Forside Sikkerhed Hvad du har brug for at vide om Windows 10 Secure Boot Keys

Hvad du har brug for at vide om Windows 10 Secure Boot Keys

  • Brian Curtis
  • 0
  • 2623
  • 444
Reklame

I hvad der absolut kunne betragtes som et glitrende eksempel på Nemlig hvorfor gyldne nøgler, der tilbyder en bagdør til sikre tjenester, burde ikke findes, Microsoft lækkede ved et uheld hovednøglen til deres Secure Boot-system.

Lækagen låser potentielt alle enheder med Microsoft Secure Boot-teknologi installeret, striber deres låste operativsystemstatus, hvilket gør det muligt for brugere at installere deres egne operativsystemer og applikationer i stedet for dem, der er udpeget af Redmond-teknologibemoth.

Lækagen bør ikke gå på kompromis med din enheds sikkerhed - i teorien. Men det åbner linjerne for alternative operativsystemer og andre applikationer, der tidligere ikke ville have fungeret på et Secure Boot-system.

Hvordan vil Microsoft svare på dette? En simpel opdatering til at ændre hver Secure Boot-basetast? Eller er det simpelthen for sent, at der er gjort skade?

Lad os se godt på, hvad Secure Boot lækage betyder for dig og dine enheder.

Hvad er sikker start?

“Secure Boot hjælper dig med at sikre, at din pc kun starter med firmware, som producenten har tillid til”

Microsoft Secure Boot ankom med Windows 8 og er designet til at forhindre ondsindede operatører, der installerer applikationer Hvad er UEFI, og hvordan holder det dig mere sikker? Hvad er UEFI, og hvordan holder det dig mere sikker? eller eventuelle uautoriserede operativsystemer fra indlæsning eller ændring under systemets opstart. Da den ankom, var der bekymring for, at dens introduktion ville begrænse muligheden for dobbelt eller multi-boot Microsoft-systemer alvorligt. I sidste ende var dette stort set ubegrundet - eller fundne løsninger.

Da Secure Boot er afhængig af UEFI (Unified Extensible Firmware Interface) -specifikation Hvad er UEFI, og hvordan holder det dig mere sikker? Hvad er UEFI, og hvordan holder det dig mere sikker? at levere grundlæggende krypteringsfaciliteter, netværksgodkendelse og signatur af drivere, der giver moderne systemer et andet lag af beskyttelse mod rootkits og malware på lavt niveau.

Windows 10 UEFI

Microsoft ønskede at rampe op “beskyttelse” tilbydes af UEFI i Windows 10.

For at skubbe dette igennem, informerede Microsoft producenterne før Windows 10's frigivelse om, at valget om at fjerne muligheden for at deaktivere Secure Boot var i deres hænder. Vil Linux ikke længere arbejde på fremtidig Windows 10-hardware? Vil Linux ikke længere arbejde på fremtidig Windows 10-hardware? Secure Boot kan forhindre, at nogle Linux-distros starter. På kommende Windows 10-enheder fjerner producenter muligvis muligheden for at slå Secure Boot fra. Dette vil påvirke Linux Mint og flere andre populære distrikter. , effektivt at låse operativsystemet til det, en computer kommer med. Det er værd at bemærke, at Microsoft ikke direkte pressede dette initiativ (i det mindste ikke helt offentligt), men som Ars Technicas Peter Bright forklarer, gjorde ændringer af eksisterende UEFI-regler inden Windows 10-frigørelsesdatoen dette muligt:

“Hvis dette er tilfældet, kan vi forestille os OEMs bygningsmaskiner, der ikke tilbyder nogen nem måde at starte selvbyggede operativsystemer på, eller faktisk ethvert operativsystem, der ikke har passende digitale signaturer.”

Selvom der utvivlsomt er adskillige desktops og laptops til salg med ulåste UEFI-indstillinger, kan dette vise sig at være en anden stødesten for dem, der ønsker at prøve et alternativ til deres Windows-operativsystem.

Endnu en blokade for Linux-talsmænd for at arbejde omkring ... suk.

Og nu er sikker beskyttelse permanent låst?

Permanent, jeg er ikke så sikker. Men i mellemtiden kan Secure Boot låses op. Her er hvad der skete.

Secure Boot er på dens dødsleje.

Registrering kommer i morgen eller onsdag.

- slipstream / RoL (@ TheWack0lian) 8. august 2016

Jeg ved, at jeg har henvist til en super-duper-skelet-nøgle, der låser op for hver enkelt lås i hele Microsoft UEFI Secure Boot-universet ... men det kommer faktisk til, hvilke politikker du har underskrevet på dit system.

Sikker start, der deaktiverer binær lækket. Hvad er mere irriterende for Microsoft? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 10. august 2016

Secure Boot fungerer sammen med visse politikker, læst og fulgt fuldt ud af Windows boot manager Sådan løses de fleste Windows Boot Problemer Sådan løses de fleste Windows Boot Problemer Er din Windows-computer ikke opstart? Det kan skyldes en hardware-, software- eller firmwarefejl. Her er, hvordan du diagnosticerer og løser disse problemer. . Politikene råder boot manager til at holde Secure Boot aktiveret. Imidlertid oprettede Microsoft en politik designet til at give udviklere mulighed for at teste operativsystemopbygninger uden at skulle underskrive digitalt hver version. Dette tilsidesætter effektivt Secure Boot og deaktiverer tidlig systemcheck under opstartprocessen. Sikkerhedsforskerne, MY123 og Slipstream, dokumenterede deres fund (på et virkelig dejligt websted):

“Under udviklingen af ​​Windows 10 v1607 'Redstone' tilføjede MS en ny type sikker startpolitik. nemlig, “supplerende” politikker, der er placeret i EFIESP-partitionen (snarere end i en UEFI-variabel), og hvor deres indstillinger er slået sammen, afhængigt af betingelser (nemlig at en bestemt “aktivering” politik er også i eksistens og er indlæst).

Redstones bootmgr.efi indlæses “eftermæle” politikker (nemlig en politik fra UEFI-variabler) først. På et bestemt tidspunkt i redstone dev foretog den ikke yderligere kontrol udover signatur / deviceID-kontrol. (Dette er nu ændret, men se, hvordan ændringen er dum) Efter indlæsning af “eftermæle” politik, eller en basispolitik fra EFIESP-partition, indlæses, kontrolleres og fusioneres derefter i de supplerende politikker.

Ser du problemet her? Hvis ikke, lad mig stave det klart og tydeligt til dig. Det “supplerende” politik indeholder nye elementer til de fusionerende betingelser. Disse betingelser er (godt, på én gang) ikke markeret af bootmgr, når du indlæser en ældre politik. Og bootmgr fra win10 v1511 og tidligere ved bestemt ikke noget om dem. Til disse bootmgrs er det lige indlæst i en perfekt gyldig, underskrevet politik.”

Det giver ikke god læsning for Microsoft. Det betyder effektivt fejlfindingspolitikken, der er designet til at give udviklere - og kun udviklere - mulighed for at negere underskrivelsesprocesserne er åben for alle med en detailversion af Windows 10. Og at denne politik er lækket ud på Internettet.

Husk San Bernardino iPhone?

“Du kan se ironien. Også ironien i, at MS selv gav os flere pæne “gyldne nøgler” (som FBI ville sige;) for os at bruge til det formål :)

Om FBI: læser du dette? Hvis du er det, er dette et perfekt eksempel fra den virkelige verden om, hvorfor din idé om bagdør til kryptosystemer med en “sikker gylden nøgle” er meget dårlig! Smartere mennesker end mig har fortalt dette til dig så længe, ​​det ser ud til, at du har dine fingre i ørerne. Forstår du alvorligt ikke stadig? Microsoft implementerede en “sikker gylden nøgle” system. Og de gyldne taster blev frigivet fra MS's egen dumhed. Hvad sker der nu, hvis du beder alle om at lave en “sikker gylden nøgle” system? Forhåbentlig kan du tilføje 2 + 2 ... ”

For disse krypteringsforkæmpere har dette været et alt-til-bittersøt øjeblik, der forhåbentlig vil give en vis tilstrækkelig klarhed for både retshåndhævelsesbureauer og regeringsembedsmænd. Gyldne bagdøre vil aldrig hold dig skjult. De vil altid blive opdaget, hvad enten det er af en uforudset intern sårbarhed (Snowden-afsløringer Hero eller Villain? NSA Modererer sin holdning til Snowden Hero eller Villain? NSA Modererer dens holdning til Snowden Whistleblower Edward Snowden og NSA's John DeLong dukkede op på tidsplanen for en symposium. Mens der ikke var nogen debat, ser det ud til, at NSA ikke længere maler Snowden som en forræder. Hvad er der ændret?) eller af dem, der er interesseret i at stikke og trække teknologi og dens underliggende kode fra hinanden.

Overvej San Bernardino iPhone ...

“Vi har stor respekt for fagfolkene på FBI, og vi mener, at deres intentioner er gode. Op til dette punkt har vi gjort alt, hvad der er både inden for vores magt og inden for loven for at hjælpe dem. Men nu har den amerikanske regering bedt os om noget, vi simpelthen ikke har, og noget, vi betragter som for farligt til at skabe. De har bedt os om at opbygge en bagdør til iPhone Hvad er det mest sikre mobile operativsystem? Hvad er det mest sikre mobile operativsystem? Kæmper for titlen på Mest Secure Mobile OS, vi har: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er bedst til at holde sit eget mod onlineangreb? .”

Bolden hviler hos Microsoft

Som jeg nævnte, skulle dette ikke rigtig udgøre en massiv sikkerhedsrisiko for dine personlige enheder, og Microsoft frigav en erklæring, der bagatelliserede relevansen af ​​Secure Boot-lækage:

“Den jailbreak-teknik, der er beskrevet i forskernes rapport den 10. august, gælder ikke for desktop- eller virksomheds-pc-systemer. Det kræver fysisk adgang og administratorrettigheder til ARM- og RT-enheder og kompromitterer ikke krypteringsbeskyttelse.”

Ud over dette har de hurtigt frigivet en Microsoft Security Bulletin, der er udpeget “Vigtig.” Dette løser sårbarheden, når den først er installeret. Det kræver dog ikke meget at installere en version af Windows 10 uden at patch'en er implementeret.

Gyldne nøgler

Desværre vil dette sandsynligvis ikke føre til en ny flod af Microsoft-enheder, der kører Linux-distros. Jeg mener, der vil være nogle initiativrige individer, der tager tidstesten dette, men for flertallet af enkeltpersoner vil dette simpelthen være et andet sikkerhedsskærm, der har passeret dem.

Det skulle det ikke.

At ikke give en forbandelse om Linux-distros på Microsoft-tablets er en ting, sikker. Men de bredere implikationer af en gylden nøgle, der lækker ud i det offentlige rum for at låse potentielt millioner af enheder, er en anden.

For et par år siden ringede The Washington Post op til et samlingsbesøg “kompromis” om kryptering, idet vi foreslår, at selvom vores data åbenlyst skulle være uden for grænserne for hackere, måske Google og Apple et al skal have en sikker gylden nøgle. I en fremragende kritik af nøjagtigt hvorfor dette er en “vildledt, farligt forslag,” Keybase-medskaber Christ Coyne forklarer det ganske klart “Ærlige, gode mennesker er truet af nogen bagdør, der omgår deres egne adgangskoder.”

Vi bør alle stræbe efter det maksimale mulige personlige sikkerhed Start året fra højre med en personlig sikkerhedsrevision Start året fra ret med en personlig sikkerhedsrevision Det er tid til at lave planer for det nye år, f.eks. Sikre at din personlige sikkerhed er i orden at klø. Her er 10 trin, du skal tage for at opdatere alt ved hjælp af din pc, telefon eller tablet. , må du ikke benytte dig til at svække den ved den første tilgængelige mulighed. For som vi har set flere gange, er disse super-duper-skelettypenøgler vilje ender i de forkerte hænder.

Og når de gør det, spiller vi alle et farligt spil med reaktivt forsvar, uanset om vi ville eller ikke.

Bør større teknologiselskaber skabe bagdøre i deres tjenester? Eller skal regeringsorganer og andre tjenester huske deres egen virksomhed og fokusere på at bevare sikkerhed?

Billedkredit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock




Endnu ingen kommentarer

Inateck USB-hub og KM-switch 3-port gennemgang og Giveaway
Produktanmeldelser
ASUS ZenFone 2 Review og Giveaway
Produktanmeldelser
littleBits Smart Home Kit Review og Giveaway
Produktanmeldelser
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.