Sicherheitsstart Linux

Sicherheitsstart Linux

Linux: Was ist sicherer Start?

Zu Beginn eines Computers führt ein bestimmtes Programm aus, um seine Hardwarekomponenten zu erkennen und zu initialisieren. Traditionell verwenden IBM-kompatible PCs das Basis-Eingangsausgangssystem (BIOS). Im Gegensatz dazu verwenden Macs OpenFirmware, Android verfügt nur über einen Bootloader, und ein Raspberry Pi startet von einer Firmware, die im System auf einem Chip (SOC) aufbewahrt wird. Dieser erste Schritt umfasst Hardwareprüfungen sowie die Suche nach verfügbaren Betriebssystemen in Speichermedien, die Teil des Computers wie einer Festplatte, Cdrom/DVD oder einer SD -Karte sind oder über das Netzwerk (Network Datei System (NFS) mit dem IT verbunden sind, angeschlossen sind , PXE -Stiefel).

Die tatsächliche Suchreihenfolge hängt von den BIOS -Einstellungen des Computers ab. Abbildung 2 zeigt eine Liste der verfügbaren Geräte, von denen Sie starten können.

Am Ende wird eine Liste der verfügbaren Betriebssysteme mit spezifischen Parametern (als „verfügbare Bootoptionen“ bezeichnet) in einem Menü angezeigt, aus dem Sie das gewünschte Betriebssystem zum Starten auswählen.

Seit 2012 wird Secure Boot verwendet. Dieser Artikel erklärt, was es ist, was die Absicht dahinter ist und wie er funktioniert. Darüber hinaus werden wir die Frage beantworten, ob sicherer Boot für nur Linux-basierte Maschinen benötigt wird und wie Linux-Verteilungen mit diesem Fall umgehen.


Was ist sicherer Stiefel?

Securer Boot dreht sich um Vertrauen. Die allgemeine Idee dahinter startet die Maschine auf sichere Weise, um zu verhindern, dass der Computer von Anfang an mit Malware ausgeführt wird. Im Allgemeinen ist ein sauberer Start mit einem zuverlässigen System ein Ansatz, der stark unterstützt wird.

Secure Boot ist Teil der Unified Extensible Firmware Interface (UEFI) - einer zentralen Schnittstelle zwischen der Firmware, den einzelnen Komponenten des Computers und des Betriebssystems [3]. Für einen Zeitraum von ungefähr fünf Jahren wurde es von Intel und Microsoft als Ersatz für das BIOS entwickelt. 2012, Version 2.3.1 von UEFI wurde mit Microsoft Windows 8 eingeführt. Microsoft machte es für Computerhersteller obligatorisch, UEFI zu implementieren, wenn sie eine Windows 8 -Zertifizierung für ihre neu baulichen Maschinen erhalten möchten [15].

Aber warum wird Secure Boot Secure Boot genannt? Was macht es zu einer sicheren Booting -Option? Der Secure -Boot ermöglicht das Booten von zuvor zugewiesenen Bootloadern nur und soll daher Malware oder andere unerwünschte Programme anfangen. Ein traditionelles BIOS würde eine Software booten. Es würde sogar Malware, wie z. Der Rootkit kann dann Ihr Betriebssystem laden und in Ihrem System völlig unsichtbar und nicht nachweisbar bleiben. Während mit sicherem Boot die Systemfirmware zuerst überprüft, ob der System -Bootloader mit einem kryptografischen Schlüssel signiert ist. Der kryptografische Schlüssel ist ein Schlüssel, der durch eine in der Firmware enthaltene Datenbank autorisiert wurde. Nur wenn der Schlüssel erkannt wird, ermöglicht es dem System zum Booten. Eine solche gültige Signatur muss eine Spezifikation durch die Microsoft UEFI Certificate Authority (CA) befolgen.


Verschiedene Perspektiven

Auf den ersten Blick klingt das ziemlich gut, aber es gibt immer zwei Seiten einer Münze. Wie übliche Vor- und Nachteile koexistieren zusammen. Drücken Sie Bewertungen entweder Lob oder dämonisieren Sie den sicheren Stiefel, je nachdem, wer die Bewertung schreibt.

Denken Sie zunächst daran, dass die Autorität über die kryptografischen Schlüssel in den Händen eines einzelnen globalen Players ist - Microsoft. Millionen von Maschinen einer einzigen Firma Strom zu geben, ist niemals eine gute Idee. Auf diese Weise sichert Microsoft sich die vollständige Kontrolle über Ihre Maschine. Mit einer einzigen Entscheidung ist Microsoft in der Lage, den gesamten Markt mit einem einzigen Hub zu blockieren und sowohl seine Konkurrenten als auch Sie als Kunde auszuschließen. E.G. Wenn Sie zu einem späteren Zeitpunkt Hardware von einem anderen Hersteller installieren möchten, müssen Sie sicherstellen, dass der Schlüssel der neuen Komponente im Datenbanksystem gespeichert wurde. Lassen Sie Sie mit eingeschränkter Flexibilität und Auswahlmöglichkeiten - insbesondere wenn Sie Entwickler sind.

Zweitens sind nicht nur Ihre Hardwareauswahl eingeschränkt. Dies bedeutet, dass es der Linux -Community das Leben schwer macht. Bevor die Verwendung von UEFI-basierter Hardware verwendet wird, werden Linux-Bootlader wie Grub zuerst zertifiziert und verlangsamt sich daher ziemlich schnelle Entwicklungen, wenn die Open-Source-Community bekannt ist. Niemand weiß, was passiert, wenn der zentrale Validator während der Validierung einen Fehler macht oder die Veröffentlichung einer aktualisierten Software blockiert.

Drittens bedeutet der Begriff Malware heute und morgen? Beinhaltet es Betriebssysteme von Wettbewerbern [5] oder sind sie ausgeschlossen?? Der Validierungsprozess läuft hinter den Vorhängen und niemand kann es beweisen.

Viertens gibt es Vorbehalte in Bezug auf die Sicherheit. Nach aktuellen Entwicklungen ist die Länge der kryptografischen Schlüssel relativ kurz. Secure BOOT ermöglicht nur X509 -Zertifikate und RSA -Schlüssel mit einer festen Länge von 2048 Bit [16]. In naher Zukunft wird erwartet. Heute werden kryptografische Schlüssel mit einer Länge von 4096 Bit empfohlen.

Fünftens sieht es so aus. Wie die Geschichte zeigt, dass wir alle wissen, dass dies nicht wahr ist, enthält Software immer Fehler. Eine Zertifizierung schlägt Sie nur in ein falsches Sicherheitsgefühl.


Lösungen für Open Source

Aber wo es ein Problem gibt, gibt es auch eine Lösung. Microsoft bietet den Linux -Distributoren großzügig die Möglichkeit, auf das Microsoft Sysdev -Portal zuzugreifen, um ihre Bootlader unterzeichnen zu lassen [17]. Dieser Service ist dennoch mit einem Preisschild verbunden.

Linux -Verteilungen haben nur eine "Shim" [11], die am Microsoft -Portal signiert ist. Der Shim ist ein kleiner Stiefelloader, der den Hauptgrub -Stiefelloader der Linux -Verteilungen startet. Microsoft überprüft nur den signierten Shim und danach Ihre Linux -Verteilungsstiefel normal. Dies hilft, das Linux -System wie gewohnt aufrechtzuerhalten.

Wie aus verschiedenen Quellen berichtet, arbeitet (u) efi gut mit Fedora/Redhat, Ubuntu, Arch Linux und Linux Mint zusammen. Für Debian GNU/Linux gibt es keine offizielle Unterstützung in Bezug auf Secure Boot [9]. Wie auch immer, es gibt einen interessanten Blog -Beitrag darüber, wie man dies eingerichtet hat [18] sowie eine Beschreibung im Debian Wiki [14].

Alternativen zu UEFI

UEFI ist nicht der einzige Nachfolger des PC -BIOS - es gibt Alternativen. Möglicherweise sehen Sie sich Openbios [4], Libreboot [7], Open Firmware [8,9] und Corboot [10] genauer an. Für diesen Artikel haben wir sie nicht getestet, aber es ist hilfreich zu wissen, dass alternative Implementierungen existieren und reibungslos funktionieren.


Abschluss

Wie bereits erwähnt, ist die Schlüsselfrage das Vertrauen. In Bezug auf Computer fragen sich Sie, welchen Teilen Ihres Systems Sie vertrauen - die Hardwarekomponenten (Firmware, Chips, TPM) und/oder die Softwarekomponenten (Bootloader, Betriebssystem, Software, die verwendet wird). Sie können das gesamte System nicht debuggen. Es kann helfen zu wissen, dass Ihr Betriebssystem nicht gegen Ihre Interessen wirkt und dass Sie die Dinge erledigen, für die Sie das System gekauft haben.


Links und Referenzen

  • [1] Kristian Kißling: Debian 9 Stretch OHne Secure Boot, Linux-Magazin
  • [2] uefi nachbearbeitungung
  • [3] EFI und Linux: Die Zukunft ist hier und es ist schrecklich - Matthew Garrett
  • [4] Openbios, https: // openbios.info/willkommen_to_openbios
  • [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. Uefi-secure-boot und alternative betriebSysteme, admin-magzin 03/2014
  • [6] Bootvorgang eines Apple Mac
  • [7] Libreboot, https: // libreboot.org/
  • [8] Offene Firmware (Wikipedia)
  • [9] Open Firmware, https: // github.com/openbios
  • [10] CORBOOT, https: // www.CORBOOT.org/willkommen_to_corboot
  • [11] Shim (Github), https: // github.com/rhboot/shim
  • [12] Thorsten Leemhuis: UEFI Secure Boot und Linux, FAQ
  • [13] Bom Cromwell: Wie macht Linux Boot? Teil 3: UEFI, um zum nächsten Glied in der Kette zu schimpfen
  • [14] SecureBoot über Debian, https: // wiki.Debian.Org/SecureBoot
  • [15] Chris Hoffman: Wie sicherer Start unter Windows 8 und 10 funktioniert und was für Linux bedeutet
  • [16] James Bottomley: Die Bedeutung aller UEFI -Schlüssel
  • [17] Microsoft Hardware Developer Center, UEFI -Firmware -Unterzeichnung
  • [18] Sicher mit Debian -Tests sicher

Anerkennung

Frank Hofmann und Mandy Neumeyer sind Mitautoren des Artikels. Die Autoren möchten Justin Kelly für seine Hilfe und kritische Kommentare beim Schreiben dieses Artikels danken.