Untrusted Platform Module, UEFI Insecure Boot

Heute mal was Technisches: Schon im Blog von PC ab 50 habe ich mehrfach auf die Gefahren von “UEFI Secure Boot” hingewiesen, das für die Windows 8-Zertifizierung vorgeschrieben ist. Das Trusted Platform Module kontrolliert dabei, welche Bootloader auf dem System starten dürfen. Freie Bootloader wie Coreboot sind nicht vorgesehen. Das ist der eine Grund, warum “Secure Boot” böse ist. Unter der Bezeichnung Boot Guard ist Intel gerade dabei, das TPM direkt in die Prozessoren zu verlegen, so dass man es dann irgendwann gar nicht mehr abschalten kann. Den ursprünglichen Entwurf unter dem Codenamen Palladium findet man noch in der englischen Wikipedia.

Der andere Grund ist nun, dass es nicht nur böse, sondern eben insecure ist, denn die Dienste haben die Schlüssel längst in ihren Fingern und können daher auf den vermeintlich geschützten Plattformen installieren, was sie wollen (Bruce Schneier ist sich da allerdings nicht ganz so sicher).

Nebenbei, Apple kann man komplett vergessen in Sachen Sicherheit.

Grundsätzlich sieht spätestens jetzt auch ein Blinder mit dem Krückstock, dass es eine Scheissidee ist, geheime Schlüssel fest in Hardware zu verlöten.

Abschließend zitiere ich noch mal Fefe:

Liebe Leute, wir befinden uns hier gerade in einem Krieg um unsere informationstechnischen Plattformen. Wer die Plattform besitzt, kontrolliert auch die auf ihr stattfindenden Dinge. Das sollte spätestens seit Facebook auch dem letzten Idioten klar sein, ist es aber offensichtlich nicht.