"Secure Boot": Wer wird Ihren nächsten Computer kontrollieren?

Von

Matthias Kirschner am 2012-06-01

Das Ziel der FSFE ist, sicherzustellen dass die Eigentümer von IT-Geräten permanent die volle und alleinige Verfügungsgewalt über ihre IT-Geräte innehaben. Dieses grundlegende Prinzip wird aktuell in Frage gestellt.

Mit der Funktion "Secure Boot", die ab 2012 in Computern Einzug hält, streben Hersteller von IT-Hardware und Software danach, sich in eine Position zu bringen in der sie dauerhaft die IT-Geräte kontrollieren, die sie produzieren. Daher werden solche Geräte aus Sicht der Hersteller "sicher" sein, aber nicht unbedingt aus Sicht des Eigentümers: Der Eigentümer kann als Gegner behandelt werden. Durch das Verhindern von Einsatzmöglichkeiten, die der Hersteller nicht vorsieht, kann er beschränken und verhindern wozu die Universalmaschine Computer (z.B. ein PC, Laptop, Notebook) genutzt werden kann. Im Falle von IT-Geräten mit Internetzugang kann er diese Benutzungsbeschränkungen zu jeder Zeit verändern, sogar ohne den Geräteeigentümer zu informieren. Infolgedessen können IT-Hersteller nach ihrem Belieben grundlegende Rechte entziehen, die Eigentümer von Produkten gewöhnlich erhalten.

"Secure Boot": Pförtner zum Betriebssystem

Wenn IT-Geräte eingeschaltet werden, führen sie einen Startprozess aus, der Booten genannt wird. Im Falle eines Computers beinhaltet dieser Startprozess das Ausführen von einer sogenannten "Firmware". Diese Firmware wiederum startet ein anderes Programm, genannt "Bootloader", der dann das tatsächliche Betriebssystem lädt, mittels dem dann Anwendungsprogramme ausgeführt werden können. Im Jahr 2012 wird der industrieweite Übergang bei der Firmware von PCs, Notebooks, Server und anderen Computern vom klassischen BIOS zu UEFI nahezu abgeschlossen sein. Verglichen mit dem klassischen BIOS hat UEFI mehrere Vorteile, wie z.B. eine kürzere Startdauer, betriebssystemunabhängige Treiber und das Versprechen höherer Sicherheit.

Der Sicherheitsaspekt wird von einer Funktion namens "Secure Boot" abgedeckt. Seit UEFI 2.3.1 (veröffentlicht am 8. April 2011) stellt "Secure Boot" sicher, dass während des Startprozesses ausschließlich Software ausgeführt wird, die mit einer der vorinstallierten kryptographischen Signaturen übereinstimmt. Damit wird verhindert, dass während des Startvorgangs des Computers unerwünschte Software ausgeführt wird, indem jede Softwarekomponente (verschiedene Teile der UEFI-Firmware, der Bootloader, der Betriebssystemkernel, usw.) kryptographisch verifiziert wird, bevor sie gestartet wird. Deshalb müssen die zu benutzenden kryptographischen Signaturen in die UEFI-Signaturdatenbank jedes IT-Gerätes, das mit "Secure Boot" ausgestattet ist, installiert werden, bevor eine kryptographisch signierte Softwarekomponente auf dieser spezifischen Maschine gestartet werden kann.

Die FSFE erwartet, dass die große Mehrheit der Computerhersteller "Secure Boot" implementieren wird, da Microsoft angekündigt hat, dass Computerhersteller UEFI implementieren müssen, wenn sie für von ihnen gebaute Geräte eine Windows 8 Zertifizierung erhalten wollen, z.B. um das "Compatible with Windows 8"-Logo auf ihnen zu verwenden.

Universalmaschine Computer

Unsere Gesellschaft hat durch die Entwicklung des Computers über die letzten Jahrzehnte zu einer Universalmaschine ein leistungsfähiges Werkzeug geschaffen, mit dem alle möglichen Aufgaben von einer einzigen Maschine ausgeführt werden können. Nun haben IT-Hersteller herausgefunden, dass es in ihrem wirtschaftlichen Interesse liegen kann, die Fähigkeiten dieser Maschinen willkürlich zu beschränken. Mit "Secure Boot" wird es Eigentümern von IT-Geräten unmöglich sein, unabhängig über den Gebrauch ihrer Maschinen zu entscheiden, da sie nicht frei bestimmen können, welche Software ablaufen können soll.

Die Instanz, die letztendlich kontrolliert welche Software auf einem Gerät ausgeführt werden kann und somit die konkreten Funktionen eines Geräts festlegt, hat schließlich die Kontrolle über alle Daten, die vom Gerät verarbeitet und gespeichert werden. Das kann zur Folge haben, dass der Eigentümer des IT-Geräts nicht mehr die alleinige Verfügungsgewalt über seine eigenen Daten innehat.

Welche Geräte betrifft das?

Gegenwärtig begründen viele ihre Analyse der Situation in Bezug auf UEFI auf den "Windows 8 Hardware Certification Requirements", von Microsoft im Dezember 2011 herausgegeben. Es versteht sich von selbst, dass Microsoft keine Versionen dieser Hardware-Zertifizierungsvorgaben öffentlich machen musste bzw. muss, da sie die Grundlage für einen individuellen Vertrag zwischen Microsoft und jedem Hardwarehersteller bilden, der Microsofts Windows 8 Zertifizierung für seine Geräte erhalten will. Daher können sich die "Windows 8 Hardware Certification Requirements" jederzeit ohne öffentliche Bekanntmachung ändern, oder bestimmte Details für die Logo-Zertifizierung können sich zwischen Herstellern unterscheiden: Alles passiert nach Microsofts Willen und größtenteils hinter geschlossenen Türen. Deshalb kann sich niemand auf die veröffentlichten Versionen der "Windows 8 Hardware Certification Requirements" verlassen, sondern die Angaben bezüglich "Secure Boot" als ein "bewegliches Ziel" betrachten.

Also ist das Problem von "Secure Boot" nicht beschränkt auf "Connected Standby Systems" (wahrscheinlich ein großer Teil des zukünftigen Markts von Notebooks, Netbooks und PCs) und Computern basierend auf ARM-Mikroprozessoren (hauptsächlich "Tablets" und Mobiltelefone), sondern kann von Microsoft jederzeit auf jede Art von Gerät erweitert werden. Genauso können Hersteller, die keine Geräte für Windows 8 herstellen, UEFI "Secure Boot" oder andere Startprozesse einsetzen, die mit Hilfe von kryptographischen Signaturen beschränkt werden. TiVo tut dies seit einem Jahrzehnt und verschiedene Spielkonsolen, von Sony bis Microsoft, benutzen ebenfalls kryptographisch beschränkte Startprozesse. Andere Gerätehersteller könnten Spezifikationen oder Vorgaben ähnlich den "Windows 8 Hardware Certification Requirements" einsetzen, um die Einsatzmöglichkeiten von IT-Geräten künstlich zu begrenzen.

Ausweiten dieser Beschränkungen auf Anwendungsprogramme?

Während die UEFI "Secure Boot"-Spezifikation (sowie die Spezifikationen der Trusted Computing Group, die "Trusted Boot" definieren) den primären Startprozess bis hin zum Betriebssystemkernel abdecken, ist die Infrastruktur zur Erweiterung der Signaturprüfung aller auf einem Computer ablaufenden Software ausgereift und funktionierend in mehreren Betriebssystemen vorhanden. Aber neben Windows 8 wird es zur Zeit nur bei Gerätetreibern für Windows erzwungen.

Bedrohung für den Universalcomputer

Wenn all diese Maßnahmen unter alleiniger Kontrolle der Geräteeigentümer stünden, könnten sie in ihrem besten Interesse sein, da sie helfen die Sicherheit des Startprozesses zu verbessern, der bis heute weitgehend ungesichert ist. Das wäre der Fall, wenn die vom UEFI-Forum und der Trusted Computer Group (TCG) spezifizierten Sicherheitssubsysteme dem Eigentümer permanente, volle und alleinige Verfügungsgewalt über die Konfiguration und Verwaltung dieser Sicherheitssubsysteme technisch gewährleisteten, was die Erstellung, Speicherung, Benutzung und Löschung der kryptographischen Schlüssel, Zertifikate und Signaturen einschließt. Aber sobald andere Instanzen neben dem Geräteeigentümer diese Sicherheitssubsysteme nutzen können, ermöglicht das ihnen, unbeabsichtigte oder einfach unvorhergesehene Nutzungsformen dieser IT-Geräte zu unterbinden.

Daher kann mit der Implementierung von "Secure Boot" die Verfügbarkeit von echten Universalcomputern unter voller Kontrolle ihrer Eigentümer stark reduziert werden. Durch Maßnahmen wie "Secure Boot" unter Kontrolle einer Firma signifikant beschränkte Geräte, werden gewöhnlicherweise "Appliances" oder "Embedded Systems" genannt (z.B. "Media Centers", Telefone, "E-Bookreader"). Deshalb werden zumindest einige Geräte mit Windows 8 eher eine "Windows-Appliance" darstellen, als einen gebräuchlichen Computer. Während es für solche Appliances einen Markt geben mag, fordert die FSFE, dass IT-Geräte, die auf von einer Firma vorgesehenen Nutzungsmodelle beschränkt sind, eindeutig gekennzeichnet werden, um potentielle Käufer ordentlich zu informieren.

Ist das Umgehen dieser Einschränkungen eine Option?

IT-affine Personen, denken womöglich, dass sie solche Maßnahmen bereits gesehen haben, und die meisten davon wurden geknackt. Das war der Fall bei verschiedenen Modellen der PlayStation- und Xbox-Spielkonsolen, sowie bei vielen neueren Mobiltelefonen. Dieses Mal aber ist die Qualität und der Umfang größer:

UEFI "Secure Boot" zielt hauptsächlich auf herkömmliche PCs ab.
Es wird von weiten Teilen der IT-Industrie unterstützt, siehe z.B. die Mitglieder des UEFI Forums.
Das Design und die Spezifikation sind das Ergebnis gemeinsamer Bemühungen von IT-Ingenieuren vieler Firmen. Zudem basiert es auf einem Jahrzehnt Erfahrung mit signaturbasierten Startprozessen und meidet daher viele klassische Fallstricke, z.B. das Fehlen eines ordentlich spezifizierten und kryptographisch gesicherten (UEFI) Firmware-Aktualisierungsprozesses.
Es verwendet hardwarebasierte Sicherheitssubsysteme, wie z.B. von der TCG spezifiziert (TPM oder MTM, und begleitende Spezifikationen): Während die UEFI-Spezifikation keine bestimmte Implementierung eines "geschützten Speichers (protected storage)" für kryptographische Schlüssel, Zertifikate und Signaturen verlangt, passen die aktuellen TCG-Spezifikationen (seit 2011) gut.
Sicherheitslücken in "Secure Boot"-Implementierungen sind zu erwarten (wie in jeder Software), da es aber kommerziellen Wettbewerb zwischen UEFI-Anbietern geben wird, liegt es in ihrem besten Interesse diese Sicherheitslücken zu schließen. In der Vergangenheit wurden dagegen kryptographisch beschränkte Startprozesse nur von einzelnen Herstellern für ihre eigenen, speziellen Geräte implementiert: TiVo Inc. für ihre TIVOs, Microsoft für verschiedene Generationen ihrer Xbox sowie Sony für ihre Playstation-Modelle.

Obwohl viele ähnliche Benutzungseinschränkungen in der Vergangenheit geknackt wurden, zeigt dies nur, dass ihre technischen Implementationen mangelhaft und offen für Schadsoftware waren und daher nicht die "Sicherheit" bereitstellten, für die sie ausgelegt wurden. Obgleich dies wahrscheinlich auch für einige "Secure Boot"-Implementierungen gelten wird, kann das Brechen dieser Mechanismen niemals eine Lösung der Probleme mit den Freiheiten des Eigentümers oder dem Mangel an Kontrollierbarkeit durch den Geräteeigentümer darstellen.

Forderungen der FSFE

Um anhaltendes Wachstum in der Entwicklung und Nutzung von Software aufrecht zu erhalten, ist eine breite Verfügbarkeit von Universalcomputern entscheidend.

Die FSFE fordert: Käufer müssen vor dem Erwerb eines Gerätes klar und deutlich auf die in diesem Gerät implementierten technischen Maßnahmen, sowie über die genauen Nutzungsschranken und die Konsequenzen für den Eigentümer hingewiesen werden.

Zudem empfiehlt die FSFE dringend ausschließlich IT-Geräte zu erwerben, die ihrem Eigentümer permanent die volle und alleinige Verfügungsgewalt über Sicherheits-Subsysteme (z.B. signaturbasierte Nutzungsschranken) gewähren, damit die Fähigkeit beibehalten wird beliebige Software zu installieren und letztendlich die exklusive Kontrolle über die eigenen Daten sicher zu stellen.