Was Sie über Windows 10 Secure Boot Keys wissen müssen
In was könnte man absolut ein glitzerndes Beispiel für genau Warum Goldene Schlüssel, die eine Hintertür für sichere Dienste bieten, sollten nicht existieren. Microsoft hat versehentlich den Hauptschlüssel an ihr Secure Boot-System durchgelassen.
Das Leck kann potenziell alle Geräte mit installierter Microsoft Secure Boot-Technologie freischalten, wodurch der Status des gesperrten Betriebssystems entzogen wird. Benutzer können dann ihre eigenen Betriebssysteme und Anwendungen anstelle der vom Redmond-Technologie-Giganten genannten Systeme installieren.
Das Leck sollte die Sicherheit Ihres Geräts nicht beeinträchtigen - theoretisch. Dadurch werden jedoch alternative Betriebssysteme und andere Anwendungen geöffnet, die zuvor auf einem Secure Boot-System nicht funktionieren würden.
Wie wird Microsoft darauf reagieren? Ein einfaches Update, um jeden Secure Boot-Basisschlüssel zu ändern? Oder ist es einfach zu spät, Schaden angerichtet?
Lassen Sie uns einen genaueren Blick darauf werfen, was das Secure Boot-Leck für Sie und Ihre Geräte bedeutet.
Was ist sicherer Start??
“Sicherer Start hilft sicherzustellen, dass Ihr PC nur mit Firmware startet, die vom Hersteller als vertrauenswürdig eingestuft wird”
Microsoft Secure Boot wurde mit Windows 8 geliefert und soll verhindern, dass böswillige Benutzer Anwendungen installieren. Was ist UEFI und wie werden Sie dadurch sicherer? Was ist UEFI und wie bleiben Sie sicherer? Lesen Sie mehr oder alle nicht autorisierten Betriebssysteme durch Laden oder Durchführen von Änderungen während des Systemstarts. Als es ankam, gab es Bedenken, dass die Einführung von Microsoft-Systemen mit Dual- oder Multi-Boot-System stark eingeschränkt werden könnte. Am Ende war dies weitgehend unbegründet - oder es wurden Workarounds gefunden.
Sicherer Start basiert auf der UEFI-Spezifikation (Unified Extensible Firmware Interface). Was ist UEFI und wie werden Sie dadurch sicherer? Was ist UEFI und wie bleiben Sie sicherer? Lesen Sie weiter, um grundlegende Verschlüsselungsfunktionen, Netzwerkauthentifizierung und Treibersignierung bereitzustellen und modernen Systemen einen weiteren Schutz vor Rootkits und Malware auf niedriger Ebene zu bieten.
Windows 10 UEFI
Microsoft wollte das hochfahren “Schutz” von UEFI in Windows 10 angeboten.
Um dies durchzusetzen, informierte Microsoft die Hersteller vor der Veröffentlichung von Windows 10, dass die Entscheidung, die Option zum Deaktivieren von Secure Boot zu entfernen, in ihren Händen lag. Wird Linux nicht mehr auf künftiger Windows 10-Hardware funktionieren? Funktioniert Linux nicht mehr mit zukünftiger Windows 10-Hardware? Secure Boot kann das Booten einiger Linux-Distributionen verhindern. Auf kommenden Windows 10-Geräten entfernen Hersteller möglicherweise die Option zum Deaktivieren von Secure Boot. Dies wird sich auf Linux Mint und einige andere beliebte Distributionen auswirken. Lesen Sie mehr, um das Betriebssystem effektiv an das Betriebssystem zu koppeln, mit dem ein Computer kommt. Es ist erwähnenswert, dass Microsoft diese Initiative nicht direkt vorangetrieben hat (zumindest nicht vollständig öffentlich), aber wie Peter Bright von Ars Technica erläutert, haben Änderungen an den bestehenden UEFI-Regeln vor dem Veröffentlichungsdatum von Windows 10 dies möglich gemacht:
“Wenn dies so ist, können wir uns vorstellen, dass OEMs Maschinen bauen, die keine einfache Möglichkeit bieten, selbst erstellte Betriebssysteme zu booten, oder auch Betriebssysteme, die keine geeigneten digitalen Signaturen besitzen.”
Zwar gibt es zweifellos zahlreiche Desktops und Laptops mit freigeschalteten UEFI-Einstellungen zum Verkauf, dies könnte jedoch ein weiterer Stolperstein für diejenigen sein, die eine Alternative zu ihrem Windows-Betriebssystem suchen.
Eine weitere Straßensperre für Linux befürwortet die Arbeit… Seufzer.
Und jetzt ist der sichere Start dauerhaft freigeschaltet?
Dauerhaft bin ich mir nicht so sicher. In der Zwischenzeit kann Secure Boot jedoch freigeschaltet werden. Hier ist was passiert ist.
Secure Boot befindet sich auf dem Totenbett.
Schreiben Sie morgen oder Mittwoch.
- Slipstream / RoL (@ TheWack0lian) 8. August 2016
Ich weiß, dass ich mich auf einen Super-Super-Skeleton-Schlüssel bezogen habe, der jede Sperre im gesamten UEFI Secure Boot-Universum von Microsoft freischaltet. Es kommt jedoch darauf an, welche Richtlinien Sie auf Ihrem System unterzeichnet haben.
Sicherer Start der Deaktivierung von Binärlecks. Was nervt mehr für Microsoft? https://t.co/n0fGr7pwdo
- Mythische Bestien (@Mythic_Beasts) 10. August 2016
Sicherer Start funktioniert in Verbindung mit bestimmten Richtlinien, die vom Windows-Start-Manager gelesen und vollständig befolgt werden. So lösen Sie die meisten Windows-Startprobleme Wie lösen Sie die meisten Windows-Startprobleme Wird Ihr Windows-Computer nicht hochgefahren? Dies kann an einem Hardware-, Software- oder Firmware-Fehler liegen. So diagnostizieren und beheben Sie diese Probleme. Weiterlesen . Die Richtlinien empfehlen dem Bootmanager, Secure Boot aktiviert zu lassen. Microsoft hat jedoch eine Richtlinie entwickelt, mit der Entwickler Betriebssystem-Builds testen können, ohne jede Version digital signieren zu müssen. Dadurch wird Secure Boot effektiv außer Kraft gesetzt und frühzeitige Systemprüfungen während des Startvorgangs deaktiviert. Die Sicherheitsforscher MY123 und Slipstream dokumentierten ihre Ergebnisse (auf einer wirklich erfreulichen Website):
“Während der Entwicklung von Windows 10 v1607 'Redstone' hat MS eine neue Art von sicheren Startrichtlinien hinzugefügt. Nämlich, “ergänzend” Richtlinien, die sich in der EFIESP-Partition befinden (und nicht in einer UEFI-Variablen), und deren Einstellungen zusammengeführt werden, abhängig von den Bedingungen (nämlich dass eine bestimmte “Aktivierung” Politik ist auch vorhanden und wurde geladen in).
Bootmgr.efi von Redstone wird geladen “Erbe” Richtlinien (eine Richtlinie aus UEFI-Variablen) zuerst. Zu einem bestimmten Zeitpunkt in redstone dev wurden keine weiteren Überprüfungen über Signatur- / Geräte-ID-Prüfungen hinaus durchgeführt. (Das hat sich nun geändert, aber siehe da, wie die Änderung dumm ist) Nach dem Laden des “Erbe” Eine Richtlinie oder eine Basisrichtlinie aus der EFIESP-Partition lädt, prüft und fügt sie in die Zusatzrichtlinien ein.
Sehen Sie die Ausgabe hier? Wenn nicht, lassen Sie es mich klar und deutlich ausdrücken. Das “ergänzend” Die Richtlinie enthält neue Elemente für die Zusammenführungsbedingungen. Diese Bedingungen werden vom bootmgr (gut zu einem Zeitpunkt) beim Laden einer alten Richtlinie nicht überprüft. Und bootmgr von win10 v1511 und früher kennt sie sicherlich nicht. Für diese Bootmgrs wurde gerade eine perfekt gültige, signierte Richtlinie geladen.”
Es ist nicht gut für Microsoft zu lesen. Dies bedeutet im Grunde, dass die Debug-Modus-Richtlinie, die Entwicklern - und nur Entwicklern - die Möglichkeit bietet, die Signaturprozesse zu annullieren, jedem Benutzer mit einer Einzelhandelsversion von Windows 10 offen steht. Diese Richtlinie hat sich im Internet verbreitet.
Erinnern Sie sich an das San Bernardino iPhone?
“Sie können die Ironie sehen. Auch die Ironie in der MS selbst hat uns einige nett gemacht “goldene Schlüssel” (wie das FBI sagen würde;) für uns zu diesem Zweck :)
Über das FBI: liest du das? Wenn dies der Fall ist, ist dies ein perfektes Beispiel aus der realen Welt, warum Ihre Idee, Kryptosysteme mit einem Backdooring-Verfahren auszuführen “sichern Sie sich den goldenen Schlüssel” ist sehr schlecht! Klügere Menschen als ich haben es Ihnen schon so lange erzählt, als hätten Sie Ihre Finger in den Ohren. Du verstehst es im Ernst immer noch nicht? Microsoft implementierte eine “sichern Sie sich den goldenen Schlüssel” System. Und die goldenen Schlüssel wurden von MS-eigener Dummheit befreit. Nun, was passiert, wenn Sie allen sagen, sie sollen eine “sichern Sie sich den goldenen Schlüssel” System? Hoffentlich können Sie 2 + 2 hinzufügen ... ”
Für die Befürworter der Verschlüsselung war dies ein bittersüßer Moment, der hoffentlich für die Strafverfolgungsbehörden und die Regierungsbeamten etwas Klarheit bringen wird. Goldene Hintertüren werden noch nie bleibe versteckt. Sie werden immer entdeckt werden, sei es durch eine unvorhergesehene innere Verwundbarkeit (Snowden Enthüllungen Hero oder Villain? NSA moderiert seine Position auf Snowden Hero oder Villain? NSA moderiert seine Haltung auf Snowden Whistleblower Edward Snowden und der John DeLong der NSA erschienen im Zeitplan für einen Symposium: Während es keine Debatte gab, scheint die NSA Snowden nicht mehr als Verräter zu malen. Was hat sich geändert? Lesen Sie mehr) oder von Interessierten, die daran interessiert sind, Technologie und den zugrunde liegenden Code auseinander zu ziehen.
Betrachten Sie das San Bernardino iPhone…
“Wir haben großen Respekt vor den Fachleuten des FBI und wir glauben, dass ihre Absichten gut sind. Bis zu diesem Punkt haben wir alles getan, was sowohl in unserer Macht als auch innerhalb des Gesetzes ist, um ihnen zu helfen. Aber jetzt hat uns die US-Regierung nach etwas gefragt, das wir einfach nicht haben, und etwas, das wir als zu gefährlich erachten. Sie haben uns gebeten, eine Hintertür für das iPhone zu bauen. Was ist das sicherste mobile Betriebssystem? Was ist das sicherste mobile Betriebssystem? Um den Titel des sichersten mobilen Betriebssystems kämpfen, haben wir: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem kann sich gegen Online-Angriffe am besten behaupten? Weiterlesen .”
Der Ball liegt bei Microsoft
Wie ich bereits erwähnte, sollte dies kein ernsthaftes Sicherheitsrisiko für Ihre persönlichen Geräte darstellen, und Microsoft hat eine Erklärung veröffentlicht, in der die Relevanz des Secure-Boot-Leak abgespielt wurde:
“Die im Bericht der Forscher vom 10. August beschriebene Jailbreak-Technik gilt nicht für Desktop- oder Enterprise-PC-Systeme. Es erfordert physischen Zugriff und Administratorrechte für ARM- und RT-Geräte und beeinträchtigt den Verschlüsselungsschutz nicht.”
Darüber hinaus haben sie hastig ein bekanntes Microsoft Security Bulletin veröffentlicht “Wichtig.” Dadurch wird die Sicherheitsanfälligkeit nach der Installation behoben. Die Installation einer Version von Windows 10 ist jedoch ohne den installierten Patch nicht wesentlich.
Sicherer Start ist fast sicher tot.
- Longhorn (@never_released) 8. August 2016
Goldene Schlüssel
Leider führt dies wahrscheinlich nicht zu einer neuen Flut von Microsoft-Geräten mit Linux-Distributionen. Ich meine, es wird einige unternehmungslustige Personen geben, die sich die Zeit nehmen, dies zu testen, aber für die Mehrheit der Menschen wird dies einfach ein weiterer Sicherheitsfehler sein, der sie vorbeiging.
Es sollte nicht.
Sich auf Linux-Distributionen auf Microsoft-Tablets keinen Gedanken zu machen, ist sicher eine Sache. Die weitreichenden Auswirkungen eines goldenen Schlüssels, der in die Öffentlichkeit gelangt, um potenziell Millionen von Geräten freizuschalten, ist jedoch eine andere.
Vor ein paar Jahren rief die Washington Post zu einer Kundgebung auf “Kompromiss” zur Verschlüsselung, die vorschlägt, dass unsere Daten offensichtlich für Hacker, beispielsweise Google und Apple, gesperrt sein sollten et al sollte einen sicheren goldenen Schlüssel haben. In einer exzellenten Kritik, warum das genau so ist “irreführender, gefährlicher Vorschlag,” Keybase Co-Creator Christ Coyne erklärt das ganz klar “Ehrlich, gute Menschen sind durch gefährdet irgendein Backdoor, die ihre eigenen Passwörter umgeht.”
Wir sollten uns alle um ein Höchstmaß an persönlicher Sicherheit bemühen. Mit einer persönlichen Sicherheitsüberprüfung das Jahr rechts beginnen Mit einer persönlichen Sicherheitsüberprüfung das Jahr rechts beginnen Es ist an der Zeit, Pläne für das neue Jahr zu setzen, z. B. die Gewährleistung der persönlichen Sicherheit Kratzen. Hier sind 10 Schritte, die Sie durchführen müssen, um alles über Ihren PC, Ihr Telefon oder Ihr Tablet zu aktualisieren. Lesen Sie mehr, um es nicht bei der ersten verfügbaren Gelegenheit zu schwächen. Denn wie wir schon mehrfach gesehen haben, diese Super-Duper-Skelettschlüssel werden in den falschen Händen landen.
Und wenn, dann spielen wir alle ein gefährliches Spiel reaktiver Verteidigung, ob wir wollten oder nicht.
Sollten große Technologieunternehmen Hintertüren in ihren Diensten erstellen? Oder sollten sich Regierungsbehörden und andere Dienste um ihre eigenen Angelegenheiten kümmern und sich auf die Aufrechterhaltung der Sicherheit konzentrieren?
Bildnachweis: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock
Erfahren Sie mehr über: Computersicherheit, Windows 10.