Linux: wat is veilig opstarten??

Bij het opstarten voert een computer een specifiek programma uit om de hardwarecomponenten te detecteren en te initialiseren. Traditioneel gebruiken IBM-compatibele pc's het Basic Input Output System (BIOS). Macs daarentegen gebruiken OpenFirmware, Android heeft alleen een bootloader en een Raspberry Pi begint met een firmware die in het systeem op een chip (SoC) wordt bewaard. Deze eerste stap omvat hardwarecontroles en het zoeken naar beschikbare besturingssystemen op opslagmedia die deel uitmaken van de computer, zoals een harde schijf, cd-rom/dvd of een SD-kaart, of ermee verbonden zijn via een netwerk (Network File System (NFS) , PXE-opstart).

De daadwerkelijke zoekvolgorde is afhankelijk van de BIOS-instellingen van de computer. Afbeelding 2 toont een lijst met beschikbare apparaten om vanaf op te starten.

Aan het einde wordt een lijst met beschikbare besturingssystemen met specifieke parameters ("beschikbare opstartopties" genoemd) weergegeven in een menu waaruit u het gewenste besturingssysteem kiest om te starten.

Sinds 2012 is Secure Boot in gebruik. Dit artikel legt uit wat het is, wat de bedoeling erachter is en hoe het werkt. Verder zullen we de vraag beantwoorden of Secure Boot nodig is voor op Linux gebaseerde machines, en hoe Linux-distributies deze zaak behandelen.

Wat is Veilig opstarten??

Veilig opstarten gaat over vertrouwen. Het algemene idee erachter is om de machine op een veilige manier te starten om te voorkomen dat de computer vanaf het begin met malware wordt uitgevoerd. Over het algemeen is een schone start met een betrouwbaar systeem een ​​aanpak die sterk moet worden ondersteund.

Secure Boot is onderdeel van de Unified Extensible Firmware Interface (UEFI) - een centrale interface tussen de firmware, de afzonderlijke componenten van de computer en het besturingssysteem [3]. Gedurende een periode van ongeveer vijf jaar werd het ontwikkeld door Intel en Microsoft als vervanging voor het BIOS. In 2012, versie 2.3.1 van UEFI werd geïntroduceerd met Microsoft Windows 8. Microsoft heeft computerfabrikanten verplicht UEFI te implementeren als ze een Windows 8-certificering willen behalen voor hun nieuw gebouwde machines [15].

Maar waarom heet Secure Boot Secure Boot?? Wat maakt het een veilige opstartoptie?? Secure Boot staat alleen opstarten toe vanaf eerder toegewezen bootloaders en is daarom bedoeld om te voorkomen dat malware of andere ongewenste programma's starten. Een traditioneel BIOS zou elke software opstarten. Het zou zelfs toestaan ​​dat malware, zoals een rootkit, je bootloader vervangt. De rootkit zou dan je besturingssysteem kunnen laden en volledig onzichtbaar en ondetecteerbaar op je systeem blijven. Terwijl met Secure Boot de systeemfirmware eerst controleert of de bootloader van het systeem is ondertekend met een cryptografische sleutel. De cryptografische sleutel is een sleutel die is geautoriseerd door een database in de firmware. Alleen als de sleutel wordt herkend, kan het systeem opstarten. Zo'n geldige handtekening moet voldoen aan een specificatie van de Microsoft UEFI Certificate Authority (CA).

Verschillende perspectieven

Op het eerste gezicht klinkt dit best goed, maar er zijn altijd twee kanten van een medaille. Zoals gewoonlijk bestaan ​​voor- en nadelen naast elkaar. Persrecensies prijzen of demoniseren Secure Boot, afhankelijk van wie de recensie schrijft.

Houd er allereerst rekening mee dat de autoriteit over de cryptografische sleutels in handen is van een enkele wereldwijde speler - Microsoft. Het is nooit een goed idee om miljoenen machines aan een enkel bedrijf van stroom te voorzien. Op die manier verzekert Microsoft zichzelf van volledige controle over uw machine. Met één enkele beslissing kan Microsoft in één klap de hele markt blokkeren en zowel zijn concurrenten als u als klant buitensluiten. E.g. als u in een later stadium hardware van een andere fabrikant wilt installeren, moet u ervoor zorgen dat de sleutel van het nieuwe onderdeel is opgeslagen in het databasesysteem. Je hebt beperkte flexibiliteit en keuzes - vooral als je een ontwikkelaar bent.

Ten tweede zijn niet alleen uw hardwarekeuzes beperkt, maar ook de keuzes van uw besturingssysteem zijn bedoeld om te worden beperkt vanwege de UEFI-technologie die door Windows is geïntroduceerd. Dit betekent dat het het leven van de Linux-gemeenschap moeilijk maakt. Voordat Linux-bootloaders zoals GRUB worden gebruikt op UEFI-gebaseerde hardware, moeten ze eerst worden gecertificeerd en daarom vertraagt ​​​​het vrij snelle ontwikkelingen waar de Open Source-gemeenschap bekend om staat. Niemand weet wat er gebeurt als de centrale validator een fout maakt tijdens de validatie of de release van een bijgewerkte software blokkeert.

Ten derde, wat betekent de term malware vandaag en morgen?? Bevat het besturingssystemen van concurrenten [5] of zijn ze uitgesloten?? Het validatieproces loopt achter de schermen en niemand kan het bewijzen.

Ten vierde zijn er bedenkingen met betrekking tot beveiliging. Volgens de huidige ontwikkelingen is de lengte van de cryptografische sleutels relatief kort. Secure Boot staat alleen X509-certificaten en RSA-sleutels toe met een vaste lengte van 2048 bits [16]. In de nabije toekomst, met het gebruik van massale parallellisatie en verdere rekenkracht op basis van virtualisatie, zal dit beveiligingsniveau naar verwachting worden doorbroken. Tegenwoordig worden cryptografische sleutels met een lengte van 4096 bits aanbevolen.

Ten vijfde lijkt het alsof software, die zowel door een grote leverancier wordt aangeboden als gecertificeerd, veilig en foutloos is. Zoals de geschiedenis laat zien, weten we allemaal dat dit niet waar is, software bevat altijd bugs. Een certificering wiegt je gewoon in een vals gevoel van veiligheid.

Oplossingen voor open source

Maar waar een probleem is, is ook een oplossing. Microsoft biedt Linux-distributeurs genereus de mogelijkheid om toegang te krijgen tot hun Microsoft Sysdev-portal om hun bootloaders te laten ondertekenen [17]. Aan deze service hangt echter een prijskaartje.

Linux-distributies hebben alleen een "shim" [11] ondertekend op de Microsoft-portal. De shim is een kleine bootloader die de GRUB-bootloader van de Linux-distributies opstart. Microsoft controleert alleen de ondertekende shim en daarna start je Linux-distributie normaal op. Dit helpt om het Linux-systeem zoals gewoonlijk te onderhouden.

Zoals gemeld uit verschillende bronnen, werkt (U)EFI prima met Fedora/RedHat, Ubuntu, Arch Linux en Linux Mint. Voor Debian GNU/Linux is er geen officiële ondersteuning met betrekking tot Secure Boot [9]. Hoe dan ook, er is een interessante blogpost over hoe dit in te stellen [18] , evenals een beschrijving in de Debian Wiki [14].

Alternatieven voor UEFI

UEFI is niet de enige opvolger van het pc-BIOS - er zijn alternatieven. U kunt OpenBIOS [4], libreboot [7], Open Firmware [8,9] en coreboot [10] eens nader bekijken. Voor dit artikel hebben we ze niet getest, maar het is handig om te weten dat er alternatieve implementaties bestaan ​​en soepel werken.

Conclusie

Zoals eerder vermeld, is de belangrijkste vraag vertrouwen. Vraag uzelf met betrekking tot computers af welke delen van uw systeem u vertrouwt - de hardwarecomponenten (firmware, chips, TPM) en/of de softwarecomponenten (bootloader, besturingssysteem, software die in gebruik is). Je kunt niet het hele systeem debuggen. Het kan helpen om te weten dat uw besturingssysteem niet tegen uw belangen ingaat en dat u de dingen gedaan krijgt waarvoor u het systeem hebt gekocht - op een veilige manier zonder gecontroleerd te worden door een monopolist.

Links en referenties

• [1] Kristian Kißling: Debian 9 Stretch zonder Secure Boot, Linux-Magazin
• [2] UEFI Nachbearbeitung
• [3] EFI en Linux: de toekomst is hier, en het is verschrikkelijk - Matthew Garrett
• [4] OpenBIOS, https://openbios.info/Welcome_to_OpenBIOS
• [5] Hendrik Schwartke, Ralf Spenneberg: Einlaßkontrolle. UEFI-Secure-Boot en alternatief Betriebssysteme, ADMIN-Magzin 03/2014
• [6] Opstarten voor Apple Mac
• [7] Libreboot, https://libreboot.org/
• [8] Firmware openen (Wikipedia)
• [9] Firmware openen, https://github.com/openbios
• [10] Coreboot, https://www.coreboot.org/Welcome_to_coreboot
• [11] SHIM (Github), https://github.com/rhboot/shim
• [12] Thorsten Leemhuis: UEFI Secure Boot en Linux, veelgestelde vragen
• [13] Bom Cromwell: hoe start Linux op?? Deel 3: UEFI om naar de volgende schakel in de keten te schuiven
• [14] SecureBoot op Debian, https://wiki.debian.org/SecureBoot
• [15] Chris Hoffman: hoe veilig opstarten werkt op Windows 8 en 10 en wat het betekent voor Linux
• [16] James Bottomley: de betekenis van alle UEFI-sleutels
• [17] Microsoft Hardware Developer Center, UEFI Firmware Signing
• [18] Veilig opstarten met Debian-tests

Dankbetuigingen

Frank Hofmann en Mandy Neumeyer zijn co-auteurs van het artikel.  De auteurs willen Justin Kelly bedanken voor zijn hulp en kritische opmerkingen tijdens het schrijven van dit artikel.