Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/ https://fsfe.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
 
 
 
 
 
 

230 lines
12 KiB

<?xml version="1.0" encoding="UTF-8" ?>
<html>
<version>1</version>
<head>
<title>"Secure Boot": Wer wird Ihren nächsten Computer kontrollieren?</title>
</head>
<body class="article" microformats="h-entry">
<p id="category">
<a href="/freesoftware/freesoftware.html">Freie Software</a>
</p>
<h1 class="p-name">"Secure Boot": Wer wird Ihren nächsten Computer kontrollieren?</h1>
<div class="e-content">
<p>Das Ziel der FSFE ist, sicherzustellen dass die Eigentümer von IT-Geräten
permanent die volle und alleinige Verfügungsgewalt über ihre IT-Geräte innehaben.
Dieses grundlegende Prinzip wird aktuell in Frage gestellt.</p>
<p>Mit der Funktion "Secure Boot", die ab 2012 in Computern Einzug hält,
streben Hersteller von IT-Hardware und Software danach, sich in eine Position zu bringen
in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren. Daher
werden solche Geräte aus Sicht der Hersteller "sicher" sein, aber nicht unbedingt
aus Sicht des Eigentümers:
Der Eigentümer kann als Gegner behandelt werden. Durch das Verhindern von
Einsatzmöglichkeiten, die der Hersteller nicht vorsieht, kann er beschränken und
verhindern wozu die Universalmaschine Computer (z.B. ein PC, Laptop, Notebook)
genutzt werden kann. Im Falle von IT-Geräten mit Internetzugang kann er
diese Benutzungsbeschränkungen zu jeder Zeit verändern, sogar ohne den
Geräteeigentümer zu informieren. Infolgedessen können IT-Hersteller nach ihrem Belieben
grundlegende Rechte entziehen, die Eigentümer von Produkten gewöhnlich erhalten.</p>
<h2>"Secure Boot": Pförtner zum Betriebssystem</h2>
<p>Wenn IT-Geräte eingeschaltet werden, führen sie einen Startprozess aus, der
Booten genannt wird. Im Falle eines Computers beinhaltet dieser Startprozess
das Ausführen von einer sogenannten "Firmware". Diese Firmware wiederum startet ein anderes
Programm, genannt "Bootloader", der dann das tatsächliche Betriebssystem lädt, mittels dem dann
Anwendungsprogramme ausgeführt werden können. Im Jahr 2012 wird der industrieweite Übergang
bei der Firmware von PCs, Notebooks, Server und anderen Computern vom klassischen
BIOS zu <a href="http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface">UEFI</a>
nahezu abgeschlossen sein. Verglichen mit dem klassischen BIOS hat UEFI mehrere
Vorteile, wie z.B. eine kürzere Startdauer, betriebssystemunabhängige Treiber und
das Versprechen höherer Sicherheit.</p>
<p>Der Sicherheitsaspekt wird von einer Funktion namens "Secure Boot" abgedeckt.
Seit UEFI 2.3.1 (veröffentlicht am 8. April 2011) stellt "Secure Boot" sicher,
dass während des Startprozesses ausschließlich Software ausgeführt wird, die mit einer
der vorinstallierten kryptographischen Signaturen übereinstimmt. Damit wird
verhindert, dass während des Startvorgangs des Computers unerwünschte Software
ausgeführt wird, indem jede Softwarekomponente (verschiedene Teile der
UEFI-Firmware, der Bootloader, der Betriebssystemkernel, usw.)
kryptographisch verifiziert wird, bevor sie gestartet wird. Deshalb müssen die
zu benutzenden kryptographischen Signaturen in die UEFI-Signaturdatenbank jedes
IT-Gerätes, das mit "Secure Boot" ausgestattet ist, installiert werden,
<strong>bevor</strong> eine kryptographisch signierte Softwarekomponente auf
dieser spezifischen Maschine gestartet werden kann.</p>
<p>Die FSFE erwartet, dass die große Mehrheit der Computerhersteller "Secure Boot"
implementieren wird, da Microsoft <a href="http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx">
angekündigt hat</a>, dass Computerhersteller UEFI implementieren müssen, wenn
sie für von ihnen gebaute Geräte eine Windows 8 Zertifizierung erhalten wollen,
z.B. um das "Compatible with Windows 8"-Logo auf ihnen zu verwenden.</p>
<aside>
<h2>Universalmaschine Computer</h2>
<p>Unsere Gesellschaft hat durch die Entwicklung des Computers über die letzten
Jahrzehnte zu einer Universalmaschine ein leistungsfähiges Werkzeug geschaffen,
mit dem alle möglichen Aufgaben von einer einzigen Maschine ausgeführt werden
können. Nun haben IT-Hersteller herausgefunden, dass es in ihrem
wirtschaftlichen Interesse liegen kann, die Fähigkeiten dieser Maschinen
willkürlich zu beschränken. Mit "Secure Boot" wird es Eigentümern von
IT-Geräten unmöglich sein, unabhängig über den Gebrauch ihrer Maschinen zu
entscheiden, da sie nicht frei bestimmen können, welche Software ablaufen
können soll.</p>
<p>Die Instanz, die letztendlich kontrolliert welche Software auf einem Gerät ausgeführt
werden kann und somit die konkreten Funktionen eines Geräts festlegt, hat schließlich
die Kontrolle über alle Daten, die vom Gerät verarbeitet und gespeichert werden.
Das kann zur Folge haben, dass der Eigentümer des IT-Geräts nicht mehr die
alleinige Verfügungsgewalt über seine eigenen Daten innehat.</p>
</aside>
<h2>Welche Geräte betrifft das?</h2>
<p>Gegenwärtig begründen viele ihre Analyse der Situation in Bezug auf UEFI
auf den "Windows 8 Hardware Certification Requirements", von Microsoft im Dezember 2011
herausgegeben. Es versteht sich von selbst, dass Microsoft keine Versionen
dieser Hardware-Zertifizierungsvorgaben öffentlich machen musste bzw. muss, da
sie die Grundlage für einen individuellen Vertrag zwischen Microsoft und
jedem Hardwarehersteller bilden, der Microsofts Windows 8 Zertifizierung für
seine Geräte erhalten will. Daher können sich die "Windows 8 Hardware
Certification Requirements" jederzeit ohne öffentliche Bekanntmachung ändern,
oder bestimmte Details für die Logo-Zertifizierung können sich zwischen
Herstellern unterscheiden:
Alles passiert nach Microsofts Willen und größtenteils hinter geschlossenen Türen.
Deshalb kann sich niemand auf die veröffentlichten Versionen der "Windows 8
Hardware Certification Requirements" verlassen, sondern die Angaben bezüglich
"Secure Boot" als ein "bewegliches Ziel" betrachten.</p>
<p>Also ist das Problem von "Secure Boot" nicht beschränkt auf "Connected
Standby Systems" (wahrscheinlich ein großer Teil des zukünftigen Markts
von Notebooks, Netbooks und PCs) und Computern basierend auf ARM-Mikroprozessoren
(hauptsächlich "Tablets" und Mobiltelefone), sondern kann von Microsoft jederzeit
auf jede Art von Gerät erweitert werden. Genauso können Hersteller, die keine
Geräte für Windows 8 herstellen, UEFI "Secure Boot" oder andere Startprozesse
einsetzen, die mit Hilfe von kryptographischen Signaturen beschränkt werden.
TiVo tut dies seit einem Jahrzehnt und verschiedene Spielkonsolen, von
Sony bis Microsoft, benutzen ebenfalls kryptographisch beschränkte
Startprozesse. Andere Gerätehersteller könnten Spezifikationen oder Vorgaben
ähnlich den "Windows 8 Hardware Certification Requirements" einsetzen, um
die Einsatzmöglichkeiten von IT-Geräten künstlich zu begrenzen.</p>
<h2>Ausweiten dieser Beschränkungen auf Anwendungsprogramme?</h2>
<p>Während die UEFI "Secure Boot"-Spezifikation (sowie die Spezifikationen
der Trusted Computing Group, die "Trusted Boot" definieren) den primären Startprozess
bis hin zum Betriebssystemkernel abdecken, ist die Infrastruktur zur Erweiterung
der Signaturprüfung aller auf einem Computer ablaufenden Software
ausgereift und funktionierend in mehreren Betriebssystemen vorhanden. Aber neben Windows 8
wird es zur Zeit nur bei Gerätetreibern für Windows erzwungen.</p>
<h2>Bedrohung für den Universalcomputer</h2>
<p>Wenn all diese Maßnahmen unter alleiniger Kontrolle der Geräteeigentümer
stünden, könnten sie in ihrem besten Interesse sein, da sie helfen die Sicherheit
des Startprozesses zu verbessern, der bis heute weitgehend ungesichert ist.
Das wäre der Fall, <strong>wenn</strong> die vom UEFI-Forum und der Trusted
Computer Group (TCG) spezifizierten Sicherheitssubsysteme dem Eigentümer
permanente, volle und alleinige Verfügungsgewalt über die Konfiguration und Verwaltung
dieser Sicherheitssubsysteme <strong>technisch</strong> gewährleisteten, was die Erstellung, Speicherung,
Benutzung und Löschung der kryptographischen Schlüssel, Zertifikate und
Signaturen einschließt. Aber sobald andere Instanzen neben dem Geräteeigentümer
diese Sicherheitssubsysteme nutzen können, ermöglicht das ihnen,
unbeabsichtigte oder einfach unvorhergesehene Nutzungsformen dieser IT-Geräte
zu unterbinden.</p>
<p>Daher kann mit der Implementierung von "Secure Boot" die Verfügbarkeit
von echten Universalcomputern unter voller Kontrolle ihrer Eigentümer stark
reduziert werden. Durch Maßnahmen wie "Secure Boot" unter Kontrolle einer Firma
signifikant beschränkte Geräte, werden gewöhnlicherweise "Appliances"
oder "Embedded Systems" genannt (z.B. "Media Centers", Telefone, "E-Bookreader").
Deshalb werden zumindest einige Geräte mit Windows 8 eher eine "Windows-Appliance" darstellen,
als einen gebräuchlichen Computer. Während es für solche Appliances
einen Markt geben mag, fordert die FSFE, dass IT-Geräte, die auf von einer Firma vorgesehenen
Nutzungsmodelle beschränkt sind, eindeutig gekennzeichnet werden, um potentielle Käufer ordentlich
zu informieren.</p>
<h2>Ist das Umgehen dieser Einschränkungen eine Option?</h2>
<p>IT-affine Personen, denken womöglich, dass sie solche
Maßnahmen bereits gesehen haben, und die meisten davon wurden geknackt. Das war
der Fall bei verschiedenen Modellen der PlayStation- und Xbox-Spielkonsolen,
sowie bei vielen neueren Mobiltelefonen. Dieses Mal aber ist die Qualität und
der Umfang größer:</p>
<ul>
<li>UEFI "Secure Boot" zielt hauptsächlich auf herkömmliche PCs ab.</li>
<li>Es wird von weiten Teilen der IT-Industrie unterstützt, siehe z.B.
<a href="http://www.uefi.org/about/">die Mitglieder des UEFI Forums</a>.</li>
<li>Das Design und die Spezifikation sind das Ergebnis gemeinsamer
Bemühungen von IT-Ingenieuren vieler Firmen. Zudem basiert es auf
einem Jahrzehnt Erfahrung mit signaturbasierten Startprozessen und meidet
daher viele klassische Fallstricke, z.B. das Fehlen eines ordentlich spezifizierten
und kryptographisch gesicherten (UEFI) Firmware-Aktualisierungsprozesses.</li>
<li>Es verwendet hardwarebasierte Sicherheitssubsysteme, wie z.B. von der TCG
spezifiziert (TPM oder MTM, und begleitende Spezifikationen):
Während die UEFI-Spezifikation keine bestimmte Implementierung eines
"geschützten Speichers (protected storage)" für kryptographische Schlüssel,
Zertifikate und Signaturen verlangt, passen die aktuellen TCG-Spezifikationen
(seit 2011) gut.</li>
<li>Sicherheitslücken in "Secure Boot"-Implementierungen sind zu erwarten
(wie in jeder Software), da es aber kommerziellen Wettbewerb zwischen
UEFI-Anbietern geben wird, liegt es in ihrem besten Interesse diese
Sicherheitslücken zu schließen. In der Vergangenheit wurden dagegen
kryptographisch beschränkte Startprozesse nur von einzelnen
Herstellern für ihre eigenen, speziellen Geräte implementiert: TiVo Inc.
für ihre TIVOs, Microsoft für verschiedene Generationen ihrer Xbox sowie
Sony für ihre Playstation-Modelle.</li>
</ul>
<p>Obwohl viele ähnliche Benutzungseinschränkungen in der Vergangenheit geknackt
wurden, zeigt dies nur, dass ihre technischen Implementationen mangelhaft und
offen für Schadsoftware waren und daher nicht die "Sicherheit" bereitstellten, für die
sie ausgelegt wurden. Obgleich dies wahrscheinlich auch für einige "Secure Boot"-Implementierungen
gelten wird, kann das Brechen dieser Mechanismen niemals eine Lösung der
Probleme mit den Freiheiten des Eigentümers oder dem Mangel an Kontrollierbarkeit
durch den Geräteeigentümer darstellen.</p>
<h2>Forderungen der FSFE</h2>
<p>Um anhaltendes Wachstum in der Entwicklung und Nutzung von Software
aufrecht zu erhalten, ist eine breite Verfügbarkeit von Universalcomputern
entscheidend.</p>
<p>Die FSFE fordert: Käufer müssen vor dem Erwerb eines Gerätes klar und
deutlich auf die in diesem Gerät implementierten technischen Maßnahmen, sowie
über die genauen Nutzungsschranken und die Konsequenzen für den Eigentümer
hingewiesen werden.</p>
<p>Zudem empfiehlt die FSFE dringend ausschließlich IT-Geräte zu erwerben, die
ihrem Eigentümer permanent die volle und alleinige Verfügungsgewalt über
Sicherheits-Subsysteme (z.B. signaturbasierte Nutzungsschranken) gewähren,
damit die Fähigkeit beibehalten wird beliebige Software zu installieren
und letztendlich die exklusive Kontrolle über die eigenen Daten sicher zu stellen.</p>
</div>
<!--/e-content-->
</body>
<sidebar promo="our-work" />
<author id="kirschner" />
<date>
<original content="2012-06-01" />
</date>
<translator>Flo</translator>
<translator>Aljosha Papsch</translator>
</html>