Archief


Monday, 26 September 2011

Secure boot voor Windows 8 kan Linux blokkeren

Momenteel is er onzekerheid over de manier waarop Microsoft met Windows 8 gebruik wil maken van secure boot op systemen met het "Unified Extensible Firmware Interface (UEFI)".

Eerst even wat achtergrond.
UEFI is een software interface tussen het operating system en de hardware dat een vervanging moet worden voor het BIOS (Basic Input Output System) dat kennen we van het opstarten van de PC.
Het werd oorspronkelijk "Intel Boot Initiative" genoemd, dat begon in 1998 en werd later EFI. De huidige specificaties van UEFI in versie 2.3.1 zijn van april 2011.

Welke voordelen biedt EUFI boven een BIOS:

  • de mogelijkheid van grote harde schijven te starten (boven 2 TiB)
  • sneller starten
  • de architektuur is onafhankelijk van de CPU
  • de mogelijkheid tot drivers die CPU onafhankelijk zijn
  • een flexibelere "pre-OS" omgeving eventueel met netwerk-ondersteuning
  • een modulair design

Andere voordelen zijn:
  • betere Schijven-compatibility
  • verschillende Services tijdens boottime/runtime
  • eigen protockol voor drivers
  • eigen devicedrivers
  • eigen Bootmanager
  • eigen shell
  • mogelijkheid tot extenties



Met de zogenaamde secureboot en de nieuwste versie van UEFI 2.3.1 kan de start van een niet digitaal ondertekende bootloader geblokkeerd worden.
Is de secure boot geaktiveerd, dan kan bijvoorbeeld linux niet starten als het geen digitale handtekening heeft en de beheerder van de computer dat niet expliciet toestaat.

Op die manier moet het systeem beschermd worden voor aanvallen met een ander OS. Bijvoorbeeld het booten van een USB-stick.

Zo zal de aangekondigde Windows-8-Mobilcomputer met ARM-SoCs alleen in de klasse 3 leverbaar zijn en onder de Metro-GUI van Windows 8 wordt alleen het starten van digitaal geteste en ondertekende Apps uit de eigen App store toegelaten.

Ondanks dat het bedoeld is als een maatregel om de klanten te beschermen, ontneemt het tegelijkertijd de vrijheid zelf te bepalen wat je op het eigen systeem wil starten.

Deze tendens is bij Apple al langer te herkennen maar als Microsoft hiermee begint wordt het problematisch omdat Microsoft nog steeds een monopolieposite heeft waar het desktop-pc's betreft. De regeling is zo dat niet Microsoft maar de hardware-leveranciers secureboot zullen inbouwen om "Windows 8 gecertificeerd" te kunnen zijn, microsoft levert alleen de digitale handtekening. Zo blijft Microsoft buiten schot.

Vanuit mijn perceptie is dit niet goed te praten, ik werk met een zelfgebouwd systeem dat met GNU/linux werkt. Moet ik er in de toekomst rekening mee gaan houden dat ik eerst moet vragen om een garantie dat ik met een nieuw moederbord linux kan installeren? Betekent het dat een dualboot systeem niet meer mogelijk zal zijn omdat Microsoft dat verbiedt?

Het is jammer dat Microsoft alweer met zulke bedenkelijke zaken komt, mijn eerste ervaringen met Windows 7 waren eigenlijk positief.
Wanneer alle mogelijkheden van UEFI benut worden  kan het zover gaan dat je geen andere grafische kaart kunt inbouwen, geen programma's kunt laden uit bronnen die Microsoft verbiedt en zo voort. Volgens mij is hier een interventie nodig vanuit de EU die dit soort praktijken moet verbieden.

Jan van Leeuwen


auteur: Jan van Leeuwen

Vorige pagina: Praktijkberichten