image

NSA publiceert aanbevelingen voor gebruik van UEFI Secure Boot

woensdag 16 september 2020, 15:27 door Redactie, 11 reacties

De Amerikaanse geheime dienst NSA heeft een nieuw document gepubliceerd waarin het aanbevelingen doet voor het gebruik van UEFI Secure Boot. Secure Boot werd in 2012 door Microsoft geïntroduceerd als maatregel om rootkits tegen te gaan.

Via dit mechanisme wordt gecontroleerd dat de code die de firmware van de computer laadt te vertrouwen is. Secure Boot doet dit door de digitale handtekening van een bestand te controleren voordat het geladen wordt. Volgens de NSA staat Secure Boot vanwege incompatibele hardware en software vaak niet ingeschakeld. Secure Boot kan echter worden aangepast om in verschillende omgevingen te kunnen werken, aldus de geheime dienst in het document "UEFI Secure Boot Customization" (pdf).

In plaats van Secure Boot uit te schakelen zouden systeembeheerders Secure Boot juist moeten aanpassen, bijvoorbeeld via eigen certificaten, digitale handtekeningen en hashes, om zo van de beveiligingsvoordelen gebruik te kunnen maken, zo stelt de NSA. Afhankelijk van de implementatie zullen organisaties hun eigen bootbestanden en drivers moeten signeren. Hoe dit moet worden gedaan legt de geheime dienst in het document uit. Wel waarschuwt de NSA dat het aanpassen van Secure Boot ervoor kan zorgen dat een systeem niet meer start. In dit geval moet Secure Boot tijdelijk worden uitgeschakeld en de standaard configuratie worden teruggezet.

Verder adviseert de NSA om computers die van een legacy BIOS of de Compatibility Support Module (CSM) gebruikmaken te migreren naar UEFI native mode. Tevens moet Secure Boot op alle endpoints zijn geschakeld. Ook raadt de NSA aan om een firmwarewachtwoord in te stellen, firmware-updates zo snel als mogelijk te installeren en de integriteit van de firmware en Secure Boot-configuratie via een Trusted Platform Module (TPM) te controleren.

Image

Reacties (11)
16-09-2020, 16:16 door Anoniem
Ik vind het leuk dat secure boot UEFI bestaat, maar ik heb eens - door een persoonlijke fout - drivers geladen die, zo later bleek, niet ondertekend bleken te zijn. Hierdoor was ik niet meer in staat om toegang tot mijn eigen laptop te krijgen. Het heeft drie dagen geduurd voordat ik een methode vond om binnen te komen. Het eerste wat ik toen gedaan heb was om UEFI uit te schakelen en LegacyBIOS aan te zetten. Voor mij hoeft UEFI niet meer.
16-09-2020, 18:17 door Anoniem
Door Anoniem: Ik vind het leuk dat secure boot UEFI bestaat, maar ik heb eens - door een persoonlijke fout - drivers geladen die, zo later bleek, niet ondertekend bleken te zijn. Hierdoor was ik niet meer in staat om toegang tot mijn eigen laptop te krijgen. Het heeft drie dagen geduurd voordat ik een methode vond om binnen te komen. Het eerste wat ik toen gedaan heb was om UEFI uit te schakelen en LegacyBIOS aan te zetten. Voor mij hoeft UEFI niet meer.
Dus, omdat het werkte, heb je het maar uitgezet. Logisch!
16-09-2020, 19:23 door Anoniem
steeds meer nieuwe laptops hebben geen legacy bios meer, alleen UEFI is beschikbaar
16-09-2020, 23:41 door Anoniem
Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
17-09-2020, 06:49 door Password1234
Uit de PDF:
The following dependencies are required on a development or testing machine:
(Linux and/or Windows) Openssl 0.9.8

Waarom zou je verplicht zo'n oude versie moeten gebruiken?
17-09-2020, 12:26 door Anoniem
Door Anoniem: Ik vind het leuk dat secure boot UEFI bestaat, maar ik heb eens - door een persoonlijke fout - drivers geladen die, zo later bleek, niet ondertekend bleken te zijn. Hierdoor was ik niet meer in staat om toegang tot mijn eigen laptop te krijgen. Het heeft drie dagen geduurd voordat ik een methode vond om binnen te komen. Het eerste wat ik toen gedaan heb was om UEFI uit te schakelen en LegacyBIOS aan te zetten. Voor mij hoeft UEFI niet meer.

Secure Boot is niet hetzelfde als UEFI, je kan prima UEFI gebruiken met Secure Boot uitgeschakeld.
17-09-2020, 19:19 door Anoniem
Door Anoniem: Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
Bron graag hiervan of is dit zo'n laster gevalletje?
18-09-2020, 08:12 door Password1234
Door Anoniem:
Door Anoniem: Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
Bron graag hiervan of is dit zo'n laster gevalletje?
Even los van die opmerking.
Had je mijn quote uit die PDF gezien?
The following dependencies are required on a development or testing machine:
(Linux and/or Windows) Openssl 0.9.8
Wederom de vraag: Waarom zou je verplicht zo'n oude versie moeten gebruiken?
18-09-2020, 10:39 door Anoniem
Door Password1234:
Door Anoniem:
Door Anoniem: Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
Bron graag hiervan of is dit zo'n laster gevalletje?
Even los van die opmerking.
Had je mijn quote uit die PDF gezien?
The following dependencies are required on a development or testing machine:
(Linux and/or Windows) Openssl 0.9.8
Wederom de vraag: Waarom zou je verplicht zo'n oude versie moeten gebruiken?
Dus geen bron beschikbaar, dat de NSA een achterdeur verplicht had. DAT was mijn vraag. Je draait er weer omheen!
19-09-2020, 07:25 door Password1234
Door Anoniem:
Door Password1234:
Door Anoniem:
Door Anoniem: Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
Bron graag hiervan of is dit zo'n laster gevalletje?
Even los van die opmerking.
Had je mijn quote uit die PDF gezien?
The following dependencies are required on a development or testing machine:
(Linux and/or Windows) Openssl 0.9.8
Wederom de vraag: Waarom zou je verplicht zo'n oude versie moeten gebruiken?
Dus geen bron beschikbaar, dat de NSA een achterdeur verplicht had. DAT was mijn vraag. Je draait er weer omheen!
Die is er niet, maar aanwijzingen zijn er wel (als je de PDF had gelezen, naast die ene regel die ik uitgelicht had).
Had je de andere software verplichtingen gelezen, en de dubieuze bron daarvan?
19-09-2020, 17:43 door Anoniem
Door Password1234:
Door Anoniem:
Door Password1234:
Door Anoniem:
Door Anoniem: Wat is dit toch?
De NSA heeft zelf ontwerp eisen geïntroduceerd bij de ontwikkeling van UEFI.
Is het niet lek genoeg voor de NSA?
Of zijn ze de mensen van de vorige 3 administraties daar aan het lozen?
Bron graag hiervan of is dit zo'n laster gevalletje?
Even los van die opmerking.
Had je mijn quote uit die PDF gezien?
The following dependencies are required on a development or testing machine:
(Linux and/or Windows) Openssl 0.9.8
Wederom de vraag: Waarom zou je verplicht zo'n oude versie moeten gebruiken?
Dus geen bron beschikbaar, dat de NSA een achterdeur verplicht had. DAT was mijn vraag. Je draait er weer omheen!
Die is er niet, maar aanwijzingen zijn er wel (als je de PDF had gelezen, naast die ene regel die ik uitgelicht had).
Had je de andere software verplichtingen gelezen, en de dubieuze bron daarvan?
Aanwijzingen zijn een bron, tenzij ze gelogen zijn. Als ze waar zijn, moet je daarvoor bewijzen hebben, anders zijn het weer onderbuikreacties! Dus wat is het?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.