232 lines
13 KiB
HTML
232 lines
13 KiB
HTML
<?xml version="1.0" encoding="UTF-8" ?>
|
|
|
|
<html>
|
|
<head>
|
|
<title>"Secure Boot": Wer wird Ihren nächsten Computer kontrollieren?</title>
|
|
</head>
|
|
<body id="secure-boot-analysis" class="article" microformats="h-entry">
|
|
|
|
<!--<p id="category">
|
|
<a href="/freesoftware/freesoftware.html">Free Softw
|
|
are</a>
|
|
</p>-->
|
|
<h1 class="p-name">"Secure Boot": Wer wird Ihren nächsten Computer kontrollieren?</h1>
|
|
|
|
<div class="e-content">
|
|
<p>Das Ziel der FSFE ist, sicherzustellen dass die Eigentümer von IT-Geräten
|
|
permanent die volle und alleinige Verfügungsgewalt über ihre IT-Geräte innehaben.
|
|
Dieses grundlegende Prinzip wird aktuell in Frage gestellt.</p>
|
|
|
|
<p>Mit der Funktion "Secure Boot", die ab 2012 in Computern Einzug hält,
|
|
streben Hersteller von IT-Hardware und Software danach, sich in eine Position zu bringen
|
|
in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren. Daher
|
|
werden solche Geräte aus Sicht der Hersteller "sicher" sein, aber nicht unbedingt
|
|
aus Sicht des Eigentümers:
|
|
Der Eigentümer kann als Gegner behandelt werden. Durch das Verhindern von
|
|
Einsatzmöglichkeiten, die der Hersteller nicht vorsieht, kann er beschränken und
|
|
verhindern wozu die Universalmaschine Computer (z.B. ein PC, Laptop, Notebook)
|
|
genutzt werden kann. Im Falle von IT-Geräten mit Internetzugang kann er
|
|
diese Benutzungsbeschränkungen zu jeder Zeit verändern, sogar ohne den
|
|
Geräteeigentümer zu informieren. Infolgedessen können IT-Hersteller nach ihrem Belieben
|
|
grundlegende Rechte entziehen, die Eigentümer von Produkten gewöhnlich erhalten.</p>
|
|
|
|
<h2>"Secure Boot": Pförtner zum Betriebssystem</h2>
|
|
|
|
<p>Wenn IT-Geräte eingeschaltet werden, führen sie einen Startprozess aus, der
|
|
Booten genannt wird. Im Falle eines Computers beinhaltet dieser Startprozess
|
|
das Ausführen von einer sogenannten "Firmware". Diese Firmware wiederum startet ein anderes
|
|
Programm, genannt "Bootloader", der dann das tatsächliche Betriebssystem lädt, mittels dem dann
|
|
Anwendungsprogramme ausgeführt werden können. Im Jahr 2012 wird der industrieweite Übergang
|
|
bei der Firmware von PCs, Notebooks, Server und anderen Computern vom klassischen
|
|
BIOS zu <a href="http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface">UEFI</a>
|
|
nahezu abgeschlossen sein. Verglichen mit dem klassischen BIOS hat UEFI mehrere
|
|
Vorteile, wie z.B. eine kürzere Startdauer, betriebssystemunabhängige Treiber und
|
|
das Versprechen höherer Sicherheit.</p>
|
|
|
|
<p>Der Sicherheitsaspekt wird von einer Funktion namens "Secure Boot" abgedeckt.
|
|
Seit UEFI 2.3.1 (veröffentlicht am 8. April 2011) stellt "Secure Boot" sicher,
|
|
dass während des Startprozesses ausschließlich Software ausgeführt wird, die mit einer
|
|
der vorinstallierten kryptographischen Signaturen übereinstimmt. Damit wird
|
|
verhindert, dass während des Startvorgangs des Computers unerwünschte Software
|
|
ausgeführt wird, indem jede Softwarekomponente (verschiedene Teile der
|
|
UEFI-Firmware, der Bootloader, der Betriebssystemkernel, usw.)
|
|
kryptographisch verifiziert wird, bevor sie gestartet wird. Deshalb müssen die
|
|
zu benutzenden kryptographischen Signaturen in die UEFI-Signaturdatenbank jedes
|
|
IT-Gerätes, das mit "Secure Boot" ausgestattet ist, installiert werden,
|
|
<strong>bevor</strong> eine kryptographisch signierte Softwarekomponente auf
|
|
dieser spezifischen Maschine gestartet werden kann.</p>
|
|
|
|
<p>Die FSFE erwartet, dass die große Mehrheit der Computerhersteller "Secure Boot"
|
|
implementieren wird, da Microsoft <a href="http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx">
|
|
angekündigt hat</a>, dass Computerhersteller UEFI implementieren müssen, wenn
|
|
sie für von ihnen gebaute Geräte eine Windows 8 Zertifizierung erhalten wollen,
|
|
z.B. um das "Compatible with Windows 8"-Logo auf ihnen zu verwenden.</p>
|
|
|
|
<aside>
|
|
<h2>Universalmaschine Computer</h2>
|
|
|
|
<p>Unsere Gesellschaft hat durch die Entwicklung des Computers über die letzten
|
|
Jahrzehnte zu einer Universalmaschine ein leistungsfähiges Werkzeug geschaffen,
|
|
mit dem alle möglichen Aufgaben von einer einzigen Maschine ausgeführt werden
|
|
können. Nun haben IT-Hersteller herausgefunden, dass es in ihrem
|
|
wirtschaftlichen Interesse liegen kann, die Fähigkeiten dieser Maschinen
|
|
willkürlich zu beschränken. Mit "Secure Boot" wird es Eigentümern von
|
|
IT-Geräten unmöglich sein, unabhängig über den Gebrauch ihrer Maschinen zu
|
|
entscheiden, da sie nicht frei bestimmen können, welche Software ablaufen
|
|
können soll.</p>
|
|
|
|
<p>Die Instanz, die letztendlich kontrolliert welche Software auf einem Gerät ausgeführt
|
|
werden kann und somit die konkreten Funktionen eines Geräts festlegt, hat schließlich
|
|
die Kontrolle über alle Daten, die vom Gerät verarbeitet und gespeichert werden.
|
|
Das kann zur Folge haben, dass der Eigentümer des IT-Geräts nicht mehr die
|
|
alleinige Verfügungsgewalt über seine eigenen Daten innehat.</p>
|
|
|
|
</aside>
|
|
|
|
<h2>Welche Geräte betrifft das?</h2>
|
|
|
|
<p>Gegenwärtig begründen viele ihre Analyse der Situation in Bezug auf UEFI
|
|
auf den "Windows 8 Hardware Certification Requirements", von Microsoft im Dezember 2011
|
|
herausgegeben. Es versteht sich von selbst, dass Microsoft keine Versionen
|
|
dieser Hardware-Zertifizierungsvorgaben öffentlich machen musste bzw. muss, da
|
|
sie die Grundlage für einen individuellen Vertrag zwischen Microsoft und
|
|
jedem Hardwarehersteller bilden, der Microsofts Windows 8 Zertifizierung für
|
|
seine Geräte erhalten will. Daher können sich die "Windows 8 Hardware
|
|
Certification Requirements" jederzeit ohne öffentliche Bekanntmachung ändern,
|
|
oder bestimmte Details für die Logo-Zertifizierung können sich zwischen
|
|
Herstellern unterscheiden:
|
|
Alles passiert nach Microsofts Willen und größtenteils hinter geschlossenen Türen.
|
|
Deshalb kann sich niemand auf die veröffentlichten Versionen der "Windows 8
|
|
Hardware Certification Requirements" verlassen, sondern die Angaben bezüglich
|
|
"Secure Boot" als ein "bewegliches Ziel" betrachten.</p>
|
|
|
|
<p>Also ist das Problem von "Secure Boot" nicht beschränkt auf "Connected
|
|
Standby Systems" (wahrscheinlich ein großer Teil des zukünftigen Markts
|
|
von Notebooks, Netbooks und PCs) und Computern basierend auf ARM-Mikroprozessoren
|
|
(hauptsächlich "Tablets" und Mobiltelefone), sondern kann von Microsoft jederzeit
|
|
auf jede Art von Gerät erweitert werden. Genauso können Hersteller, die keine
|
|
Geräte für Windows 8 herstellen, UEFI "Secure Boot" oder andere Startprozesse
|
|
einsetzen, die mit Hilfe von kryptographischen Signaturen beschränkt werden.
|
|
TiVo tut dies seit einem Jahrzehnt und verschiedene Spielkonsolen, von
|
|
Sony bis Microsoft, benutzen ebenfalls kryptographisch beschränkte
|
|
Startprozesse. Andere Gerätehersteller könnten Spezifikationen oder Vorgaben
|
|
ähnlich den "Windows 8 Hardware Certification Requirements" einsetzen, um
|
|
die Einsatzmöglichkeiten von IT-Geräten künstlich zu begrenzen.</p>
|
|
|
|
<h2>Ausweiten dieser Beschränkungen auf Anwendungsprogramme?</h2>
|
|
|
|
<p>Während die UEFI "Secure Boot"-Spezifikation (sowie die Spezifikationen
|
|
der Trusted Computing Group, die "Trusted Boot" definieren) den primären Startprozess
|
|
bis hin zum Betriebssystemkernel abdecken, ist die Infrastruktur zur Erweiterung
|
|
der Signaturprüfung aller auf einem Computer ablaufenden Software
|
|
ausgereift und funktionierend in mehreren Betriebssystemen vorhanden. Aber neben Windows 8
|
|
wird es zur Zeit nur bei Gerätetreibern für Windows erzwungen.</p>
|
|
|
|
<h2>Bedrohung für den Universalcomputer</h2>
|
|
|
|
<p>Wenn all diese Maßnahmen unter alleiniger Kontrolle der Geräteeigentümer
|
|
stünden, könnten sie in ihrem besten Interesse sein, da sie helfen die Sicherheit
|
|
des Startprozesses zu verbessern, der bis heute weitgehend ungesichert ist.
|
|
Das wäre der Fall, <strong>wenn</strong> die vom UEFI-Forum und der Trusted
|
|
Computer Group (TCG) spezifizierten Sicherheitssubsysteme dem Eigentümer
|
|
permanente, volle und alleinige Verfügungsgewalt über die Konfiguration und Verwaltung
|
|
dieser Sicherheitssubsysteme <strong>technisch</strong> gewährleisteten, was die Erstellung, Speicherung,
|
|
Benutzung und Löschung der kryptographischen Schlüssel, Zertifikate und
|
|
Signaturen einschließt. Aber sobald andere Instanzen neben dem Geräteeigentümer
|
|
diese Sicherheitssubsysteme nutzen können, ermöglicht das ihnen,
|
|
unbeabsichtigte oder einfach unvorhergesehene Nutzungsformen dieser IT-Geräte
|
|
zu unterbinden.</p>
|
|
|
|
<p>Daher kann mit der Implementierung von "Secure Boot" die Verfügbarkeit
|
|
von echten Universalcomputern unter voller Kontrolle ihrer Eigentümer stark
|
|
reduziert werden. Durch Maßnahmen wie "Secure Boot" unter Kontrolle einer Firma
|
|
signifikant beschränkte Geräte, werden gewöhnlicherweise "Appliances"
|
|
oder "Embedded Systems" genannt (z.B. "Media Centers", Telefone, "E-Bookreader").
|
|
Deshalb werden zumindest einige Geräte mit Windows 8 eher eine "Windows-Appliance" darstellen,
|
|
als einen gebräuchlichen Computer. Während es für solche Appliances
|
|
einen Markt geben mag, fordert die FSFE, dass IT-Geräte, die auf von einer Firma vorgesehenen
|
|
Nutzungsmodelle beschränkt sind, eindeutig gekennzeichnet werden, um potentielle Käufer ordentlich
|
|
zu informieren.</p>
|
|
|
|
<h2>Ist das Umgehen dieser Einschränkungen eine Option?</h2>
|
|
|
|
<p>IT-affine Personen, denken womöglich, dass sie solche
|
|
Maßnahmen bereits gesehen haben, und die meisten davon wurden geknackt. Das war
|
|
der Fall bei verschiedenen Modellen der PlayStation- und Xbox-Spielkonsolen,
|
|
sowie bei vielen neueren Mobiltelefonen. Dieses Mal aber ist die Qualität und
|
|
der Umfang größer:</p>
|
|
|
|
<ul>
|
|
|
|
<li>UEFI "Secure Boot" zielt hauptsächlich auf herkömmliche PCs ab.</li>
|
|
|
|
<li>Es wird von weiten Teilen der IT-Industrie unterstützt, siehe z.B.
|
|
<a href="http://www.uefi.org/about/">die Mitglieder des UEFI Forums</a>.</li>
|
|
|
|
<li>Das Design und die Spezifikation sind das Ergebnis gemeinsamer
|
|
Bemühungen von IT-Ingenieuren vieler Firmen. Zudem basiert es auf
|
|
einem Jahrzehnt Erfahrung mit signaturbasierten Startprozessen und meidet
|
|
daher viele klassische Fallstricke, z.B. das Fehlen eines ordentlich spezifizierten
|
|
und kryptographisch gesicherten (UEFI) Firmware-Aktualisierungsprozesses.</li>
|
|
|
|
<li>Es verwendet hardwarebasierte Sicherheitssubsysteme, wie z.B. von der TCG
|
|
spezifiziert (TPM oder MTM, und begleitende Spezifikationen):
|
|
Während die UEFI-Spezifikation keine bestimmte Implementierung eines
|
|
"geschützten Speichers (protected storage)" für kryptographische Schlüssel,
|
|
Zertifikate und Signaturen verlangt, passen die aktuellen TCG-Spezifikationen
|
|
(seit 2011) gut.</li>
|
|
|
|
<li>Sicherheitslücken in "Secure Boot"-Implementierungen sind zu erwarten
|
|
(wie in jeder Software), da es aber kommerziellen Wettbewerb zwischen
|
|
UEFI-Anbietern geben wird, liegt es in ihrem besten Interesse diese
|
|
Sicherheitslücken zu schließen. In der Vergangenheit wurden dagegen
|
|
kryptographisch beschränkte Startprozesse nur von einzelnen
|
|
Herstellern für ihre eigenen, speziellen Geräte implementiert: TiVo Inc.
|
|
für ihre TIVOs, Microsoft für verschiedene Generationen ihrer Xbox sowie
|
|
Sony für ihre Playstation-Modelle.</li>
|
|
|
|
</ul>
|
|
|
|
<p>Obwohl viele ähnliche Benutzungseinschränkungen in der Vergangenheit geknackt
|
|
wurden, zeigt dies nur, dass ihre technischen Implementationen mangelhaft und
|
|
offen für Schadsoftware waren und daher nicht die "Sicherheit" bereitstellten, für die
|
|
sie ausgelegt wurden. Obgleich dies wahrscheinlich auch für einige "Secure Boot"-Implementierungen
|
|
gelten wird, kann das Brechen dieser Mechanismen niemals eine Lösung der
|
|
Probleme mit den Freiheiten des Eigentümers oder dem Mangel an Kontrollierbarkeit
|
|
durch den Geräteeigentümer darstellen.</p>
|
|
|
|
<h2>Forderungen der FSFE</h2>
|
|
|
|
<p>Um anhaltendes Wachstum in der Entwicklung und Nutzung von Software
|
|
aufrecht zu erhalten, ist eine breite Verfügbarkeit von Universalcomputern
|
|
entscheidend.</p>
|
|
|
|
<p>Die FSFE fordert: Käufer müssen vor dem Erwerb eines Gerätes klar und
|
|
deutlich auf die in diesem Gerät implementierten technischen Maßnahmen, sowie
|
|
über die genauen Nutzungsschranken und die Konsequenzen für den Eigentümer
|
|
hingewiesen werden.</p>
|
|
|
|
<p>Zudem empfiehlt die FSFE dringend ausschließlich IT-Geräte zu erwerben, die
|
|
ihrem Eigentümer permanent die volle und alleinige Verfügungsgewalt über
|
|
Sicherheits-Subsysteme (z.B. signaturbasierte Nutzungsschranken) gewähren,
|
|
damit die Fähigkeit beibehalten wird beliebige Software zu installieren
|
|
und letztendlich die exklusive Kontrolle über die eigenen Daten sicher zu stellen.</p>
|
|
|
|
</div>
|
|
<!--/e-content-->
|
|
|
|
</body>
|
|
|
|
<sidebar promo="our-work" />
|
|
|
|
<timestamp>$Date$ $Author: Matthias Kirschner$</timestamp>
|
|
<author id="kirschner" />
|
|
<date>
|
|
<original content="2012-06-01" />
|
|
</date>
|
|
<translator>Flo</translator>
|
|
<translator>Aljosha Papsch</translator>
|
|
|
|
</html>
|
|
|