Secure Boot: Nachlese

Zu meinem Statement, den kommentarlosen Verweis der NachDenkSeiten auf den Secure-Boot-Artikel von M. Kirschner von der FSFE betreffend, möchte ich noch ein paar Bemerkungen nachschieben. Nicht, dass durch einen falschen Zungenschlag ein falscher Eindruck entsteht.

Erst einmal sei angemerkt, dass seit dem Erscheinen des Artikels rund zwanzig Monate vergangen sind, in der Informationstechnologie ein beinahe unvorstellbar langer Zeitraum. Er ist in etwa identisch mit der Zeit, innerhalb der sich die Leistungsfähigkeit von neuen Computerchips verdoppelt (Moores Law). Es sollte von daher schon klar sein, dass wir es mit einer äußerst dynamischen Entwicklung zu tun haben.
An dieser Stelle möchte ich auch das Engagement der Free Software Foundation hervorheben, die zum damaligen Zeitpunkt die möglichen Beschneidungen der Freiheit der Computerbenutzer thematisierte und dieses Engagement in einer Kampagne bündelte. Vielleicht führte diese Kampagne dazu, dass die Bundesregierung ein Eckpunktepapier zu Trusted Computing veröffentlichte. Vielleicht führten diese Aktionen auch dazu, dass Microsoft in den Spezifikationen von Windows 8 festlegte, dass diese Funktion Secure Boot abschaltbar sein soll. Das bedeutet, dass ein PC nur dann Windows-8-konform ist und als solcher verkauft wird, wenn Secure Boot bei vorinstalliertem Windows 8 aktiviert ist, der Benutzer es jederzeit aber abschalten kann.

Natürlich gab es berechtigte Befürchtungen innerhalb der Linux-Gemeinde, dass diese Funktion das Starten nicht signierter Bootloader und damit die Installation von Linux verhindern würde. Es gab wohl ein paar Distributionen, die ihren Loader von Microsoft signieren ließen. Aber für die Masse kam das aus nachvollziehbaren Gründen irgendwie nicht in Frage. Bisher zeigte sich, dass es überwiegend problemlos möglich ist, die Funktion Secure Boot zu deaktivieren und damit auch nicht signierte Systeme abseits von Windows 8 zu starten.

Somit kann derzeit kaum die Rede davon sein, dass der Benutzer eines neuen Standardcomputers mit UEFI der Kontrolle über sein Eigentum beraubt würde. Die Gefahren lauern aus meiner Sicht auf ganz anderer Ebene. Proprietäre Software bietet wahrscheinlich genügend Einfallstore für staatliche und andere Kontrollettis. Skype zum Beispiel. Das soll zwar verschlüsselt sein, aber daran hatte ich schon vor der Übereignung zu Microsoft einige Zweifel, die jetzt, da es zu dem Redmonder Schuppen gehört, garantiert nicht geringer geworden sind. Und dass Windows eifrig nach Hause telefoniert, ist ein alter Hut. Jetzt, da wir wissen, dass US-amerikanische Firmen zur Zusammenarbeit mit den Geheimdiensten dienstverpflichtet werden, gebietet mir mein Verstand, die Finger von proprietärem Code zu lassen, wo immer das möglich ist.

Letztlich bleibt für mich die Frage offen, weshalb die NachDenkSeiten ohne jeglichen Kommentar einen Artikel thematisieren, der offensichtlich von der aktuellen Entwicklung überrollt wurde. Selbst mit gutem Willen und Augenzudrücken kann ich keinen direkten Bezug zur NSA-Affäre sehen, denn dann müssten wir generell jeden Chip, der in der Kiste verbaut ist, und seinen Hersteller hinterfragen. Wollen wir bei Intel anfangen? Oder lieber erst bei AMD respektive Global Foundries? Wie wär’s mit einer Petition an die Hardwarehersteller zu Schaffung frei einsehbarer Prozessorarchitekturen?
Die Essenz aus diesem Artikel ist für mich, weiter die Augen offen zu halten und kritische Entwicklungen auch kritisch zu begleiten. So lange der Anteil der Benutzer offener Betriebssysteme konstant bei einem Prozent dümpelt, wird die Gefahr des Kontrollverlustes immer bleiben.
Alternativen gibt es immer, aber das ist ein neues Thema.

Advertisements

4 Gedanken zu „Secure Boot: Nachlese

  1. Recht haste, Totschka, Big Bruder is watching!

    „… wenn Secure Boot bei vorinstalliertem Windows 8 aktiviert ist, der Benutzer es jederzeit aber abschalten kann.“ Ei sischer, unn wenn es dann abgeschaltet iss, isses dann abgeschaltet? Und: Dein Hinweis auf die weiteren Einfallstore sticht genauso. Hände weg von dem proprietären Schoiß.

    Frage: Unn wie sieht’s mit Hintertüren und geknackten Codes bei Linux aus? Was tun völlig ohne, bspw., Java? Hast Du da ’ne Einschätzung? Auch Big Bruder mittendrin?

    • Ich schrieb ja schon mal, der sicherste Weg sei Smartphone- und Rechnerweitwurf…

      Zu Secure Boot: abgeschaltet ist abgeschaltet, sonst ließe sich auf einer UEFI-Kiste kein Linux booten. Was da sonst noch so in den kleinen schwarzen Dingern abgeht: who cares? Kann einer mit Bestimmtheit sagen, dass Intel keine Zapfstellen für die NASA einbaut? Nur hat das nichts mehr mit Secure Boot zu tun.

      Au ja, Hintertüren… SELinux stammt doch von der NASA, oder? Es gibt eben keine hundertprozentige Sicherheit. Wer das will, siehe erster Satz. Und Java kann man abschalten. Dann hat man auch gleich einen schönen Blick auf die Fähigkeiten und Vorlieben der Webseitenschöpfer. 😉

      Übrigens, „geknackte Codes bei Linux“ *räusper*… Da muss man nix knacken, der Kernel ist quelloffen, den Code kann sich jeder herunterladen und ansehen.

      • “geknackte Codes bei Linux” *räusper* … Schad‘, isch habb‘ gedenkt, Du merkst dess nedd! 😀

      • Ja, die Gefahr war groß, das zu übersehen. Schließlich habe ich schon vor beinahe 15 Jahren OpenSource-Software benutzt, und seit 10 Jahren beschäftige ich mich mehr oder weniger intensiv mit GNU/Linux. Da verschwinden solche Details schon mal gerne im Dunstkreis der Betriebsblindheit. Zum Glück für mich habe ich aufmerksam gelesen.

        Mich treibt bei der ganzen Thematik eine Frage um:
        Was mache ich, wenn ich ein neues Mainboard brauche und bei den einschlägigen Händlern keines mehr mit BIOS zu bekommen sein wird?
        Einfache Antwort: ich lasse mir vom Händler zusichern, dass Secure Boot abgeschaltet werden kann. Außerdem kann ich die Suchmaschine meines geringsten Misstrauens füttern. In diversen Linuxforen wird man sicher fündig.

Die Kommentarfunktion ist geschlossen.