Hva du trenger å vite om Windows 10 Secure Boot Keys
I det som kunne anses som et glimrende eksempel på nøyaktig Hvorfor Gyllene nøkler som tilbyr en bakdør til sikre tjenester, bør ikke eksistere, Microsoft har utilsiktet lekket hovednøkkelen til sitt Secure Boot-system.
Lekkasjen låser opp alle enheter med Microsoft Secure Boot-teknologi installert, og fjerner statusen for låst operativsystem, slik at brukerne kan installere egne operativsystemer og applikasjoner i stedet for de som er utpekt av Redmond-teknologien.
Lekkasjen bør ikke ødelegge enhetens sikkerhet - i teorien. Men det vil åpne linjene for alternative operativsystemer og andre applikasjoner som tidligere ikke hadde fungert på et Secure Boot-system.
Hvordan vil Microsoft svare på dette? En enkel oppdatering for å endre hver Secure Boot-basenøkkel? Eller er det bare for sent, skader gjort?
La oss ta en fin titt på hva sikker bootstank betyr for deg og dine enheter.
Hva er sikker start?
“Secure Boot bidrar til å sikre at PC-en støtter bare ved hjelp av fastvare som er pålitelig av produsenten”
Microsoft Secure Boot ankom med Windows 8, og er designet for å hindre at skadelige operatører installerer programmer Hva er UEFI og hvordan holder den deg sikrere? Hva er UEFI og hvordan holder den deg sikrere? Les mer eller uautoriserte operativsystemer fra å laste inn eller gjøre endringer under systemstartsprosessen. Da det kom fram, var det bekymringer at introduksjonen ville sterkt begrense muligheten til dual eller multi-boot Microsoft-systemer. Til slutt var dette stort sett ubegrunnet - eller det ble funnet løsninger.
Som Secure Boot er avhengig av UEFI-spesifikasjonen (Unified Extensible Firmware Interface) Hva er UEFI og hvordan holder den deg sikrere? Hva er UEFI og hvordan holder den deg sikrere? Les mer for å gi grunnleggende krypteringsfunksjoner, nettverksautentisering og sjåførsignering, og gi moderne systemer et annet lag av beskyttelse fra rootkits og lavt skadelig programvare.
Windows 10 UEFI
Microsoft ønsket å rampe opp “beskyttelse” tilbys av UEFI i Windows 10.
For å presse dette gjennom, informerte Microsoft produsenter før Windows 10s utgivelse at valget for å fjerne alternativet for å deaktivere Secure Boot, var i deres hender. Vil Linux ikke lenger jobbe med fremtidig Windows 10-maskinvare? Vil Linux ikke lenger jobbe på fremtidig Windows 10-maskinvare? Secure Boot kan forhindre at noen Linux distros fra oppstart. På kommende Windows 10-enheter kan produsenter fjerne muligheten til å slå av sikker start. Dette vil påvirke Linux Mint og flere andre populære distros. Les mer, effektivt låser operativsystemet til den en datamaskin kommer med. Det er verdt å merke seg at Microsoft ikke direkte presset dette initiativet (i hvert fall ikke helt offentlig), men som Ars Technics Peter Bright forklarer, gjorde endringer i eksisterende UEFI-regler før Windows 10-utgivelsesdatoen mulig:
“Skulle dette stå, kan vi tenke på OEMs byggmaskiner som ikke vil gi en enkel måte å starte selvbygde operativsystemer på, eller faktisk operativsystem som ikke har passende digitale signaturer.”
Selv om det utvilsomt finnes mange stasjonære og bærbare datamaskiner til salgs med ulåste UEFI-innstillinger, kan dette vise seg å være en annen hindring for de som ønsker å prøve et alternativ til deres Windows-operativsystem.
Nok en vei blokk for Linux fortaler å jobbe rundt ... sukk.
Og nå er sikker oppstart permanent låses opp?
Permanent er jeg ikke så sikker. Men i mellomtiden kan Secure Boot låses opp. Her er det som skjedde.
Secure Boot er på sin døds seng.
Skriving kommer i morgen eller onsdag.
- slipstream / RoL (@ TheWack0lian) 8. august 2016
Jeg vet at jeg har referert til en super-duper skjelett-type nøkkel som låser opp hver enkelt lås i hele Microsoft UEFI Secure Boot universet ... men det kommer faktisk ned til hvilken politikk du har signert på systemet ditt.
Sikker oppstart avkobling binær lekkasje. Hva er mer irriterende for Microsoft? https://t.co/n0fGr7pwdo
- Mytiske dyr (@Mythic_Beasts) 10. august 2016
Secure Boot fungerer sammen med visse retningslinjer, leses og etterfølges fullt ut av Windows-oppstartsbehandling Slik løser du de fleste problemer med Windows Boot Slik løser du de fleste problemer med Windows Boot Er Windows-datamaskinen ikke oppstart? Det kan være på grunn av maskinvare-, programvare- eller firmwarefeil. Slik diagnostiserer og løser du disse problemene. Les mer . Politikkene anbefaler oppstartshåndtereren å holde sikker oppstart aktivert. Men Microsoft opprettet en policy som er laget for å tillate utviklere å teste operativsystembygginger uten å måtte signere hver versjon digitalt. Dette overrulerer effektivt Sikker Boot, deaktiverer tidlig systemkontroll under oppstartsprosessen. Sikkerhetsforskerne, MY123 og Slipstream, dokumenterte deres funn (på en virkelig herlig nettside):
“Under utviklingen av Windows 10 v1607 'Redstone', tilføyte MS en ny type sikker oppstartspolicy. nemlig, “supplerende” retningslinjer som ligger i EFIESP-partisjonen (i stedet for i en UEFI-variabel), og har sine innstillinger sammenslåtte, avhengig av betingelser (nemlig at en viss “aktivering” politikken er også i eksistens, og har blitt lastet inn).
Redstone er bootmgr.efi laster “arven” politikk (nemlig en policy fra UEFI-variabler) først. På et bestemt tidspunkt i redstone dev gjorde det ikke noen ytterligere kontroller utover underskrift / deviceID-kontroller. (Dette har nå blitt endret, men se hvordan endringen er dum) Etter at du har lastet inn “arven” policy, eller en basispolicy fra EFIESP-partisjon, laster den, kontrollerer og fusjonerer i tilleggspolitikken.
Se problemet her? Hvis ikke, la meg stave det ut til deg ren og klar. De “supplerende” politikken inneholder nye elementer, for sammenslåingsbetingelsene. Disse betingelsene er (vel, på en gang) ikke merket av bootmgr når du laster opp en eldre policy. Og bootmgr of win10 v1511 og tidligere vet absolutt ikke om dem. Til de bootmgrs, har den nettopp lastet inn i en helt gyldig, signert politikk.”
Det gir ikke god lesning for Microsoft. Det betyr effektivt debug-mode-politikken som er laget for å tillate utviklere - og bare utviklere - sjansen til å negere signeringsprosessene, er åpen for alle som har en detaljhandel versjon av Windows 10. Og at den politikken har lekket ut på Internett.
Husk San Bernardino iPhone?
“Du kan se ironien. Også ironiene i MS har gitt oss flere fine “gyldne nøkler” (som FBI ville si;) for oss å bruke for det formålet :)
Om FBI: leser du dette? Hvis du er, så er dette et perfekt virkelighetseksempel om hvorfor ideen om backdooring kryptosystemer med a “sikker gylden nøkkel” er veldig dårlig! Smartere folk enn meg har fortalt dette til deg for så lenge, det ser ut til at du har fingrene i ørene dine. Ser du virkelig ikke forstår? Microsoft implementerte en “sikker gylden nøkkel” system. Og de gyldne nøklene ble løslatt fra MS egen dumhet. Nå, hva skjer hvis du forteller alle å lage en “sikker gylden nøkkel” system? Forhåpentligvis kan du legge til 2 + 2 ... ”
For de krypteringstalsmennene har dette vært et alt-til-bittersøt øyeblikk som forhåpentligvis vil gi noen trengte klarhet for rettshåndhevende myndigheter og statlige tjenestemenn likt. Gyldne bakdører vil aldri forbli skjult. De vil alltid bli oppdaget, er det ved et uforutsette internt sårbarhet (Snowden revelations Hero eller Villain? NSA modererer sin holdning til Snowden Hero eller Villain? NSA modererer sin holdning til Snowden Whistleblower Edward Snowden og NSAs John DeLong dukket opp på planen for en symposium. Mens det ikke var noen debatt, ser det ut til at NSA ikke maler Snowden lenger som en forræder. Hva er endret? Les mer) eller av de som er interessert i å peke og trekke teknologi og dens underliggende kode fra hverandre.
Vurder San Bernardino iPhone ...
“Vi har stor respekt for fagfolkene hos FBI, og vi tror at deres intensjoner er gode. Frem til dette punktet har vi gjort alt som er både i vår makt og i loven for å hjelpe dem. Men nå har den amerikanske regjeringen bedt oss om noe vi ganske enkelt ikke har, og noe vi anser for farlige å skape. De har bedt oss om å bygge en bakdør til iPhone Hva er det mest sikre mobile operativsystemet? Hva er det sikreste mobile operativsystemet? Kampen for tittelen Most Secure Mobile OS har vi: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er det beste ved å holde sine egne mot onlineangrep? Les mer .”
Ballen hviler med Microsoft
Som nevnt, burde dette ikke virkelig utgjøre en stor sikkerhetsrisiko for dine personlige enheter, og Microsoft ga ut en uttalelse som undertrykker relevansen av Secure Boot leak:
“Jailbreak-teknikken som er beskrevet i forskernes rapport 10. august, gjelder ikke for stasjonære eller bedriftens PC-systemer. Det krever fysisk tilgang og administratorrettigheter til ARM- og RT-enheter og kompromitterer ikke krypteringsbeskyttelse.”
I tillegg til dette har de raskt gitt ut en Microsoft Security Bulletin utpekt “Viktig.” Dette løser sikkerhetsproblemet når det er installert. Det vil imidlertid ikke ta mye for å installere en versjon av Windows 10 uten at oppdateringen er implementert.
Secure Boot er nesten helt sikkert død.
- Longhorn (@never_released) 8. august 2016
Gullnøkler
Dessverre er det usannsynlig at dette fører til at en ny glut av Microsoft-enheter kjører Linux distros. Jeg mener det vil være noen initiativrike personer som tar tidstesten dette, men for de fleste enkeltpersoner vil dette ganske enkelt være et annet sikkerhetsblip som passerte dem ved.
Det burde ikke.
Ikke å gi deg en forundring av Linux distros på Microsoft-tabletter er en ting, sikkert. Men de bredere implikasjonene av en gylden nøkkel lekker inn i det offentlige området for å låse opp potensielt millioner av enheter, er en annen.
For noen år siden tok The Washington Post et samtalekall for “kompromiss” på kryptering, foreslår at mens våre data åpenbart bør være utenfor grenser for hackere, kanskje Google og Apple et al bør ha en sikker gylden nøkkel. I en utmerket kritikk av nøyaktig hvorfor dette er en “Misforstått, farlig forslag,” Keybase co-creator Christ Coyne forklarer ganske enkelt det “Ærlig, gode mennesker er truet av noen bakdør som omgår sine egne passord.”
Vi bør alle streve for det maksimale sikkerhetsnivået mulig. Start året helt med en personlig sikkerhetskontroll. Start året helt med en personlig sikkerhetskontroll. Det er på tide å lage planer for det nye året, for eksempel å sikre at din personlige sikkerhet er oppe å klø. Her er 10 trinn du bør ta for å oppdatere alt ved hjelp av din PC, telefon eller nettbrett. Les mer, ikke regner med å svekke det ved den første tilgjengelige muligheten. Fordi som vi har sett ved flere anledninger, er disse super-duper skjelett-typen nøkkelen vil ende opp i feil hender.
Og når de gjør det, spiller vi alle et farlig spill av reaktivt forsvar, enten vi ville eller ikke.
Bør store teknologiselskaper skape bakdører i deres tjenester? Eller skal myndigheter og andre tjenester tenke på egen virksomhet og fokusere på å opprettholde sikkerheten?
Image Credit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock
Utforsk mer om: Datasikkerhet, Windows 10.