte
Raspberry Pi 1 + 2 + 3B+ + Zero W
Stratux + Skydemon
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3
Page 3 of 3

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum