Kryptologiprofessor: Secure Boot i Windows 8 hjælper myndighederne, ikke brugeren

Illustration:
Når Microsoft med Secure Boot-funktionen i Windows 8 låser opstarten, vil brugerne få svært ved at installere software, der kan hjælpe dem, mens Microsoft og myndigheder i alverdens lande bestemmer, mener engelsk professor i kryptologi.

Styresystemet skal sikres helt fra når power-knappen trykkes ind, mener Microsoft, som derfor i det kommende Windows 8 har introduceret Secure Boot-funktionen, der som udgangspunkt ikke tillader computeren at indlæse andet end Windows.

Det koncept har mødt meget kritik fra Linux-miljøet, der frygter, at Secure Boot vil spærre for dual-boot og installation af Linux side om side med Windows.

Nu angribes ideen bag Secure Boot fra en anden vinkel, nemlig af professor i kryptologi på Cambridge, Ross Anderson. Det skriver The Register.

Han frygter, at en mere låst computer, hvor BIOS-afløseren UEFI og Windows 8 sammen bestemmer, hvad der må ske, i sidste ende paradoksalt nok vil gøre computeren mindre sikker.

Nok kan det måske sætte en stopper for malware, der inficerer maskinen inden styresystemet bliver indlæst, men det vil samtidigt spærre for, at brugeren selv kan installere antivirus, som holder øje med den del af opstarten.

Kun styresystemer og software, der er signeret og godkendt, vil kunne køre, hvis Secure Boot er slået til, men det er ikke et betryggende scenarium for Ross Anderson, der i et blogindlæg minder om, hvordan Microsoft har inkluderet rodcertifikatet Tubitak fra de tyrkiske myndigheder, der er blevet brugt til overvågning af kurdiske politikere.

På samme vis forventer Ross Anderson, at efterretningstjenesten fra Tyrkiet vil kunne få lov at køre spionsoftware på computeren, inden styresystemet indlæses, mens brugeren omvendt ikke kan installere software, der tjekker, hvad der sker i boot-processen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Nilsson

Jeg tror vi vil opleve at Windows 8 bliver et flop ligesom Vista, der er for store ænringer i brugerfladen og med den her secure boot tror jeg der allerede er for megen negativ omtale af den nye Windows. Jeg havde forventet at Microsoft have lært af Vista og ville holde lidt lav profil ved de kommende releases. Vista havde godt nok mange fejl i starten ligesom Windows XP havde, men det der slog Vista ihjel var negativ omtale.

  • 3
  • 0
jonas Vejlin

Jeg ved ikke med jer men jeg har faktisk prøvet windows 8 på min maskine og kan ikke lide den nye Metro UI. Den spiller meget dårligt sammen med mit normale workflow samt mine 3 skærme (eg den kunne kun køre på 1 skærm af gangen).

Medmindre der sker meget inden Win8 udkommer regner jeg selv med at springe den over. Min nuværende setup med win7/debian testing virker gangske OK

  • 0
  • 0
Henrik Pedersen

Jeg synes selv at Windows 8 er lavet for meget til touch maskiner. Man har endda nærmest klonet de startskærme som er på mobiler nu om dage (Metro UI/Start interface).

Der er også et andet aspekt af det her i øvrigt. Dette her Secure Boot vil da også forhindre installationen af Truecrypt? Dvs farvel til harddisk kryptering, og goddag til ransagelser/fogedbesøg.

Ikke at jeg har noget nævneværdigt at skjule, men jeg værner da om mit privatliv. Ved mindre at jeg kan få en 100% garanti fra fabrikanten om at Secure Boot kan slåes fra, næste gang at jeg køber ny maskine, så er det lige før jeg springer til en Mac. (Og ja, jeg frygter lidt at de nyeste og mest advancerede bundkort, ikke vil blive lavet uden det her).

Men lad os nu lige se hvor galt det går først....

  • 1
  • 0
Peter Nilsson

Jeg tror ikke at secure boot kommer til at have den store betydning, der vil altid være pc hardware som kan køre alle operativsystemer, en af årsagerne vil jeg mene er at efterhånden som det bliver mere vanskeligt at piratkopiere windows så vil Linux blive valgt som foretrukken operativsystem i ulandende, det er kun et spørgsmål om tid før det vil ske, hvis ikke allerede Ubuntu bliver brugt en del på PC'er i de fattige lande.

Udover det så vil der altid være en pæn stor andel af hobbyfolk og professionelle som gerne vil have mulighed for at bruge deres hardware til andet end Windows og de vil nok gå uden om disse secure boot maskiner når de investerer i ny PC også selvom de måske ikke vil erstatte windows med noget andet på deres arbejdspc så vil man nok for en sikkerheds skyld vælge noget som kan genbruges. Den negative omtale og de store ændringer der er i Windows 8 er dømt til at gøre det næste OS til en fiaske, historien viser at Windows brugere ikke er til de store ændringer. især ikke virksomheder som så vil springe den version over indtil de igen laver en Windows 9 hvor de har pillet alle de uønskede ting ud.

Måske bliver det Linux der alligevel vinder ind i hvervslivet på desktop maskinerne fordi virksomhederne ikke vil de store ændringer og ikke vil binde sig til et enkelt firma.

  • 0
  • 0
Venligst Slet Min Bruger

At bedømme Windows 8 som et flop pga. den nye startskærm er lidt forfejlet i mine øjne. Man kan jo bare slå den fra og så nøjes med at sætte pris på det lavere ressourceforbrug osv.

Man dømmer vel heller ikke Kubuntu som et flop, fordi den kører med KDE og den kan man ihvertfald ikke lide! - tænkt eksempel selvfølgelig.

Den negative omtale og de store ændringer der er i Windows 8 er dømt til at gøre det næste OS til en fiaske, historien viser at Windows brugere ikke er til de store ændringer.

Den negative omtale, du snakker om - er det ikke som oftest dem, der alligevel ikke ville køre Windows 8, der brokker sig? Så vidt jeg har kunnet læse herinde f.eks., så har det primært være Linux-brugere, der har været ude med riven. Læser man andre IT-medier er folk meget imponerede over Windows 8.

  • 1
  • 1
Michael N. Jensen

Jeg kører pt. Windows 7 (og er ganske tilfreds), men jeg bryder mig heller ikke om den nye erstatning for startmenuen (Metro), ihvertfald ikke som den fungerer i den Win8 Developer Preview man kan hente hos microsoft.

Bare det faktum at den "overtager" hele ens skærmbillede i fuldskærm, hver gang man ønsker at starte et program, er vildt irreterende og forstyrende, der virker søgefeltet i Win7 start menuen nu en del bedre, eller bare Win+R til at starte et program.

Men ja hvis de ikke tilbyder en bedre løsning end at ændre den key i registry for at disable metro, så bliver jeg på Win7 længe, og ender nok med at ryge over på Mac OSX istedet fremover, selvom jeg har kørt windows siden Win 3.0 på min primære stationære pc. (Kører Linux/Mac OSX på mine andre laptops).

  • 0
  • 0
Theis Blickfeldt

Hold nu op med at hate mod secure boot. Det er kun en funktion som man kan slå til og fra som man ønsker det. Så hvor ligger problemet? "Hej jeg er linux entusiast, men vil af en eller anden grund også gerne have Windows 8. Hvad gør jeg? Nåååh jo, jeg installerer Windows, kobler secureboot fra og intallerer linux. Shit det var svært!!"

  • 1
  • 2
Peter Nilsson

jeg tror nu heller ikke man skal frygte secure boot, jeg vil nok altid køre Windows på min PC, men vil da helt klart vælge at kigge på om den hardware jeg køber også kan køre andre operativsystemer. Iøvrigt tror jeg at man ihvertfald i rum tid vil tilbyde begge dele fordi der nok vil være mange virksomheder som vil nedgradere, ikke fordi de hader den nye windows men fordi de har en infrastruktur som skal opgraderes og det vil nok ikke ske på en dag.

Jeg er glad for Linux til nogle ting, blandt andet webservere, dns og andre opgaver som jeg syntes det klarer fint på serversiden, men jeg syntes nogle gange at rene Open Source tilhængere lyder lidt som nogle gamle kællinger som råber unødigt op så snart de ser en mulig trussel.

  • 0
  • 0
Steen Krøyer

@Theis
Hvis du havde læst f.eks FSF's indlæg i debatten omkring Secure Boot, ville du vide at man ikke lægger Secure Boot for had. Tværtimod anderkender man SB's mulige bidrag til større sikkerhed. Men FSF frygter med rette, at mange PC-producenter ikke vil gøre det muligt at slå SB fra i boot/loader koden. Det er ikke noget der skal slås fra i Win8, men længere nede i SW-stakken som PC-fabrikanten lægger ind. Så dit eksempel med at Linux-brugere bare kan slå SB fra, holder så ikke hvis den PC Linux-brugeren købte netop ikke gør det muligt.
Den diskussion som Ross Anderson så starter, er af en anden og mere principiel art omkring hvem der egentlig har mest gavn af SB, ejeren/brugeren af PC'en eller The Powers That Be.

  • 2
  • 0
Theis Blickfeldt

Jeg er udemærket med på at SB ikke er en del af Windows. Men ind til videre så har alt hvad jeg har læst om SB kun peget i retning af at funktionen skal kunne slås til og fra. Lidt på samme måde som alle mulige andre funktion i BIOS. Microsoft har også udtalt over flere omgange, at de aftaler som er indgået om standarden for Secure Boot, kun skal være en valgfri funktion.

Så hvor ligger problemet? Man giver de mennesker som har lysten og behovet, en mulighed for at sikrer sig mod malware, og resten kan køre videre som de plejer.
Hvis PC producenterne lavede en hardware-baseret firewall funktion på diverse MB's, som fysisk lukkede af for alt andet end port 80 og 22, så ville der garanteret også være personer som ville råbe højt over frihedberøvelse. Selvom det for de mange personer ville give mening, og resten bare kunne koble funktionen fra.
(Og jo, jeg er godt klar over at det ville være meget svært at lave en hardware baseret firewall :D )

  • 0
  • 2
Kristian Lund

Så hvor ligger problemet?

Fascisme er slået til som default, for en masse brugere som ikke kender til problemet i nogle lande hvor regeringerne overvåger dem (eller hvor firmaer overvåger befolkningen for deres regering og andre magtinteresser - så som DK og USA).

At det kan slås fra (på nogle computere) er da en god ting - men det var da endnu bedre hvis folk bare styrede deres egen computer som det mest naturlige i verden.

  • 4
  • 0
Esben Nielsen

Problemet i sådant en funktion er, at den kan blive et KRAV for at kunne gøre dit og dat. I første omgang skal den være slået til for at kunne lytte til sin musik og se film. Dernæst vil din netbank kun virke når du har SB slået til. Så vil det offentlige kun snakke med dig med en maskine med godkendt software. Så kan du slet ikke komme på internettet uden SB. Så vil SB inkludere software til at monitorere, at du ikke ser børneporne og, hvad nu myndighederne ikke kan lide. Farvel frit samfund...

  • 4
  • 0
Log ind eller Opret konto for at kommentere