Free Software Foundation lancerer kampagne mod Windows 8-boot

Illustration:
Microsoft vil ikke lade brugere installere Linux på deres egen computer, lyder det fra Free Software Foundation, der har startet en kampagne mod Microsoft og Secure Boot i Windows 8.

Hardwareproducenter skal bygge Windows 8 computere på en sådan måde, at brugeren kan installere en hvilken som helst software på deres computer. Sådan lyder budskabet fra Free Software Foundation i en netop lanceret kampagne.

Microsoft har efter sigende kun tænkt sig at certificere computere som værende kompatible med Windows 8, hvis de understøtter en funktion kaldet Secure Boot UEFI, Unified Extensible Firmware Interface. Secure Boot UEFI blokerer for bootloadere, der ikke har en underskrift, og derfor frygter Free Softwaer Foundation, at det vil forhindre folk i at installere Linux på deres egne computere, side om side med Windows.

Tidligere har Version2 skrevet, at Microsoft afviser anklagerne om, at Secure Boot UEFI gør, at man ikke kan køre med flere styresystemer på samme computer.

Baggrunden for Secure Boot er truslen fra malware, som placerer sig foran Windows i opstartsprocessen. Dermed kan malwaren opnå fuld kontrol over styresystemet og antivirus-softwaren.

For at undgå det vil Secure Boot i UEFI kort fortalt kun tillade Windows 8 at blive indlæst og altså afvise alle andre forsøg på at lægge sig ind i køen under opstart.

Den funktion kan man slå fra i BIOS/UEFI-menuen, hvis man ønsker det, ligesom pc-producenter kan vælge at sælge computere, hvor Secure Boot ikke er slået til som standard. Microsoft giver blot kunderne muligheden for et højere sikkerhedsniveau, lyder forklaringen fra Microsoft.

Du kan læse mere om kampagnen på Free Software Foundations hjemmeside, hvor du også kan skrive under på en underskriftsindsamling.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Udsen

Problemet er ikke selve secure boot featuren problemet er kontrollen og certifikaterne.

Hvis system ejer altid 110% har ansvaret/værktøjerne for at certificere OS, og dette sker "lokalt" ingen problem for linux.

Hvis man i brugervenlighedens navn fratager systemejer det ansvar samt værktøjerne til at certificere OS og lader en "industri" organisation stå for at vedligeholde en liste over certificerede OS'er ja så har vi en barriere der giver eksisterende store leverendører af OS'er en kraftig fordel.

Blander vi krav fra DRM-levendørene om fuldstendigt nedlåst monokultur ind i det så er det game over for linux.

  • 8
  • 0
Jesper Stein Sandal

Problemet er ikke selve secure boot featuren problemet er kontrollen og certifikaterne.

Hvis system ejer altid 110% har ansvaret/værktøjerne for at certificere OS, og dette sker "lokalt" ingen problem for linux.

Sådan som det ser ud lige nu, vil Microsofts implementering af Secure Boot fungere således:

Pc-producenterne kan vælge at slå Secure Boot til, når de leverer en pc med UEFI.

Windows 8 vil som standard have funktionen slået til, hvis pc'en understøtter det.

Brugeren kan slå Secure Boot fra.

De uklare punkter er:

Vil Microsoft kræve, at Secure Boot er slået til fra fødslen for at give OEM'en lov til at sætte et Certified for Windows 8 klistermærke på kassen?

Vil det være muligt for Linux-distributørerne at signere Linux, så man kan køre dualboot, uden at slå Secure Boot fra?

Men som udgangspunkt ser det ud til, at hvis man vil dualboote Windows 8 og Linux, så skal man blot slå Secure Boot fra i Windows/UEFI-menuen, hvorefter man kan installere Linux som normalt.

Vi arbejder på at skaffe en testmaskine med UEFI, som understøtter Secure Boot, og så skal vi nok afprøve muligheden for dualboot. Hvis nogen allerede har afprøvet det, vil vi også meget gerne høre om jeres erfaringer!

Mvh.

Jesper Stein Sandal

  • 13
  • 0
Jesper Stein Sandal

Ed Bott fra ZDNet påpeger også, at det vil være temmelig dumt af Microsoft (det behøver ikke altid stoppe et firma i denne branche), hvis selskabet direkte bryder med et punkt fra den dom, der i tidernes morgen blev afsagt i monopolsagen mod Microsoft:

http://www.zdnet.com/blog/bott/with-windows-8-microsoft-cant-forget-past...

Microsoft shall not restrict by agreement any OEM licensee from exercising any of the following options or alternatives:

[...]

Offering users the option of launching other Operating Systems from the Basic Input/Output System or a non-Microsoft boot-loader or similar program that launches prior to the start of the Windows Operating System Product.

  • 11
  • 1
Daniel Udsen

Vil Microsoft kræve, at Secure Boot er slået til fra fødslen for at give OEM'en lov til at sætte et Certified for Windows 8 klistermærke på kassen?

Vil det være muligt for Linux-distributørerne at signere Linux, så man kan køre dualboot, uden at slå Secure Boot fra?

Som jeg er orienteret er det den samme TCPA chip vi diskuterede med paladium. IBM demonsterede dengang at linux godt kunne arbejde sammen med den.

Om distroer kan signere er i høj grad et spørgsmål om både jura, samt producenters default settings, som jeg er orienteret er der ingen teknisk grund til at signeringen af OS'er som "trusted" skal kontroleres fra central hold, og ikke som en del af install processen.

  • 0
  • 0
Peter Mogensen

Ja, det er samme mølle igen:

http://www.birdhouse.org/beos/byte/30-bootloader/

For dem, der ikke gider læse hele artiklen, så er her et relevant uddrag:

So why aren't there any dual-boot computers for sale? The answer lies in the nature of the relationship Microsoft maintains with hardware vendors. More specifically, in the "Windows License" agreed to by hardware vendors who want to include Windows on the computers they sell. This is not the license you pretend to read and click "I Accept" to when installing Windows. This license is not available online. This is a confidential license, seen only by Microsoft and computer vendors. You and I can't read the license because Microsoft classifies it as a "trade secret." The license specifies that any machine which includes a Microsoft operating system must not also offer a non-Microsoft operating system as a boot option. In other words, a computer that offers to boot into Windows upon startup cannot also offer to boot into BeOS or Linux. The hardware vendor does not get to choose which OSes to install on the machines they sell -- Microsoft does.

Som jeg forstod det, så lå djævlen i detaljerne. Noget med at Windows kun måtte bootes med MS's bootloader og MS's bootloader ikke måtte bruges til at boote andet end Windows.

  • 0
  • 0
Flemming Frandsen

Problemet er netop at der ikke er nogen måde at få signet sin bootloader på, for der er ikke nogen krav om at brugeren skal have kontrol over listen af nøgler der ligger i en maskine.

Hvis en maskine bliver født så den kun kender til MS nøglen og man ikke kan slukke for secure boot så har man tabt.

  • 4
  • 0
Helge Svendsen

Men der er vel ikke noget i vejen for at linux bootes med eks grub og grub så ikke kan bruges til at boote windows mere.

Det er et tab, jeg er klar til at leve med ;-)

Den største udfordring er, at alle linux distroer ikke kan forvente, at præcis deres nøgle skal distribueres med alt hw. Så måske distroerne er nødt til at gå sammen i en "boot alliance" og få et fælles setup mht til boot loader og nøgler.

  • 0
  • 1
Jesper Stein Sandal

Men der er vel ikke noget i vejen for at linux bootes med eks grub og grub så ikke kan bruges til at boote windows mere.

Som jeg har forstået det, så vil Windows 8 godt kunne boote, selvom Secure Boot er slået fra, og der er installeret en anden bootloader.

Brugeren vil dog formentligt få én eller anden form for sikkerhedsadvarsel i Windows, men hvis man er typen, der installerer dualboot til Linux, så er man nok også voksen nok til at leve med, at der står noget med rødt i Windows' sikkerhedsindstillinger.

Microsoft vil næppe forsøge at spænde ben for den lille gruppe brugere (trods alt), som ønsker at dualboote, hvis risikoen er en genoplivning af monopolsagen fra 1990'erne.

Microsoft brokkede sig umiddelbart heller ikke, da flere store producenter for et par år siden begyndte at lægge en lille Linux-distribution på, som brugeren kunne bruge til hurtigt at tjekke mails (det var før Windows 7 fik gjort opstartstiden af Windows mere tålelig).

Det optimale vil selvfølgelig være, hvis Linux-distributionerne også kan komme til at understøtte Secure Boot, da de naturligvis også er sårbare over for rootkits.

  • 3
  • 1
Nicholas Colding

Hvis man er så opsat på windows, kunne man jo købe en Mac og installerer windows sideløbende på.
Så har man et godt stykke hardware, et driftsikkert operativsystem - og et mindre driftsikkert operativsystem. Alt i en pakke.

  • 2
  • 4
Daniel Udsen

Den største udfordring er, at alle linux distroer ikke kan forvente, at præcis deres nøgle skal distribueres med alt hw. Så måske distroerne er nødt til at gå sammen i en "boot alliance" og få et fælles setup mht til boot loader og nøgler.

Eller at gøre det rigtige og fjerne al central kontrol fra ligningen, ved f.eks. at lade brugeren selv instalere nøjler, en del af UEFI specifikationen MS har lagt op til ikke skal værre umidbart tilgængelig(læs nemt) på "build for windows(tm)" systemer.

  • 1
  • 0
Daniel Udsen

Brugeren vil dog formentligt få én eller anden form for sikkerhedsadvarsel i Windows, men hvis man er typen, der installerer dualboot til Linux, så er man nok også voksen nok til at leve med, at der står noget med rødt i Windows' sikkerhedsindstillinger.

Det er ikke det største problem, forestil dig hvad diverse "security audit tools" eller DRM-systemer rapportere når unsecured mode detekteres?, Det er formenteligt en stort gruppe af virkelighedens dual boot instalationer der her kan blive mere en bare en lille smule påvirket.

  • 0
  • 0
Jesper Stein Sandal

forestil dig hvad diverse "security audit tools" eller DRM-systemer rapportere når unsecured mode detekteres?

DRM-systemerne er vel ikke Microsofts problem, men mon ikke audit-værktøjerne, når de først får implementeret et tjek for Secure Boot, ikke også får mulighed for at lave undtagelser for udvalgte maskiner?

Under alle omstændigheder er det lidt for tidligt at spekulere for meget.

Lige nu savner jeg faktisk mest et udspil fra Linux-distroerne til, hvordan de kan komme til at understøtte Secure Boot. Det må alt andet lige også være i deres interesse.

  • 0
  • 0
Leon Troelsgaard Lund

Jeg synes den første tanker jeg ser når jeg læser kommentarne er "MICROSOFT ER OND!"

Det jeg ser nyheden som er en måde at sikre den almindelige bruger på. Jeg har heldigvis aldrig været ude i at skulle bøvle med noget preboot malware. Men jo mere sikkert det er, jo færre malware vil man forhåbeligt se.

Men hvis man har den tanke at man gerne vil dualboote linux/windows, kan man så ikke godt gå ind at slå en indstilling fra i bios, og ellers er der nogle fremragende idéer fremlagt i det link som Dennis Krøger linker til.

Her er både en manuel løsning hvor man autorisere en binary til at køre (Mon ikke der er mange der vil synes det ville være meget betryggende at kunne bestemme hvad der skal køre?). En løsning hvor at udgiverne af OS'er enten får deres egen signature med i UEFI'en af de forskellige producenter eller de forhandler sig ind under microsofts. Den sidste er hvor at ved hjælp af en standard manuelt kan installere en signature, så man kan bruge secureboot sammen med ens eget foretrukne OS.

Men efter at have tænkt over det er det så ikke også en løsning fra Microsoft der vil stoppe en stor del af piratkopieringen af Windows. Lige nu virker de fleste cracks ved hjælp af en bootloader, ved at bruge og understøtte secureboot så meget vil microsoft derved gøre det mere synligt om en windows installation er ægte eller ej, nok ved hjælp af en fin advarsels besked der let kan dræbes. Men det vil gøre den alm. bruger opmærksom på om de lige har købt en piratkopi af windows.

  • 0
  • 6
Venligst Slet Min Bruger

Hvis man er så opsat på windows, kunne man jo købe en Mac og installerer windows sideløbende på. Så har man et godt stykke hardware, et driftsikkert operativsystem - og et mindre driftsikkert operativsystem. Alt i en pakke.

Ja, OSX er jo ikke ligefrem klippestabilt. Så det har du helt ret i. Apple laver nogle fine computere, og hvis man så smider Windows 7 på, så har man også en stabil maskine :)

  • 2
  • 0
Jarle Knudsen
  • 0
  • 0
Christian Nobel

Tjoh... min erfaring er at de fleste kopier i omløbet er enten pre-aktiveret eller volume license keys. Noget umulig kan stoppes med SecureBoot.

Mon ikke sagen i virkeligheden er at MS har fået solgt flere licenser end der bruges.

Med dagens brug og smid væk mentalitet, parret med at stort set alle computere tvangsleveres med en Windows, så er det nok ikke sjældent at folk køber ny hardware og en gang til betaler for Windows - så hvor mange der piratkopierer lige præcis Windows er nok til at tage at føle på.

  • 0
  • 0
Lasse Dessau

Nu er jeg ikke ekspert på området, men hvis denne feature virkeligt kan fungere som et effektivt værn mod bluepill rootkits, så er det da en meget god ide (uanset operativsystem). Hvis brugeren er erfaren nok til at installere et dual boot system, så vil denne person også kunne finde ud af at slå en bios indstilling fra.

Det eneste umiddelbare problem jeg kan tænke på ved dual boot er chainede loaders (fx LILO -> windows boot loader -> windows). Hvis Secure Boot UEFI sikrer første led (i.e. LILO), hvad forhindrer så malware i at overskrive andet led(i.e. windows boot loader)?

Dette kunne selvfølgeligt løses ved at Microsoft tillod tredjeparts bootloadere til at starte Windows(så vidt jeg ved kan man kun bruge ms native boot loader til at starte Windows?).

  • 1
  • 0
Daniel Udsen

DRM-systemerne er vel ikke Microsofts problem, men mon ikke audit-værktøjerne, når de først får implementeret et tjek for Secure Boot, ikke også får mulighed for at lave undtagelser for udvalgte maskiner?

Nej det er ikke nødvendigvis MS's problem MS agitere bare for en model hvor det problem med meget stor sansynlighed vil opstå. Det er nok DRM lobbyens agenda og ikke MS's agenda der bliver det største problem for linux distributørene.

Problemet med undtagelser for dual boot kan hurtigt udvikle sig til en klassisk burokratisk punkt 22 situation hvor man både tillader dual boot mens man ikke tilader "usikre" systemer adgang. og altså i praksis straffer dual boot systemer.

Lige nu savner jeg faktisk mest et udspil fra Linux-distroerne til, hvordan de kan komme til at understøtte Secure Boot. Det må alt andet lige også være i deres interesse.

der er ingen der taler om at linux rent teknisk ikke kan andvende secureboot(tcpa) chippen. Det problem løste IBM så vidt jeg husker for dem for ca 10år siden.

Hvad vi taler om er hvordan man rent burokratisk får givet systemejerne lov til at bestemme hvad der skal signeres.

  • 0
  • 0
Jesper Lund

Sådan som det ser ud lige nu, vil Microsofts implementering af Secure Boot fungere således:

Pc-producenterne kan vælge at slå Secure Boot til, når de leverer en pc med UEFI.

Windows 8 vil som standard have funktionen slået til, hvis pc'en understøtter det.

Brugeren kan slå Secure Boot fra.

Jeg har ikke set nogle garantier for at brugerne vil kunne slå secure boot fra når de køber hardware fremover? Der er ikke noget i vejen for at en PC producent leverer computeren med secure boot aktiveret og uden mulighed for at slå det fra i BIOS/UEFI.

Computerne bliver leveret med Windows 8 som kræver secure boot (mere eller mindre), og når det er næsten umuligt at finde en computer uden præ-installeret Windows i dag, må man antage at PC producenterne og Microsoft har en aftale om at der skal OEM Windows på alle solgte enheder.

I dag kan man som Linux eller FreeBSD bruger acceptere Microsoft skatten (enten opgivende af nød, eller fordi betaling af skatten giver adgang til et langt større udvalg af computere, og ofte en lavere pris end hvis man brugte lang tid på at jagte en model uden Windows) og fjerne Windows fra harddisken som det allerførste step.

Men fremover skal man også sikre sig at computeren giver mulighed for at de-aktivere secure boot, og det kan være en hardware detalje som det er næsten umuligt at få oplyst på forhånd.

Hvem kender ikke situationen med et XYZ kort som findes med to forskellige chipset afhængig af om det er revision 1.1 eller 1.2, og hvor kun det ene chipset har Linux understøttelse? Typisk er den eneste oplysning fra butikken at XYZ kortet skam kommer med driveren til både Windows XP/Vista/7 og Mac... Her må man nogle gange tage chancen med risiko for at købe et stykke hardware der ikke virker, og det er måske ok med et wifi kort til 100-200 kr, men næppe med en laptop til 5000 kr eller mere.

PC producenterne kunne godt have en interesse i at gennemtvinge secure boot, specielt hvis tilpas mange producenter er enige om at gøre det. Secure boot sikrer at køberne bruger det OS som er installeret sammen med en enorm mængde crapware som PC producenten er blevet betalt for. Secure boot sikrer også at du er nødt til at købe nyt hardware, hvis du vil installere et nyt OS engang i fremtiden. Det kunne også gælde for Windows 9 når den engang kommer. PC producenterne tjener ingen penge på at folk kører Linux eller FreeBSD på deres 5 år gamle hardware.

Man behøver ikke at være særligt konspiratorisk anlagt for at kunne se potentialet for en meget uheldig alliance mellem Microsoft og de store PC producenter, hvor obligatorisk secure boot gavner dem begge. Follow the money...

  • 7
  • 0
Henrik Winther Jensen

Jesper har fat i den rigtige ende. Det er slet ikke interessant at låse maskinen, det skal bare være tilpas besværligt at bruge den på en anden måde end Microsoft og venner har tænkt sig den skal anvendes.
Den egentlige konsekvens er, at afstanden mellem de mennesker som ved noget om computere, og dem der bare betaler bliver endnu større.
Spørgsmålet er om de lande som ikke har lyst til at glæde Microsoft og venner (Brasilien, Kina, Indien o.a.) gør noget ved det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere