In dem, was absolut als glänzendes Beispiel dafür angesehen werden könnte , warum goldene Schlüssel, die eine Hintertür für sichere Dienste anbieten, nicht existieren sollten, hat Microsoft versehentlich den Hauptschlüssel an ihr Secure Boot-System weitergegeben.
Durch das Leck werden möglicherweise alle Geräte entsperrt, auf denen die Microsoft Secure Boot-Technologie installiert ist, wodurch der gesperrte Betriebssystemstatus aufgehoben wird und die Benutzer ihre eigenen Betriebssysteme und Anwendungen anstelle der vom Redmond-Technologie-Koloss benannten Anwendungen installieren können.
Das Leck sollte die Gerätesicherheit nicht beeinträchtigen - theoretisch. Aber es wird die Grenzen für alternative Betriebssysteme und andere Anwendungen öffnen, die zuvor bei einem sicheren Boot-System nicht funktionieren konnten.
Wie wird Microsoft darauf reagieren? Ein einfaches Update, um jeden Secure Boot-Basisschlüssel zu ändern? Oder ist es einfach zu spät, Schaden angerichtet?
Sehen wir uns an, was das Secure Boot-Leck für Sie und Ihre Geräte bedeutet.
Was ist ein sicherer Start?
"Secure Boot hilft dabei sicherzustellen, dass Ihr PC nur mit der vom Hersteller als vertrauenswürdig eingestuften Firmware bootet"
Microsoft Secure Boot ist mit Windows 8 angekommen und soll verhindern, dass böswillige Anwender Anwendungen installieren. Was ist UEFI und wie hält es Sie sicherer? Was ist UEFI und wie hält es Sie sicherer? Lesen Sie während des Systemstarts mehr oder nicht autorisierte Betriebssysteme beim Laden oder beim Ändern. Als es eintraf, gab es Bedenken, dass seine Einführung die Fähigkeit zu Dual-oder Multi-Boot-Microsoft-Systemen stark einschränken würde. Am Ende war dies weitgehend unbegründet - oder wurden Umgehungslösungen gefunden.
Da Secure Boot auf der UEFI-Spezifikation (Unified Extensible Firmware Interface) basiert Was ist UEFI und wie hält es Sie sicherer? Was ist UEFI und wie hält es Sie sicherer? Weitere Informationen zu grundlegenden Verschlüsselungsfunktionen, Netzwerkauthentifizierung und Treibersignierung bieten modernen Systemen eine weitere Schutzebene vor Rootkits und Low-Level-Malware.
Windows 10 UEFI
Microsoft wollte den "Schutz", den UEFI in Windows 10 bietet, weiter ausbauen.
Um dies durchzusetzen, informierte Microsoft die Hersteller vor der Veröffentlichung von Windows 10 darüber, dass die Wahl, die Option zum Deaktivieren des sicheren Starts zu entfernen, in ihren Händen liege. Wird Linux nicht länger an zukünftiger Windows 10-Hardware arbeiten? Wird Linux nicht mehr an zukünftiger Windows 10 Hardware arbeiten? Sicherer Start kann das Booten einiger Linux-Distributionen verhindern. Auf zukünftigen Windows 10-Geräten können Hersteller die Option zum Deaktivieren von Secure Boot entfernen. Dies wird Linux Mint und einige andere beliebte Distributionen betreffen. Lesen Sie mehr, um das Betriebssystem effektiv mit dem zu synchronisieren, mit dem ein Computer kommt. Es ist erwähnenswert, dass Microsoft diese Initiative nicht direkt (zumindest nicht ganz öffentlich) vorangetrieben hat, aber wie Peter Bright von Ars Technica erklärt, machten Änderungen an bestehenden UEFI-Regeln vor dem Windows 10-Veröffentlichungsdatum Folgendes möglich:
"Wenn dies steht, können wir uns vorstellen, dass OEMs Maschinen bauen, die keine einfache Möglichkeit bieten, selbst gebaute Betriebssysteme zu booten, oder sogar jedes Betriebssystem, das keine geeigneten digitalen Signaturen hat."
Während es zweifellos zahlreiche Desktops und Laptops mit freigeschalteten UEFI-Einstellungen zu kaufen gibt, könnte dies ein weiterer Stolperstein für diejenigen sein, die eine Alternative zu ihrem Windows-Betriebssystem versuchen möchten.
Ein weiterer Block für Linux befürwortet die Arbeit ... seufzen .
Und jetzt Secure-Boot ist dauerhaft entsperrt?
Ich bin mir nicht so sicher. In der Zwischenzeit kann Secure Boot jedoch entsperrt werden. Hier ist was passiert ist.
Secure Boot ist auf dem Sterbebett.
Aufschreiben morgen oder Mittwoch.
- Slipstream / RoL (@ TheWack0lian) 8. August 2016
Ich weiß, dass ich mich auf einen super-duper skeleton-type-Schlüssel bezog, der jede einzelne Sperre im gesamten Microsoft UEFI Secure Boot-Universum freigibt ... aber es kommt tatsächlich darauf an, welche Richtlinien Sie auf Ihrem System unterzeichnet haben.
Sicherer Start, der das Auslaufen der Binärdatei verhindert. Was nervt mehr für Microsoft? https://t.co/n0fGr7pwdo
- Mythische Bestien (@Mythic_Beasts) 10. August 2016
Secure Boot arbeitet mit bestimmten Richtlinien zusammen, die vom Windows-Startmanager gelesen und vollständig befolgt werden. Wie man die meisten Windows-Startprobleme löst Wie löst man die meisten Windows-Startprobleme Ist Ihr Windows-Computer nicht hochgefahren? Dies könnte an einem Hardware-, Software- oder Firmware-Fehler liegen. Hier erfahren Sie, wie Sie diese Probleme diagnostizieren und beheben können. Weiterlesen . Die Richtlinien empfehlen dem Boot-Manager, Secure Boot aktiviert zu lassen. Microsoft hat jedoch eine Richtlinie erstellt, mit der Entwickler Betriebssystem-Builds testen können, ohne jede Version digital signieren zu müssen. Dadurch wird der sichere Systemstart außer Kraft gesetzt und frühe Systemprüfungen während des Startvorgangs deaktiviert. Die Sicherheitsforscher MY123 und Slipstream dokumentierten ihre Ergebnisse (auf einer wirklich reizvollen Website):
"Während der Entwicklung von Windows 10 v1607 'Redstone' hat MS eine neue Art von sicherer Boot-Richtlinie hinzugefügt. Nämlich "ergänzende" Richtlinien, die sich in der EFIESP-Partition (und nicht in einer UEFI-Variablen) befinden und deren Einstellungen in Abhängigkeit von Bedingungen (dh dass eine bestimmte "Aktivierungs" -Richtlinie ebenfalls existiert) vorhanden sind geladen in).
Redstones bootmgr.efi lädt zuerst "Legacy" -Richtlinien (nämlich eine Richtlinie aus UEFI-Variablen). Zu einem bestimmten Zeitpunkt in redstone dev hat es keine weiteren Prüfungen über Signatur / DeviceID-Prüfungen hinaus durchgeführt. (Dies hat sich nun geändert, aber sehen Sie, wie die Änderung dumm ist) Nach dem Laden der "Legacy" -Richtlinie oder einer Basisrichtlinie aus der EFIESP-Partition lädt, überprüft und verschmilzt sie in den Ergänzungsrichtlinien.
Sehen Sie das Problem hier? Wenn nicht, lass es mich dir klar und deutlich erklären. Die "ergänzende" Richtlinie enthält neue Elemente für die Zusammenführungsbedingungen. Diese Bedingungen sind beim Laden einer älteren Richtlinie (na ja, zu einer Zeit) durch bootmgr deaktiviert. Und Bootmgr von Win10 V1511 und früher weiß sicherlich nicht über sie. Für diese Bootmgrs wurde gerade eine vollkommen gültige, signierte Richtlinie geladen. "
Es liest sich nicht gut für Microsoft. Es bedeutet effektiv, dass die Debug-Modus-Richtlinie, die Entwicklern - und nur Entwicklern - die Möglichkeit bietet, die Signierungsprozesse zu negieren, für jeden mit einer Verkaufsversion von Windows 10 offen ist. Und diese Richtlinie ist ins Internet gelangt.
Erinnerst du dich an das San Bernardino iPhone?
"Du kannst die Ironie sehen. Auch die Ironie in diesem MS gab uns einige nette "goldene Schlüssel" (wie das FBI sagen würde;) für uns zu diesem Zweck :)
Über das FBI: Liest du das? Wenn Sie sind, dann ist dies ein perfektes Beispiel aus der realen Welt, warum Ihre Idee von Hintertür-Kryptosystemen mit einem "sicheren goldenen Schlüssel" sehr schlecht ist! Klügere Leute als ich haben dir das schon so lange gesagt, es scheint, du hast deine Finger in deinen Ohren. Du verstehst ernsthaft noch nicht? Microsoft hat ein "sicheres goldenes Schlüssel" -System implementiert. Und die goldenen Schlüssel wurden von der eigenen Dummheit der MS befreit. Was passiert nun, wenn Sie jedem sagen, dass er ein "sicheres goldenes Schlüssel" -System machen soll? Hoffentlich können Sie 2 + 2 hinzufügen ... "
Für die Befürworter der Verschlüsselung war dies ein bittersüßer Moment, der den Strafverfolgungsbehörden und Regierungsbeamten hoffentlich Klarheit verschaffen wird. Goldene Hintertüren bleiben niemals verborgen. Sie werden immer entdeckt werden, sei es durch eine unvorhergesehene interne Schwachstelle (Snowden-Enthüllungen Hero oder Bösewicht? NSA moderiert seine Haltung auf Snowden Held oder Bösewicht? NSA moderiert seine Haltung auf Snowden Whistleblower Edward Snowden und der NSA John DeLong erschien auf dem Plan für eine Während es keine Debatte gab, scheint es, dass die NSA Snowden nicht mehr als Verräter malt. Was hat sich verändert? Lesen Sie mehr) oder von denen, die daran interessiert sind, Technologie und ihren zugrunde liegenden Code zu stossen und zu ziehen.
Betrachten Sie das San Bernardino iPhone ...
"Wir haben großen Respekt vor den Fachleuten des FBI, und wir glauben, dass ihre Absichten gut sind. Bis zu diesem Punkt haben wir alles getan, was sowohl in unserer Macht als auch im Gesetz liegt, um ihnen zu helfen. Aber jetzt hat die US-Regierung uns um etwas gebeten, was wir einfach nicht haben und etwas, das wir für zu gefährlich halten. Sie haben uns gebeten, eine Hintertür zum iPhone zu bauen. Was ist das sicherste mobile Betriebssystem? Was ist das sicherste mobile Betriebssystem? Wir kämpfen um den Titel des sichersten mobilen Betriebssystems: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem ist am besten gegen Online-Angriffe zu behaupten? Weiterlesen ."
Der Ball bleibt bei Microsoft
Wie ich bereits erwähnte, sollte dies nicht wirklich ein großes Sicherheitsrisiko für Ihre persönlichen Geräte darstellen. Microsoft veröffentlichte eine Stellungnahme, die die Relevanz des Secure Boot-Lecks herunterspielt:
"Die im Bericht der Forscher vom 10. August beschriebene Jailbreak-Technik gilt nicht für Desktop- oder Unternehmens-PC-Systeme. Es erfordert physischen Zugriff und Administratorrechte für ARM- und RT-Geräte und beeinträchtigt die Verschlüsselungsfunktionen nicht. "
Außerdem haben sie hastig ein Microsoft Security Bulletin mit dem Namen "Wichtig" veröffentlicht. Dadurch wird die Sicherheitslücke nach der Installation behoben. Es wird jedoch nicht viel Zeit benötigen, um eine Version von Windows 10 ohne den Patch zu installieren.
Secure Boot ist mit ziemlicher Sicherheit tot.
- Longhorn (@never_released) 8. August 2016
Goldene Schlüssel
Leider wird dies wahrscheinlich nicht zu einer neuen Flut von Microsoft-Geräten mit Linux-Distributionen führen. Ich meine, es wird einige unternehmungslustige Individuen geben, die sich die Zeit nehmen, aber für die Mehrheit der Individuen wird dies einfach ein weiterer Sicherheitsfaktor sein, der sie passiert hat.
Es sollte nicht.
Linux-Distributionen auf Microsoft-Tablets sind eine Sache, klar. Aber die weiteren Auswirkungen eines goldenen Schlüssels, der in die Öffentlichkeit gelangt, um potenziell Millionen von Geräten freizuschalten, ist ein anderer.
Vor ein paar Jahren rief die Washington Post zum "Kompromiss" bei der Verschlüsselung auf und schlug vor, dass, obwohl unsere Daten für Hacker offensichtlich tabu sein sollten, Google und Apple et al. Vielleicht einen sicheren goldenen Schlüssel haben sollten. In einer exzellenten Kritik, warum genau dies ein "fehlgeleiteter, gefährlicher Vorschlag" ist, erklärt Key Co-Creator von Keybase, Christ Coyne, ganz klar: "Ehrliche, gute Leute werden durch jede Hintertür gefährdet, die ihre eigenen Passwörter umgeht."
Wir sollten alle nach dem höchstmöglichen Maß an persönlicher Sicherheit streben Beginnen Sie das Jahr mit einem persönlichen Sicherheitsaudit Beginnen Sie das Jahr mit einem persönlichen Sicherheitsaudit Es ist Zeit, Pläne für das neue Jahr zu machen, wie zum Beispiel die persönliche Sicherheit Kratzen. Hier sind 10 Schritte, die Sie durchführen sollten, um alles mit Ihrem PC, Telefon oder Tablet zu aktualisieren. Lesen Sie mehr, nicht zu schwächen es bei der ersten verfügbaren Gelegenheit. Denn wie wir schon mehrfach gesehen haben, landen diese super-duper Skelett-Schlüssel in den falschen Händen.
Und wenn sie es tun, spielen wir alle ein gefährliches Spiel reaktiver Verteidigung, ob wir es wollten oder nicht.
Sollten große Technologieunternehmen Backdoors in ihren Dienstleistungen schaffen? Oder sollten Behörden und andere Dienste sich um ihre eigenen Angelegenheiten kümmern und sich auf die Aufrechterhaltung der Sicherheit konzentrieren?
Bildquelle: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock