– «Secure Boot» kan skjule statlig avlytting

Kryptologiprofessor skeptisk til sikkerhetsordning i kommende pc-er.

UEFI Secure Boot innfører trolig bedre sikkerhet mot visse typer skadevare, men kan reduserer brukernes egen kontroll over hva som får kjøre på pc-en deres.
UEFI Secure Boot innfører trolig bedre sikkerhet mot visse typer skadevare, men kan reduserer brukernes egen kontroll over hva som får kjøre på pc-en deres. Bilde: Microsoft/Arie van der Hoeven
Harald BrombachHarald BrombachNyhetsleder
28. okt. 2011 - 07:36

Pc-leverandører som etter hvert skal tilby pc-er som er med i Microsofts Windows 8 logoprogram, vil utstyre pc-ene ikke bare med UEFI (Unified Extensible Firmware Interface) i stedet for klassisk BIOS (Basic Input/Output System), men også den relativt nye UEFI-funksjonaliteten Secure Boot.

Secure Boot krever at operativsystemet som benyttes er signert med en kryptologisk nøkkel for at det skal kunne kjøres Dette skal ifølge Microsoft kunne redusere faren for blant annet rootkits.

Til nå har har UEFI Secure Boot først og fremst blitt møtt med skepsis fra Linux-miljøer, som frykter at løsningen i verst fall kan hindre brukere av slike pc-er i å installere blant annet Linux på maskinene.

Denne uken har UEFI Secure Boot møtt kritikk fra et nytt hold. Ross Anderson, professor i sikkerhetsteknikk ved University of Cambridge, mener at det også er andre problemer knyttet til løsningen.

– Hvis den tyrkiske regjeringen tvang Microsoft til å inkludere TÜBİTAK-nøkkelen i Windows slik at deres etterretningstjenester kunne gjøre «man-in-the-middle»-angrep mot Gmail-en til kurdiske parlamentsmedlemmer, antar jeg at de også vil be Microsoft om å gi dem en UEFI-nøkkel som autentiserer keylogger-skadevaren deres, skriver Anderson i et blogginnlegg.

– Jeg har fjernet TÜBİTAK-nøkkelen fra nettleseren min, men hvordan kan jeg identifisere og blokkere UEFI-nøklene til alle utenlandske myndigheter?, skriver Anderson.

Digi.no har ikke funnet andre referanser til at slik Microsoft skal ha latt overtale av tyrkiske myndigheter. Dette etterlyses også i kommentarene til blogginnlegget.

– Folk har også begynt innse at å bygge signert oppstart inn i UEFI vil øke Microsofts kontroll over marked for antivirus-programvare og andre sikkerhetsverktøy som installeres eller kjøres ved oppstart av pc-en.

– Selv dersom brukerne kan velge bort dette (UEFI Secure Boot, red. anm.), vil de færreste gjøre det. Det er en rekke selskaper som plutselig finner ut at Steve Ballmers støvel presser på halspulsåren deres.

– Våre greske kolleger er allerede litt lei av Wall Street. Hvor glade vil de bli dersom de i framtiden ikke vil kunne installere den sikkerhetsprogramvaren de ønsker på pc-ene sine, mens det hemmelige, tyrkiske politiet vil kunne gjøre dette?, skriver Anderson.

Den tidligere skepsisen til UEFI Secure Boot har som nevnt kommet fra Linux-miljøer, som frykter at pc-leverandører vil tilby pc-er uten mulighet for å deaktivere Secure Boot-funksjonen eller på annen måte sikre at brukerne når som helst kan velge operativsystem fritt. Free Software Foundation har startet en underskriftskampanje mot det stiftelsen har valgt å kalle «Restricted Boot».

Red Hat-utvikleren Matthew Garrett, som var blant de første til å komme med advarsler om de mulige konsekvensene av UEFI Secure Boot, skriver her at han i utgangspunktet anser løsningen som verdifull, men mener at spørsmålet som må stilles er om sluttbrukeren gis mulighet til å administrere sine egne nøkler.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.