Windows 8 soll sicherer werden. Dafür erhält Microsofts neues Betriebssystem unter anderem die Secure Boot-Funktion, die bei Systemen mit dem BIOS-Nachfolger UEFI den Startvorgang abbricht, wenn ein unsigniertes Betriebssystem zum Einsatz kommt.
Nur Betriebssysteme, deren Signatur in einer speziellen Datenbank hinterlegt ist, werden gestartet. Natürlich ist die Aufregung darum groß, denn man könnte daraus schlussfolgern, dass Microsoft alternative Betriebssysteme wie beispielsweise Linux und andere Open-Source-Betriebssysteme blockieren will.
Dem widerspricht Microsoft-Mitarbeiter Tony Mangefeste jedoch. In einem Blogeintrag erklärt er, dass die Secure Boot-Funktion nicht die Installation anderer Betriebssysteme verhindern soll. Lediglich die Kontrolle darüber, welches Betriebssystem auf einem Rechner läuft, solle beim Anwender bleiben, er soll sich also bewusst für ein Betriebssystem entscheiden.
Secure Boot sei ein Bestandteil von UEFI
Außerdem erklärt Mangefeste, dass Secure Boot kein wirkliches Windows 8-Feature sei, sondern vielmehr zu UEFI gehöre. Je nach UEFI-Spezifikation kann auch nicht signierte Software gestartet werden. Der Nutzer könnte also beispielsweise ein Passwort anlegen, welches er eingeben muss, wenn unsignierte Software gestartet werden soll. Damit soll der Nutzer möglichst wenig eingeschränkt sein und gleichzeitig verhindert werden, dass sich ein Agnreifer in den Bootvorgang hackt. Dennoch ist es natürlich für den User mit Arbeit verbunden, wenn er ein alternatives Betriebssystem nutzen möchte.
Kleinere Alternativ-Betriebssysteme geraten ins Hintertreffen
Welche Sicherheitsschlüssel beim UEFI hinterlegt sind, das liegt am Mainboard-Hersteller. Einfacher ist es jedoch, wenn Linux-Distributoren Kernel und Bootloader signieren, dann kann der Anwender sich das Prozedere mit dem Passwort sparen. Das mag bei den großen Distributoren wie Oracle oder RedHat funktionieren, für kleinere ist es jedoch schwierig bis unmöglich.
[themoneytizer id=21901-16]
Zertifikate sind immer das gleiche: Der Versuch unsinnige Bytes zu hohen Preisen zu verkaufen. Es ist wird also nicht nur für kleinere Betriebssysteme unmöglich zu funktionieren sondern auch für Entwickler erschwert neue zu schaffen, die meisten Anwender, die sich ein Linux-Kernel kompilieren werden nicht das nötige „Kleingeld“ haben sich dies zertifizieren zu lassen — und wer gerade daran entwickelt baut andauernd neue Kernel.
Bei j2me hat man das auch versucht, obwohl Java eigentlich auf allen Geräten (in diesem Fall Mobiltelefone) funktionieren sollte, sind alle interessanten APIs (z.B. Zugriff auf Dateien) nur mit Zertifikat zugänglich, ohne muss der Anwender jede Aktion autorisieren. Wegen nicht vorhandenen Standards an Root-Zertifikaten muss man jedes einzelne Gerät zertifizieren, d. h. für jeden kleinen Bugfix eine halbe Mio $ oder so in die Hand nehmen und monatelangen Papierkrieg usw. Also hat niemand zertifiziert. Inzwischen kann jeder Anwender auf fast allen Mobiltelefonen die APIs selbst freischalten, ohne Zertifikat. Nur auf älteren Geräten hat man wenig Spaß mit un-zertifizierten Java-Programmen.
Ich hoffe, dieser Unsinn setzt sich nicht durch.
Die Angebliche Bedrohung gibt es wohl auch nicht, oder diese wird nicht dadurch verhindert.
Vor meinem geistigen Auge sehe ich die Kunden-Beschwerden…
Kunde: „Mein Windows 8 startet nicht!“
Microsoft: „Das liegt nicht an unserem Betriebssystem, das liegt am Bios.“
Alles so zweckfrei wie der DRM-Schutz damals.
Das klingt nach der gleichen Variante die Apple benutzt xD
ziemlich bald haben wir dann alle ein Microsoft DSDT-chip (wie bei Apple) XD
wo Windows nurnoch auf bestimmten Boards installiert werden kann und aktivieren lässt… O.O