Pc-producenter: Vi skal nok tillade Linux-boot på Windows 8-maskiner

Der er ingen problemer for Linux-brugere, når Windows 8 og Secure Boot lanceres, lyder meldingen fra pc-producenterne efter heftige diskussioner om den kommende sikkerhedsfunktion.

En ny sikkerhedsfunktion i Microsofts næste udgave af Windows har fået gemytterne i kog, tilsyneladende uden grund.

Med Secure Boot i Windows 8 vil Microsoft sikre, at kun Windows som udgangspunkt får lov at boote ved opstart, og det har fået Linux-folk til at gå på barrikaderne, af frygt for at man så ikke kan have dual boot med Linux og Windows side om side.

Men diskussionen er endt som en propagandakrig, der kun skal stille Microsoft i et dårligt lys, mener ZDnet-bloggeren Ed Bott. Han har spurgt verdens to største pc-producenter, hvordan de har tænkt sig at bruge Secure Boot-funktionen, og der er ingen fare på færde for Linux-folket, skriver han i sit blogindlæg.

Læs også: Free Software Foundation lancerer kampagne mod Windows 8-boot

Dell har tænkt sig at gøre Secure Boot til en funktion, man kan slå til og fra i computerens BIOS, mens det hos HP var sværere at få et konkret svar om Secure Boot-funktionen. Firmaet lovede dog, at man vil give kunderne mulighed for at bruge andre styresystemer, hvis de ønsker det.

Også hos firmaet AMI, der er blandt verdens førende producenter af BIOS-firmware, lyder anbefalingen til alle pc-producenter, at Secure Boot bliver noget, brugeren kan slå til og fra.

Linux Foundation har udgivet en rapport med anbefalinger for, hvordan pc-producenter kan implementere Secure Boot uden at træde åben software over tæerne. Men et af forslagene herfra kan Linux-folkene godt opgive med det samme, mener Ed Bott, nemlig at alle computere skal komme med Secure Boot-slået fra som standard, og uden et certifikat fra Microsoft. Dermed skal samtlige Windows-brugere til at installere et certifikat, når de går i gang med at bruge computeren, hvis de vil have den ekstra sikkerhed fra Secure Boot slået til.

Læs også: Kryptologiprofessor: Secure Boot i Windows 8 hjælper myndighederne, ikke brugeren

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Rostgaard Christensen

... Men er det ikke dermed underforstået at computere standard leveres med Windows som standard - og man derfra kan "hacke" sig udenom og installere Linux/BSD/Solaris?

Uddeling af live-cd'er / usb'er til almindelige brugere, der vil installere Linux på deres computer vil jo være nyttesløst uden en udførlig "Afprøv alle F-tasterne, derefter Delete, Isert mv for at komme til BIOS" rigtig hurtigt når computeren starter op - vejledning.

Uanset hvordan man vender og drejer den, er det en stadfæstelse de facto standarden at Windows == PC.

Hvad ville være det ideelle? Microsoft tog Canonical, Novell, Redhat, Google? mv. med på råd og forsøgte komme med løsning der tilgodeså alle parter.

Den måde de gør det på nu, er at tromle al konkurrence ned, som de har gjort i alt for lang tid.

</rant>

  • 16
  • 4
Jesper Stein Sandal

Uddeling af live-cd'er / usb'er til almindelige brugere, der vil installere Linux på deres computer vil jo være nyttesløst uden en udførlig "Afprøv alle F-tasterne, derefter Delete, Isert mv for at komme til BIOS" rigtig hurtigt når computeren starter op - vejledning.

Nej, du skal jo netop ikke ind i BIOS - den erstattes af UEFI ;-)

(og kan dermed tilgås fra Windows)

I øvrigt har du ofte skulle gøre det alligevel, fordi mange pc'er booter fra den primære harddisk først og ikke fra USB eller cd-rom.

Og ja, formålet med Secure Boot er netop at forhindre, at brugeren sætter en tilfældig cd-rom i sin pc og får installeret et rootkit (min indre it-sikkerhedsmand ryster på hovedet af folk, der tager imod "prøv Linux-cd'er" og sætter dem i deres pc'er og klikker ok til alt).

Der er dog ikke noget (måske bortset fra GPL'en), som forhindrer en pc-leverandør og en Linux-distro i at distribuere et certifikat, så brugerne let kan installere distroen, hvis de har lyst.

  • 8
  • 2
Lars Lundin

Hvis bundkortet havde en fysisk kontakt, der kunne skrivebeskytte BIOSen
(inkl. informationen om hvorfra styresystemet skal indlæses), så kunne
man sikre sig mod malware, der inficerer BIOS ved kun at fjerne skrivebeskyttelsen ved de få lejligheder, hvor man omkonfigurerer maskinen.

Resten giver bare en risiko for at man pludselig ikke kan bestemme hvilket styresystem man vil bruge.

  • 4
  • 3
Henrik Nielsen

Secure Boot beskytter først og fremmest langt størsteparten af kunerne nemlig de virksomheder og private, som vil bruge windows som styresystem. Hvis man ikke vil det kan funktionen slås fra eller man kan købe sin hardware et andet sted.
Jeg synes det er ærgerligt med den voldsomme modstand mod en helt åbenbar sikkerhedsforbedring for langt de fleste brugere.
venlig hilsen
Henrik Nielsen
Imco Systems
www.imco.dk

  • 6
  • 13
Kim Rostgaard Christensen

Jeg er helt enig i at det er en kraftig forbedring af sikkerheden.
Der er bare problematisk at det er én virksomhed der dikterer hvordan den sikkerhed skal implementeres.

Den problemstilling er jo heller ikke ensidig. Leverandører af alternative OS'er har jo også en pligt til at indgå dialog.

@Henrik: Hvor skal jeg helt konkret købe min hardware henne hvis jeg vil have en Windows-fri laptop?

  • 10
  • 1
Henrik Nielsen

Men Edd Bott har talt med Dell og HP, som begge siger, at der vil være et valg på deres platforme. I øvrigt skal der nok en del til for at holde linux folket væk fra en hardwareplatform de gerne vil have fingrene i :-)- og godt det samme vi har brug for konkurrence mellem *x, apple og Microsoft systemerne.
Henrik
Imco Systems
www.imco.dk

  • 1
  • 8
Christian Nobel
  • 3
  • 0
Christian Nobel

Christian, det kan du gøre bedre. Læs igen og bemærk ordet "kan".

Jesper du skriver følgende:

"Nej, du skal jo netop ikke ind i BIOS - den erstattes af UEFI ;-)

(og kan dermed tilgås fra Windows)"

Ud fra det er det da vist nærmere dig der "kan gøre det bedre", al den stund lige præcis ovennævnte passus indikerer at man slet ikke kan komme ind i bios.

Enlighten me please.

Historien om, at Secure Boot spænder ben for Linux, er baseret på en udtalelse fra gut, der vist nok havde hørt noget fra én. Det burde Linux-folket da kunne genkende som FUD.

Bom bom, og så gør du dig selv skyldig i samme forbrydelse ved at komme med den svada!

Under alle omstændigheder er der ret meget Fritz i det, og det er bekymrende.

  • 9
  • 1
Henrik Nielsen

Formålet er at deltage i debatten, fordi jeg synes den er vigtig, og fordi jeg ved at rigtig mange har brug for et sikrerer pc-system, men ikke selv har forudsætningerne for at sikre det.Jeg synes bare at man skal vise hvem man er og hvor man kommer fra. Selv foretrækker jeg at vide hvem man diskuterer med. Men jeg hører gerne fra andre deltagere om det er forkert at skrive hvor man kommer fra, hvis det er et it-firma.
venlig hilsen
Henrik Nielsen
Imco Systems

  • 4
  • 5
Jesper Stein Sandal

Ud fra det er det da vist nærmere dig der "kan gøre det bedre", al den stund lige præcis ovennævnte passus indikerer at man slet ikke kan komme ind i bios.

Enlighten me please.

All right. UEFI gør det muligt at ændre indstillinger i firmwaren fra styresystemet. Men indstillingerne i firmwaren kan også ændres fra firmware-producentens egen brugerflade - det vi i dag kender som BIOS.

I scenariet som Kim bragte på bane, har du en pc med Windows - altså kan brugeren ændre indstillingen fra Windows. I dit scenarie skal man gå ind via firmware-producentens brugerflade.

Men vi taler om en indstilling i en firmware, som få af os har haft mulighed for at pille ved (jeg prøvede ikke selv at ændre noget i firmwaren, da jeg havde Windows 8-test-tavlen i hænderne). Jeg har imidlertid ikke set noget andet end spekulation fra en Red Hat-ansat, som skulle indikere, at Microsoft gør noget specielt for at forhindre brugerne i at installere Linux (hvis du ikke kan finde ud af at slå Secure Boot fra, bør du heller ikke have root-adgang på Linux).

  • 0
  • 10
Christian Nobel

I dit scenarie skal man gå ind via firmware-producentens brugerflade.

Og er du helt 100 på at "firmware-producentens brugerflade" er tilgængelig på samme måde som bios i dag, f.eks. ved at trykke F12 (eller Del, eller noget helt 7'ende)?

hvis du ikke kan finde ud af at slå Secure Boot fra, bør du heller ikke have root-adgang på Linux.

Drop lige den der arrogance!

Hvis tilgangen til at ændre på firmware-producentens egen brugerflade foregår ved at man skal gå ned i den aflåste kælder, finde arkivskabet i det overfyldte rum, hvori lyset ikke virker og der står pas på leoparden på døren, så er vi altså ude i noget helt andet.

Og husk på at selv en helt almindelig bruger faktisk sagtens kan finde ud af at installere f.eks. en Ubuntu out-of-the-box, og har dermed root adgang implicit vha. sudo.

Men du er måske også af den holdning at almindelige brugere slet ikke må installere Linux?

  • 13
  • 0
Michael Falstrup

Det er meget fint med øget sikkerhed, for alle og i særdeleshed for Hr. og Fru Hansen, som måske ikke er særligt IT kyndige. Men det skal da for pokker da ikke spænde ben for, at andre gerne vil bruge noget andet end MS. Jeg forstår ved min gud ikke, at det i 2011 stadig er muligt at stavnsbinde folk til en platform og leverandør, som mange reelt set gerne vil være foruden.

Og for at komme MS fanboys i forkøbet, så er der reelt set et ønske om valgmuligheder og fravalg af MS. 3 ting viser dette:

  1. Apples popularitet (selvom de næsten er mere proprietære end MS)
  2. IE's drastiske fald efter valgmenuen blev tvunget igennem fra EU.
  3. Androids popularitet, som sjovt nok er baseret på Linux.

Lad os nu for pokker selv bestemme hvad vi vil bruge. Det er jo i de fleste tilfælde hardware vi køber, CPU, Skærm, Ram og andre specs, der bestemmer vores køb og ikke OS'et.

Hardware leverandørerne kunne enda få en ekstra forretning ud af det og sælge support til udvalgte Linux (eller andre) distributioner, som de har testet på hardwaren. Andre OS typer kunne så gå under det der kaldes UNSUPPORTED software, som man installerer på eget ansvar.

MS fanboys vil garanteret sige, jamen det er prøvet og folk vil ikke have det. Nej, det er prøvet med et preinstalleret OS, som folk ikke ville have, de havde ingen valgmuligheder. Det er ikke raket videnskab at lave et interface, som giver folk en valgmulighed og som så klarer evt. betaling, når valget er gjort, hvorefter systemet automatisk hældes på hardwaren.

Kom nu ind i kampen og gør markedet frit, for det er det bestemt ikke nu og som det lyder, bliver det endnu være med denne sikkerhedsfeature.

  • 10
  • 0
Kim Rostgaard Christensen

Jeg kan se at MM-Vision har laptops uden Windows til salg - smukt!

Dog står der på alle produktsiderne at man skal tilvælge Windows hvis man ønsker en køreklar pc - og Ubuntu er ikke på listen af tilvalgsoperativsystemer.
Her er den almindelige jo reelt ikke et valg - men mindre han har en kollega/søn/nevø der kan skaffe ham en piratudgave af Windows.

Reklamen syntes jeg egentlig er berettiget, da det er relevant for debatten.

  • 0
  • 0
Daniel Udsen

Fra et linux synspunkt er problemet hverken UEFI eller secureboot men at MS andbefaler en variant af UEFI standarden der låser secureboot til en central PKI infrastuktur fram for den oprindelige (svjv fra Intel) specifikation der andbefaler lokal HW overide for at instalere root certifikater.

Et stort problem er at MS version af UEFI netop skaber forskellige klasser af OS'er via centraliseret burokrati, specielt hvis DRM interesser bliver blandet ind i det kan det resultare i massive problemer for dual boot, hvis den eneste muglighed for dual boot resultere i at din windows partition bliver klasificeret som "untrusted".

Som altid ligger djævelen i de tekniske detajer.

  • 4
  • 0
Sune Marcher
  • 0
  • 0
Jesper Poulsen

Men jeg hører gerne fra andre deltagere om det er forkert at skrive hvor man kommer fra

Du underskriver dig som et firma. I Brugerbetingelserne findes dette punkt: "Du må ikke bidrage med jobopslag eller reklame". Hvis du vil tilknytte et professionelt ståsted til dit navn, så rummer din profil rige muligheder for dette.

Jeg vil så tillade mig at tvivle på dine evner indenfor IT-drift, når du end ikke magter at gennemlæse Brugerbetingelser og profil-funktioner.

  • 1
  • 2
Jesper Poulsen

Dog står der på alle produktsiderne at man skal tilvælge Windows hvis man ønsker en køreklar pc - og Ubuntu er ikke på listen af tilvalgsoperativsystemer.

Der findes bedre Linux-distro'er end Ubuntu - skal de så også med på listen?

De OS'er der findes på tilvalgslisten er OS'er der skal tilkøbes. Det største problem med de Vision-maskiner er Intel-CPU'er og udpræget brug af AMD-grafik. Især det sidste er en hæmsko for Linux.

  • 0
  • 0
Jesper Stein Sandal

Og husk på at selv en helt almindelig bruger faktisk sagtens kan finde ud af at installere f.eks. en Ubuntu out-of-the-box, og har dermed root adgang implicit vha. sudo.

Ja, men hvorfor er det så, du mener, at en almindelig bruger ikke kan finde ud af at slå Secure Boot fra? Jeg kan virkelig ikke se, det skulle være anderledes end at ændre bootmedierækkefølgen.

Se eksempelvis på vejledningerne beregnet til almindelige brugere fra Ubuntu:

https://help.ubuntu.com/community/Installation/FromUSBStickQuick

https://help.ubuntu.com/community/BootFromCD

  • 0
  • 4
Jesper Poulsen

Fuldstændig unødvendig kommentar, ikke særlig "voksent".

Ingenlunde. Manden magter ikke at læse retningslinierne for brugen af stedet her og kan ikke se problemet i sin måde at "opføre sig på". Hvis det er standarden fra hans side, så skal jeg ikke have ham til at styre noget-som-helst. Det er i den grad mangel på simple kompetancer, nemlig læsning. Hvordan kan man betjene IT-systemer på et højere niveau, hvis man ikke kan læse og forstå?

  • 0
  • 1
Christian Nobel

Ja, men hvorfor er det så, du mener, at en almindelig bruger ikke kan finde ud af at slå Secure Boot fra? Jeg kan virkelig ikke se, det skulle være anderledes end at ændre bootmedierækkefølgen.

Er det noget du ved, eller er vi bare ude i vildt gætteri?

Det ville klæde dig at komme med et svar på det spørgsmål jeg stiller dig om UEFI, og ikke om hvordan man installerer en Ubuntu i dag uden UEFI!

Som det er umiddelbart er beskrevet, så kan det jo lige præcis slet ikke sidestilles med at ændre boot rækkefølge i Bios (hvilket i øvrigt på nogen maskiner slet ikke fordrer at man går ind i Bios, men udelukkende trykker F12 under opstart for at ændre rækkefølgen).

  • 2
  • 1
Jesper Lund

Ja, men hvorfor er det så, du mener, at en almindelig bruger ikke kan finde ud af at slå Secure Boot fra? Jeg kan virkelig ikke se, det skulle være anderledes end at ændre bootmedierækkefølgen.

Hvorfra ved vi at det [altid] bliver muligt at slå Secure Boot fra?

http://mjg59.dreamwidth.org/5850.html

Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.

Der kommer givetvis hardware hvor Secure Boot kan de-aktiveres, men der kommer nok også hardware hvor dette ikke vil være muligt. Jeg tror ikke at vi skal regne med at denne specification bliver fremhævet lige så kraftigt som antal megapixels på webcam'et, og mange forhandlere vi svare "vides ikke, men den kan køre Windows 8" når du spørger til Secure Boot. Eller sagt med andre ord: det kan blive en større jungle at købe hardware til andet end Windows 8 fremover, hvilket vil have negative konsekvenser for udbredelsen af alternativer til Microsoft.

  • 2
  • 0
Lars Nielsen

Og er du helt 100 på at "firmware-producentens brugerflade" er tilgængelig på samme måde som bios i dag, f.eks. ved at trykke F12 (eller Del, eller noget helt 7'ende)?

Nu kan jeg selvfølgelig ikke tale for alle producenter af bundkort, men mit Asus Sabertooth P67 benytter UEFI og ja, den er tilgængelig på fuldstændig samme måde som den traditionelle bios. Har svært ved at se at andre producenter skulle gøre det umuligt at tilgå den uden at OS er indlæst, det ville ikke give mening da UEFI er en afløser for / videreudvikling af bios og derfor skal overtage dennes funktionalitet.

  • 2
  • 1
Sune Marcher

Michael har ret. Det er da utroligt, at Microsoft skal hav elov til at fortsætte sin monopolisering af et elendigt system.
Det må da være noget for EU?

Kunne de så ikke lige kigge lidt på Apple også, nu de er igang?

At OS X er begrænset til "Apple hardware" er godt nok lidt anderledes end Secure Boot, men det er stadig en 100% kunstig begrænsning (google efter DSMOS) der begrænser forbrugernes muligheder.

Derudover, var en af monopolsagens konsekvenser ikke at MS skulle unbundle Media Player fra den europæiske version af Windows? Det kunne være lidt interessant at høre hvad EU siger til at iTunes nu er mandatory i OS X.

Og kunne vi ikke også få en browser ballot, nu vi er igang?

  • 1
  • 1
Jesper Lund

Nu kan jeg selvfølgelig ikke tale for alle producenter af bundkort, men mit Asus Sabertooth P67 benytter UEFI og ja, den er tilgængelig på fuldstændig samme måde som den traditionelle bios. Har svært ved at se at andre producenter skulle gøre det umuligt at tilgå den uden at OS er indlæst, det ville ikke give mening da UEFI er en afløser for / videreudvikling af bios og derfor skal overtage dennes funktionalitet.

Selvfølgelig vil der være adgang til UEFI, men det er ikke det samme som at Secure Boot "yes/no" vil være eksponeret i BIOS/UEFI config menuen. Jeg har motherboards med en utal af BIOS menupunkter (hvor man kan lave store ulykker ved at pille!), og jeg har motherboards hvor jeg nærmest ikke kan konfigurere andet end disk boot order (mere idiotsikret).

Du kan sagtens finde eksempler på BIOS-niveau funktionalitet som kun kan konfigureres via ACPI kald, og ikke via BIOS menuen (selv om det er konfigurerbart).

Et Linux-relevant eksempel er switchable graphics, som du ser i en del nyere laptops (som Asus U31SD og U36SD). Du har et Intel onboard grafikkort (integreret del af Sandy Bridge) og et diskret Nvidia (typisk) grafikkort. Det er smart fordi du kan bruge Intel kortet til normale opgaver og spare strøm, og skifte til Nvidia kortet når der er krævende grafikkort opgaver. En Windows grafikkort driver sørger for at overgangen er seamless. Alle Windows brugere er glade, og det skal være dem velundt.

Desværre er det ikke så smart på Linux fordi der ikke er nogen ordentlig driver understøttelse af Nvidia Optimus [1]. Hvis du kun bruger Intel kortet på Linux, vil dit Nvidia kort stadig køre og brænde strøm af. Kan du slukke Nvidia kortet? Ja, som regel (via et ACPI kald). Kan det gøres i BIOS menuen? Nej (formentlig fordi Windows brugerne ikke har noget behov for dette).

[1] Der er nogle work-in-progress projekter som Bumblebee/Ironhide.

  • 0
  • 0
Michael Falstrup

Kunne de så ikke lige kigge lidt på Apple også, nu de er igang?

Meget gerne!! De bør gå i kødet på ALLE som har en gunstig markedsandel gennem monopol eller monopol lignende forhold. Forskellen er at Apple sælger HELE pakken dvs. hardware + software, så forbrugeren ved, hvad de går ind til ved købet. Men jeg giver dig ret og har selv altid haft holdningen, at Apple er på linie eller værre end MS.

Hvis jeg ikke husker helt galt, kan du faktisk godt installere andet OS på Apple HW.

Desuden er problemet med MS, at de har så stor en markedsandel på OS som de har, i forhold til Apple og andre, hvilket gør det ekstra slemt. Vi sidder stadig i en situation i 2011, hvor vi reelt set ikke kan fravælge MS OS på en pc, uden at være tvunget til at betale for MS OS'et, selvom vi måske hellere vil bruge Linux.

Nu vil man så låse den binding endnu mere fast gennem en UEFI defineret af MS .... det er bare ikke holdbart.

  • 2
  • 0
Hans Andersen

Jeg kan ikke se nyheden i dette, vi har hele tiden vidst at Secure Boot vil kunne slås fra.

Problemet ligger vel i at man skal ændre Secure Boot mode hvergang man ønsker at skifte imellem Windows og Linux, og ikke som det er i dag, bare en menu der spørger hvilket OS du ønsker at start.

Det vil også blive noget mere kompliceret for brugeren at få installeret et Linux OS hvis Secure Boot skal slås fra først, og de vil helt sikkert vælge det fra hvis de skal skifter Secure Boot mode når de skifter imellem OS.

  • 0
  • 1
Sune Marcher

Jeg kan ikke se nyheden i dette, vi har hele tiden vidst at Secure Boot vil kunne slås fra.

Har vi, rent faktisk, det?

Når man tænker på hvad der findes af virkeligt begrænsede BIOS opsætninger idag, bl.a. opsætninger hvor du ikke får lov at slå hardware virtualization til, selvom CPU'en understøtter det... så ligger det ikke totalt fjernt at forestille sig en masse consumer maskiner hvor secure boot toggle "ikke lige er blevet tilføjet".

  • 2
  • 0
Jesper Stein Sandal

Problemet ligger vel i at man skal ændre Secure Boot mode hvergang man ønsker at skifte imellem Windows og Linux, og ikke som det er i dag, bare en menu der spørger hvilket OS du ønsker at start.

Så vidt Microsoft har oplyst, vil Windows 8 stadig kunne starte, selvom du slår Secure Boot fra (du vil formentligt blot se en eller anden form for advarsel i sikkerhedsindstillingerne).

Secure Boot som standard er kun et krav for klistermærket på kassen. Hvis du slår det fra og dualbooter Linux, sker der ikke noget. Men du kan ikke dualboote mellem Linux og en Secure Boot-beskyttet Windows 8 - medmindre Linux-distroen har en aftale med den pågældende pc-producent og har fået lagt et certifikat ind i UEFI'en.

Lad os vente og se til vi ser nogle systemer, før vi hidser os for meget op. Jeg tvivler på, at der bliver et reelt problem i forhold til i dag. Det bliver formentligt lettere end at fjerne skrivebeskyttelsen på en OS/2 diskette, så man kunne bruge den til et andet formål. :)

  • 0
  • 3
Sune Marcher

Så vidt Microsoft har oplyst, vil Windows 8 stadig kunne starte, selvom du slår Secure Boot fra (du vil formentligt blot se en eller anden form for advarsel i sikkerhedsindstillingerne).

Skal vi gætte på at Protected Media Path også bliver slået fra, og at diverse 3. parts software efterhånden vil begynde at bitche også?

Måske ikke allerede i Win8, men...
</tinfoil-hat>

Lad os vente og se til vi ser nogle systemer, før vi hidser os for meget op.

Hvis der ikke er nogen der råber vagt i gevær, er risikoen større for at vi ender med noget locked-down bras.

  • 2
  • 0
Log ind eller Opret konto for at kommentere