Was Sie über Windows 10 Secure Boot Keys wissen müssen

Werbung

In was könnte man absolut als glitzerndes Beispiel betrachten genauWarum Goldene Schlüssel, die eine Hintertür zu sicheren Diensten bieten, sollten nicht vorhanden sein. Microsoft hat versehentlich den Hauptschlüssel an das Secure Boot-System weitergegeben.

Durch das Leck werden möglicherweise alle Geräte mit installierter Microsoft Secure Boot-Technologie entsperrt, wodurch das gesperrte Betriebssystem entfernt wird Status, sodass Benutzer ihre eigenen Betriebssysteme und Anwendungen anstelle der von der Redmond-Technologie festgelegten installieren können Ungetüm.

Das Leck sollte Ihre Gerätesicherheit theoretisch nicht beeinträchtigen. Es werden jedoch die Leitungen für alternative Betriebssysteme und andere Anwendungen geöffnet, die zuvor auf einem Secure Boot-System nicht funktioniert hätten.

Wie wird Microsoft darauf reagieren? Ein einfaches Update zum Ändern jedes Secure Boot-Basisschlüssels? Oder ist es einfach zu spät, Schaden angerichtet?

Schauen wir uns genauer an, was das Secure Boot-Leck für Sie und Ihre Geräte bedeutet.

Was ist ein sicherer Start?

"Secure Boot stellt sicher, dass Ihr PC nur mit Firmware startet, der vom Hersteller vertraut wird."

Microsoft Secure Boot kam mit Windows 8 an und ist Entwickelt, um zu verhindern, dass böswillige Bediener Anwendungen installieren Was ist UEFI und wie hält es Sie sicherer?Wenn Sie Ihren PC kürzlich gebootet haben, ist Ihnen möglicherweise das Akronym "UEFI" anstelle des BIOS aufgefallen. Aber was ist UEFI? Weiterlesen oder nicht autorisierte Betriebssysteme, die während des Systemstartvorgangs nicht geladen werden oder Änderungen vornehmen. Als es ankam, gab es Bedenken, dass seine Einführung die Fähigkeit zum Dual- oder Multi-Boot-Microsoft-System stark einschränken würde. Am Ende war dies weitgehend unbegründet - oder es wurden Problemumgehungen gefunden.

Da setzt Secure Boot auf die UEFI-Spezifikation (Unified Extensible Firmware Interface) Was ist UEFI und wie hält es Sie sicherer?Wenn Sie Ihren PC kürzlich gebootet haben, ist Ihnen möglicherweise das Akronym "UEFI" anstelle des BIOS aufgefallen. Aber was ist UEFI? Weiterlesen Bereitstellung grundlegender Verschlüsselungsfunktionen, Netzwerkauthentifizierung und Treibersignatur, um modernen Systemen einen weiteren Schutz vor Rootkits und Malware auf niedriger Ebene zu bieten.

Windows 10 UEFI

Microsoft wollte den von UEFI in Windows 10 angebotenen „Schutz“ erhöhen.

Um dies durchzusetzen, informierte Microsoft die Hersteller vor der Veröffentlichung von Windows 10 über die Entscheidung, das zu entfernen Die Option zum Deaktivieren von Secure Boot lag in ihren Händen Funktioniert Linux auf zukünftiger Windows 10-Hardware nicht mehr?Secure Boot kann das Booten einiger Linux-Distributionen verhindern. Auf zukünftigen Windows 10-Geräten entfernen Hersteller möglicherweise die Option zum Deaktivieren von Secure Boot. Dies betrifft Linux Mint und einige andere beliebte Distributionen. Weiterlesen Dadurch wird das Betriebssystem effektiv an das System gesperrt, mit dem ein Computer ankommt. Es ist erwähnenswert, dass Microsoft diese Initiative nicht direkt (zumindest nicht vollständig öffentlich) vorangetrieben hat, sondern als Peter Bright von Ars Technica erklärtÄnderungen an bestehenden UEFI-Regeln vor dem Veröffentlichungsdatum von Windows 10 machten dies möglich:

„Sollte dies so sein, können wir uns OEMs vorstellen, die Maschinen bauen, die keine einfache Möglichkeit zum Booten bieten selbst erstellte Betriebssysteme oder in der Tat jedes Betriebssystem, das nicht über die entsprechende digitale Technologie verfügt Unterschriften. "

Zwar gibt es zweifellos zahlreiche Desktops und Laptops mit freigeschalteten UEFI-Einstellungen zum Verkauf, dies könnte jedoch der Fall sein erweisen sich als ein weiterer Stolperstein für diejenigen, die eine Alternative zu ihrem Windows-Betrieb ausprobieren möchten System.

Ein weiteres Hindernis für Linux-Befürworter, das Problem zu umgehen… Seufzer.

Und jetzt ist der sichere Start dauerhaft entsperrt?

Ich bin mir nicht so sicher. In der Zwischenzeit kann Secure Boot jedoch entsperrt werden. Hier ist was passiert ist.

Secure Boot liegt auf dem Sterbebett.

Schreiben kommt morgen oder Mittwoch.

- Windschatten / RoL (@ TheWack0lian) 8. August 2016

Ich weiß, dass ich mich auf einen Super-Duper-Skelettschlüssel bezogen habe, der jedes einzelne Schloss im gesamten Schloss entriegelt Microsoft UEFI Secure Boot-Universum… aber es kommt tatsächlich darauf an, welche Richtlinien Sie auf Ihrem signiert haben System.

Sicherer Start, der die Binärdatei deaktiviert. Was ist für Microsoft ärgerlicher? https://t.co/n0fGr7pwdo

- Mythische Bestien (@Mythic_Beasts) 10. August 2016

Secure Boot funktioniert zusammen mit bestimmten Richtlinien, gelesen und vollständig vom Windows-Boot-Manager befolgt So lösen Sie die meisten Windows-StartproblemeStartet Ihr Windows-Computer nicht? Dies kann an einem Hardware-, Software- oder Firmware-Fehler liegen. Hier erfahren Sie, wie Sie diese Probleme diagnostizieren und beheben. Weiterlesen . Die Richtlinien empfehlen dem Bootmanager, Secure Boot aktiviert zu lassen. Microsoft hat jedoch eine Richtlinie erstellt, mit der Entwickler Betriebssystem-Builds testen können, ohne jede Version digital signieren zu müssen. Dies setzt Secure Boot effektiv außer Kraft und deaktiviert frühe Systemprüfungen während des Startvorgangs. Die Sicherheitsforscher, MY123 und Windschatten, dokumentierten ihre Ergebnisse (auf einer wirklich entzückenden Website):

„Während der Entwicklung von Windows 10 v1607„ Redstone “hat MS eine neue Art von Richtlinie für sicheres Booten hinzugefügt. Nämlich "ergänzende" Richtlinien, die sich in der EFIESP-Partition befinden (und nicht in einer UEFI-Variablen) und deren Einstellungen werden zusammengeführt, abhängig von den Bedingungen (nämlich, dass eine bestimmte "Aktivierungs" -Richtlinie ebenfalls vorhanden ist und war) geladen in).

Redstones bootmgr.efi lädt zuerst "Legacy" -Richtlinien (nämlich eine Richtlinie aus UEFI-Variablen). Zu einem bestimmten Zeitpunkt wurden in redstone dev keine weiteren Überprüfungen durchgeführt, die über die Überprüfung der Signatur / Geräte-ID hinausgingen. (Dies hat sich jetzt geändert, aber sehen Sie, wie dumm die Änderung ist.) Nach dem Laden der "Legacy" -Richtlinie oder einer Basisrichtlinie von der EFIESP-Partition werden die zusätzlichen Richtlinien geladen, überprüft und zusammengeführt.

Sehen Sie das Problem hier? Wenn nicht, lassen Sie es mich Ihnen klar und deutlich erklären. Die "ergänzende" Richtlinie enthält neue Elemente für die Zusammenführungsbedingungen. Diese Bedingungen werden (zu einem bestimmten Zeitpunkt) von bootmgr beim Laden einer Legacy-Richtlinie deaktiviert. Und bootmgr von win10 v1511 und früher weiß sicherlich nichts darüber. Für diese Bootmgrs wurde gerade eine perfekt gültige, signierte Richtlinie geladen. “

Für Microsoft ist es keine gute Lektüre. Dies bedeutet effektiv, dass die Debug-Modus-Richtlinie, die Entwicklern - und nur Entwicklern - die Möglichkeit gibt, die Signaturprozesse zu negieren, jedem offen steht, der eine Einzelhandelsversion von Windows 10 besitzt. Und dass diese Politik ins Internet gelangt ist.

Erinnerst du dich an das iPhone von San Bernardino?

„Du kannst die Ironie sehen. Auch die Ironie in dieser MS selbst hat uns einige schöne „goldene Schlüssel“ (wie das FBI sagen würde;) zur Verfügung gestellt, die wir für diesen Zweck verwenden können :)

Über das FBI: Lesen Sie das? Wenn ja, dann ist dies ein perfektes Beispiel aus der Praxis, warum Ihre Idee, Kryptosysteme mit einem „sicheren goldenen Schlüssel“ zu hintertüren, sehr schlecht ist! Klügere Leute als ich haben dir das so lange erzählt, es scheint, als hättest du deine Finger in deinen Ohren. Du verstehst es immer noch nicht ernsthaft? Microsoft hat ein "Secure Golden Key" -System implementiert. Und die goldenen Schlüssel wurden von MS eigener Dummheit befreit. Was passiert nun, wenn Sie allen sagen, dass sie ein "sicheres goldenes Schlüssel" -System erstellen sollen? Hoffentlich kannst du 2 + 2 hinzufügen… “

Für diese Verfechter der Verschlüsselung war dies ein bittersüßer Moment, der Strafverfolgungsbehörden und Regierungsbeamten hoffentlich die nötige Klarheit verschafft. Goldene Hintertüren werden noch nie bleibe versteckt. Sie werden immer entdeckt, sei es durch eine unvorhergesehene interne Schwachstelle (Snowden Enthüllungen Held oder Bösewicht? Die NSA moderiert ihre Haltung zu SnowdenDer Whistleblower Edward Snowden und John DeLong von der NSA standen auf dem Programm für ein Symposium. Obwohl es keine Debatte gab, scheint die NSA Snowden nicht mehr als Verräter zu malen. Was hat sich geändert? Weiterlesen ) oder von jenen, die daran interessiert sind, Technologie und den zugrunde liegenden Code zu stoßen und auseinander zu ziehen.

Betrachten Sie das San Bernardino iPhone…

„Wir haben großen Respekt vor den Fachleuten des FBI und glauben, dass ihre Absichten gut sind. Bis zu diesem Punkt haben wir alles getan, was sowohl in unserer Macht als auch im Gesetz liegt, um ihnen zu helfen. Aber jetzt hat uns die US-Regierung um etwas gebeten, das wir einfach nicht haben und das wir für zu gefährlich halten, um es zu schaffen. Sie haben uns darum gebeten Bauen Sie eine Hintertür zum iPhone Was ist das sicherste mobile Betriebssystem?Wir kämpfen um den Titel des sichersten mobilen Betriebssystems und haben: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem kann sich am besten gegen Online-Angriffe behaupten? Weiterlesen .”

Der Ball liegt bei Microsoft

Wie bereits erwähnt, sollte dies kein massives Sicherheitsrisiko für Ihre persönlichen Geräte darstellen. Microsoft hat eine Erklärung veröffentlicht, in der die Relevanz von heruntergespielt wird das Secure Boot-Leck:

„Die im Bericht der Forscher vom 10. August beschriebene Jailbreak-Technik gilt nicht für Desktop- oder Unternehmens-PC-Systeme. Es erfordert physischen Zugriff und Administratorrechte für ARM- und RT-Geräte und beeinträchtigt nicht den Verschlüsselungsschutz. “

Sowie haben sie hat hastig ein Microsoft Security Bulletin veröffentlicht bezeichnet als "wichtig". Dadurch wird die Sicherheitsanfälligkeit nach der Installation behoben. Die Installation einer Version von Windows 10 ohne den implementierten Patch erfordert jedoch nicht viel.

Goldene Schlüssel

Leider ist es unwahrscheinlich, dass dies zu einer neuen Flut von Microsoft-Geräten führt, auf denen Linux-Distributionen ausgeführt werden. Ich meine, es wird einige unternehmungslustige Personen geben, die sich die Zeit nehmen, dies zu testen, aber für die Mehrheit der Personen wird dies einfach ein weiterer Sicherheitsfehler sein, an dem sie vorbeigegangen sind.

Es sollte nicht.

Es ist sicher eine Sache, sich nicht um Linux-Distributionen auf Microsoft-Tablets zu kümmern. Die weiteren Auswirkungen eines goldenen Schlüssels, der in den öffentlichen Bereich gelangt, um potenziell Millionen von Geräten freizuschalten, sind jedoch andere.

Vor ein paar Jahren rief die Washington Post zu „Kompromiss”Zur Verschlüsselung und schlägt vor, dass unsere Daten für Hacker offensichtlich verboten sein sollten, vielleicht für Google und Apple et al sollte einen sicheren goldenen Schlüssel haben. In einer ausgezeichneten Kritik genau, warum dies ein „fehlgeleiteter, gefährlicher Vorschlag,” Tastenbasis Mitschöpfer Christ Coyne erklärt ganz klar: „Ehrliche, gute Menschen sind gefährdet durch irgendein Hintertür, die ihre eigenen Passwörter umgeht. “

Wir sollten uns alle bemühen das maximal mögliche Maß an persönlicher Sicherheit Beginnen Sie das Jahr mit einem persönlichen SicherheitsauditEs ist Zeit, Pläne für das neue Jahr zu schmieden, beispielsweise um sicherzustellen, dass Ihre persönliche Sicherheit auf dem neuesten Stand ist. Hier sind 10 Schritte, die Sie ausführen sollten, um alles mit Ihrem PC, Telefon oder Tablet zu aktualisieren. Weiterlesen , nicht bei der ersten verfügbaren Gelegenheit zu schwächen. Denn wie wir schon mehrfach gesehen haben, sind diese Super-Duper-Skelettschlüssel werden in die falschen Hände geraten.

Und wenn sie es tun, spielen wir alle ein gefährliches Spiel der reaktiven Verteidigung, ob wir wollten oder nicht.

Sollten große Technologieunternehmen Hintertüren in ihren Diensten schaffen? Oder sollten Regierungsbehörden und andere Dienste sich um ihre eigenen Angelegenheiten kümmern und sich auf die Aufrechterhaltung der Sicherheit konzentrieren?

Bildnachweis: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock