Wat u moet weten over Windows 10 Secure Boot Keys

Advertentie

In wat absoluut kan worden beschouwd als een schitterend voorbeeld van precieswaarom gouden sleutels die een achterdeur bieden naar veilige services mogen niet bestaan, Microsoft heeft per ongeluk de hoofdsleutel gelekt naar hun Secure Boot-systeem.

Het lek ontgrendelt mogelijk alle apparaten waarop Microsoft Secure Boot-technologie is geïnstalleerd, waardoor hun vergrendelde besturingssysteem wordt verwijderd status, waardoor gebruikers hun eigen besturingssystemen en applicaties kunnen installeren in plaats van die welke zijn aangewezen door de Redmond-technologie kolos.

Het lek mag de beveiliging van uw apparaat niet in gevaar brengen - in theorie. Maar het zal de grenzen openen voor alternatieve besturingssystemen en andere applicaties die voorheen niet zouden werken op een Secure Boot-systeem.

Hoe reageert Microsoft hierop? Een eenvoudige update om elke Secure Boot-basissleutel te wijzigen? Of is het gewoon te laat, is er schade aangericht?

Laten we eens goed kijken wat het Secure Boot-lek voor u en uw apparaten betekent.

Wat is Secure Boot?

"Secure Boot helpt ervoor te zorgen dat uw pc alleen opstart met firmware die wordt vertrouwd door de fabrikant"

Microsoft Secure Boot kwam met Windows 8, en is ontworpen om te voorkomen dat kwaadwillende operators applicaties installeren Wat is UEFI en hoe houdt het u veiliger?Als je onlangs je pc hebt opgestart, heb je misschien de afkorting "UEFI" opgemerkt in plaats van BIOS. Maar wat is UEFI? Lees verder of ongeautoriseerde besturingssystemen tijdens het opstarten van het systeem laden of wijzigingen aanbrengen. Toen het arriveerde, waren er zorgen dat de introductie ervan de mogelijkheid om Microsoft-systemen met twee of meerdere opstartsystemen te dualen ernstig zou beperken. Uiteindelijk was dit grotendeels ongegrond - of er werden tijdelijke oplossingen gevonden.

Waar Secure Boot op vertrouwt de UEFI-specificatie (Unified Extensible Firmware Interface) Wat is UEFI en hoe houdt het u veiliger?Als je onlangs je pc hebt opgestart, heb je misschien de afkorting "UEFI" opgemerkt in plaats van BIOS. Maar wat is UEFI? Lees verder om basisversleutelingsfaciliteiten, netwerkverificatie en ondertekening van stuurprogramma's te bieden, waardoor moderne systemen een extra beschermingslaag krijgen tegen rootkits en malware op laag niveau.

Windows 10 UEFI

Microsoft wilde de "bescherming" van UEFI in Windows 10 opvoeren.

Om dit door te zetten, informeerde Microsoft fabrikanten voorafgaand aan de release van Windows 10 dat de keuze om de optie om Secure Boot uit te schakelen was in hun handen Zal Linux niet langer werken aan toekomstige Windows 10-hardware?Secure Boot kan voorkomen dat sommige Linux-distributies opstarten. Op aankomende Windows 10-apparaten kunnen fabrikanten de optie verwijderen om Secure Boot uit te schakelen. Dit heeft invloed op Linux Mint en verschillende andere populaire distributies. Lees verder , waardoor het besturingssysteem effectief wordt vergrendeld op het besturingssysteem waarmee een computer arriveert. Het is vermeldenswaard dat Microsoft dit initiatief niet direct pushte (althans niet helemaal publiekelijk), maar zoals Peter Bright van Ars Technica legt uit, wijzigingen in bestaande UEFI-regels voorafgaand aan de releasedatum van Windows 10 maakten dit mogelijk:

“Als dit het geval is, kunnen we ons voorstellen dat OEM's machines bouwen die niet gemakkelijk kunnen worden opgestart zelfgebouwde besturingssystemen, of inderdaad elk besturingssysteem dat niet de juiste digitale heeft handtekeningen. '

Hoewel er ongetwijfeld talloze desktops en laptops te koop zijn met ontgrendelde UEFI-instellingen, zou dit kunnen blijken een ander struikelblok te zijn voor diegenen die een alternatief willen proberen voor hun Windows-werking systeem.

Nog een andere wegversperring voor Linux-voorstanders om te werken... zucht.

En nu is Secure Boot permanent ontgrendeld?

Permanent weet ik het niet zo zeker. Maar in de tussentijd kan Secure Boot worden ontgrendeld. Hier is wat er is gebeurd.

Secure Boot ligt op zijn sterfbed.

Opschrijvingen komen morgen of woensdag.

- slipstream / RoL (@ TheWack0lian) 8 augustus 2016

Ik weet dat ik verwees naar een super-duper skeletachtige sleutel die elk slot in het geheel ontgrendelt Microsoft UEFI Secure Boot-universum... maar het komt er eigenlijk op neer welk beleid u op uw hebt ondertekend systeem.

Beveiligd opstarten uitgeschakeld binair gelekt. Wat is er vervelender voor Microsoft? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 10 augustus 2016

Secure Boot werkt samen met bepaalde beleidsregels, gelezen en volledig gehoorzaamd door de Windows bootmanager Hoe de meeste opstartproblemen met Windows op te lossenStart uw Windows-computer niet op? Dit kan een hardware-, software- of firmwarefout zijn. Hier leest u hoe u deze problemen kunt diagnosticeren en oplossen. Lees verder . Het beleid adviseert de opstartmanager om Secure Boot ingeschakeld te houden. Microsoft heeft echter één beleid ontwikkeld waarmee ontwikkelaars de builds van besturingssystemen kunnen testen zonder dat ze elke versie digitaal hoeven te ondertekenen. Dit heft Secure Boot effectief op, waardoor vroege systeemcontroles tijdens het opstartproces worden uitgeschakeld. De beveiligingsonderzoekers, MY123 en Slipstream, documenteerden hun bevindingen (op een werkelijk heerlijke website):

"Tijdens de ontwikkeling van Windows 10 v1607‘ Redstone ’heeft MS een nieuw type veilig opstartbeleid toegevoegd. Namelijk "aanvullend" beleid dat zich in de EFIESP-partitie bevindt (in plaats van in een UEFI-variabele), en die hun eigen instellingen samengevoegd, afhankelijk van de voorwaarden (namelijk dat er ook een bepaald 'activeringsbeleid' bestaat) geladen in).

Redstone's bootmgr.efi laadt eerst "legacy" -beleid (namelijk een beleid van UEFI-variabelen). Op een bepaald moment in redstone dev deed het geen verdere controles dan handtekening- / apparaat-ID-controles. (Dit is nu veranderd, maar kijk hoe de wijziging dom is) Na het laden van het "legacy" -beleid, of een basisbeleid van de EFIESP-partitie, laadt het, controleert en voegt het samen in het aanvullende beleid.

Zie je het probleem hier? Zo niet, laat me het u duidelijk en duidelijk uitleggen. Het 'aanvullende' beleid bevat nieuwe elementen voor de fusievoorwaarden. Deze voorwaarden zijn (nou ja, ooit) niet aangevinkt door bootmgr bij het laden van een verouderd beleid. En bootmgr van win10 v1511 en eerder weet er zeker niets van. Voor die bootmgrs is het zojuist in een perfect geldig, ondertekend beleid geladen. ”

Het leest niet goed voor Microsoft. Het betekent in feite het debug-modusbeleid dat is ontworpen om ontwikkelaars - en alleen ontwikkelaars - de kans te geven de ondertekeningsprocessen te negeren, staat open voor iedereen met een winkelversie van Windows 10. En dat dat beleid op het internet is gelekt.

Herinner je je de San Bernardino iPhone nog?

'Je kunt de ironie zien. Ook de ironie dat MS zelf ons een aantal mooie 'gouden sleutels' opleverde (zoals de FBI zou zeggen;) die we daarvoor konden gebruiken :)

Over de FBI: lees je dit? Als dat zo is, dan is dit een perfect voorbeeld uit de echte wereld over waarom uw idee om cryptosystemen achter de deur te openen met een "veilige gouden sleutel" zo slecht is! Slimmere mensen dan ik vertel je dit al zo lang dat het lijkt alsof je je vingers in je oren hebt. Begrijp je het echt nog steeds niet? Microsoft implementeerde een 'secure golden key'-systeem. En de gouden sleutels kwamen vrij van MS's eigen domheid. Wat gebeurt er als je iedereen vertelt om een ​​'veilige gouden sleutel'-systeem te maken? Hopelijk kun je 2 + 2 toevoegen... ”

Voor die voorstanders van encryptie was dit een bitterzoet moment dat hopelijk voor de nodige wetshandhaving en overheidsfunctionarissen zal zorgen. Gouden achterdeuren zullen dat doen nooit blijf verborgen. Ze zullen altijd worden ontdekt, zij het door een onvoorziene interne kwetsbaarheid (Snowden onthullingen Held of schurk? NSA modereert haar standpunt over SnowdenKlokkenluider Edward Snowden en de NSA's John DeLong verschenen op het programma voor een symposium. Hoewel er geen debat was, lijkt de NSA Snowden niet langer als verrader te beschouwen. Wat is er veranderd? Lees verder ) of door diegenen die geïnteresseerd zijn in het porren en trekken van technologie en de onderliggende code uit elkaar.

Overweeg de San Bernardino iPhone ...

“We hebben veel respect voor de professionals van de FBI en we denken dat hun bedoelingen goed zijn. Tot nu toe hebben we alles gedaan wat zowel binnen onze macht als binnen de wet ligt om hen te helpen. Maar nu heeft de Amerikaanse regering ons gevraagd om iets dat we simpelweg niet hebben, en iets dat we te gevaarlijk vinden om te creëren. Ze hebben het ons gevraagd bouw een achterdeur naar de iPhone Wat is het veiligste mobiele besturingssysteem?Vechten voor de titel van het meest veilige mobiele besturingssysteem, we hebben: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best bestand tegen online aanvallen? Lees verder .”

De bal ligt bij Microsoft

Zoals ik al zei, dit mag niet echt een enorm beveiligingsrisico vormen voor uw persoonlijke apparaten, en Microsoft heeft een verklaring uitgegeven waarin de relevantie van het Secure Boot-lek:

"De jailbreak-techniek die wordt beschreven in het rapport van de onderzoekers van 10 augustus is niet van toepassing op desktop- of bedrijfs-pc-systemen. Het vereist fysieke toegang en beheerdersrechten voor ARM- en RT-apparaten en doet geen afbreuk aan encryptiebeveiliging. "

Naast dit hebben ze bracht haastig een Microsoft-beveiligingsbulletin uit aangeduid als "Belangrijk". Dit lost het beveiligingslek op zodra het is geïnstalleerd. Het kost echter niet veel om een ​​versie van Windows 10 te installeren zonder dat de patch is geïmplementeerd.

Gouden sleutels

Helaas zal dit waarschijnlijk niet leiden tot een nieuwe overvloed aan Microsoft-apparaten met Linux-distributies. Ik bedoel, er zullen enkele ondernemende individuen zijn die de tijd nemen om dit te testen, maar voor de meerderheid van de individuen zal dit gewoon weer een beveiligingsfoutje zijn dat hen voorbij is gegaan.

Het mag niet.

Het kan niets schelen dat Linux-distributies op Microsoft-tablets één ding zijn. Maar de bredere implicaties van een gouden sleutel die naar het publieke domein lekt om mogelijk miljoenen apparaten te ontgrendelen, is een andere.

Een paar jaar geleden deed The Washington Post een oproep tot "compromis”Over versleuteling, waarbij wordt voorgesteld dat terwijl onze gegevens duidelijk verboden zijn voor hackers, misschien Google en Apple et al moet een veilige gouden sleutel hebben. In een uitstekende kritiek op waarom dit precies een “misplaatst, gevaarlijk voorstel,” Sleutelbasis co-creator Christ Coyne legt duidelijk uit dat “Eerlijke, goede mensen in gevaar worden gebracht door ieder achterdeur die hun eigen wachtwoorden omzeilt. ”

We moeten er allemaal naar streven het maximale niveau van persoonlijke beveiliging mogelijk Begin het jaar goed met een persoonlijke beveiligingsauditHet is tijd om plannen te maken voor het nieuwe jaar, zoals ervoor zorgen dat uw persoonlijke veiligheid op peil is. Hier zijn 10 stappen die u moet nemen om alles bij te werken met uw pc, telefoon of tablet. Lees verder , niet verwaardigd om het te verzwakken bij de eerst beschikbare gelegenheid. Omdat, zoals we bij meerdere gelegenheden hebben gezien, die super-duper skeletachtige sleutels zullen in verkeerde handen terechtkomen.

En als ze dat doen, spelen we allemaal een gevaarlijk spel van reactieve verdediging, of we dat nu willen of niet.

Moeten grote technologiebedrijven achterdeuren creëren in hun diensten? Of moeten overheidsinstanties en andere diensten zich met hun eigen zaken bemoeien en zich richten op het handhaven van de beveiliging?

Image Credit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock