image

Microsoft vervangt certificaten Secure Boot: adviseert back-up BitLocker keys

woensdag 14 februari 2024, 11:13 door Redactie, 13 reacties

Microsoft gaat de eigen certificaten gebruikt voor Secure Boot vervangen omdat die in 2026 verlopen en adviseert gebruikers van encryptiesoftware BitLocker om een back-up van hun keys te maken. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. Hiervoor maakt Secure Boot gebruik van digitale handtekeningen die worden vergeleken met vertrouwde digitale sleutels opgeslagen in de UEFI.

Secure Boot maakt gebruik van een 'certificate management system' waarbij certificaatautoriteiten worden gebruikt voor de opslag van digitale certificaten. Deze certificaatautoriteiten, die bestaan uit fabrikanten (OEM's) en Microsoft, genereren sleutelparen die de 'root of trust' van een systeem vormen. De door Secure Boot gebruikte Microsoft-certificaten verlopen in 2026. Microsoft is daarom nu al begonnen met het vervangen van de certificaten, wat gefaseerd plaatsvindt.

Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen. Microsoft stelt dat het vaker Secure Boot-databases heeft geüpdatet, maar het de eerste keer is dat dit op een dergelijke grote schaal gebeurt. Voor organisaties en gebruikers die de update nu al willen uitrollen en met BitLocker werken adviseert Microsoft om eerst een back-up van de BitLocker keys te maken. Mocht het apparaat na de Secure Boot-update niet meer werken, is in ieder geval de harde schijf nog te ontsleutelen.

Reacties (13)
14-02-2024, 11:33 door Anoniem
Gaat dit ook voor servers gelden? Mogelijk word dat door een luie/onoplettende admin verzuimd. Zou best wat impact hebben als daardoor de server niet meer opstart (wanneer die voor onderhoud uit gaat).
14-02-2024, 12:32 door Anoniem
Deze Secure Boot certificaten betekenen dat je daarna Linux niet meer kan installeren. Want je kan de certificate updates niet terugdraaien. En bijvoorbeeld Debian heeft problemen met Secure boot lees ik. Misschien dat Ubuntu wel nog werkt omdat die meer dat soort dingen doen.

Ik heb gisteren na het updaten van Windows 10 Home een Xubuntu DVD in mijn computer gestopt, en die werkte nog steeds.

Als het niet meer werkt zal ik CSM (Compatibilty Support Module) in mijn BIOS moeten inschakelen om Secure Boot uit te zetten en mijn GPT harddisk opnieuw moeten formatteren voor Xubuntu als MBR. Maar dan ben ik ook helemaal van Microsoft af!
14-02-2024, 14:46 door Anoniem
Door Anoniem: Deze Secure Boot certificaten betekenen dat je daarna Linux niet meer kan installeren. Want je kan de certificate updates niet terugdraaien. En bijvoorbeeld Debian heeft problemen met Secure boot lees ik. Misschien dat Ubuntu wel nog werkt omdat die meer dat soort dingen doen.
Dat is precies het probleem met secure boot: Het uitgeven van certificaten ligt in handen van 1 commerciële partij die geen enkel belang heeft om hun concurrenten te helpen. Daardoor heeft iedereen behalve die ene partij "problemen met secure boot".

Als het niet meer werkt zal ik CSM (Compatibilty Support Module) in mijn BIOS moeten inschakelen om Secure Boot uit te zetten en mijn GPT harddisk opnieuw moeten formatteren voor Xubuntu als MBR. Maar dan ben ik ook helemaal van Microsoft af!
In mijn ervaring is secure boot altijd een aparte instelling die je uit kunt schakelen, in ieder geval op x86 of amd64 machines.
14-02-2024, 14:58 door Anoniem
Door Anoniem: Deze Secure Boot certificaten betekenen dat je daarna Linux niet meer kan installeren. Want je kan de certificate updates niet terugdraaien. En bijvoorbeeld Debian heeft problemen met Secure boot lees ik. Misschien dat Ubuntu wel nog werkt omdat die meer dat soort dingen doen.

Ik heb gisteren na het updaten van Windows 10 Home een Xubuntu DVD in mijn computer gestopt, en die werkte nog steeds.

Als het niet meer werkt zal ik CSM (Compatibilty Support Module) in mijn BIOS moeten inschakelen om Secure Boot uit te zetten en mijn GPT harddisk opnieuw moeten formatteren voor Xubuntu als MBR. Maar dan ben ik ook helemaal van Microsoft af!

De combinatie Secure Boot + Volledige schijfversleuteling is een waardevol beveiligingselement voor sommige bedreigingsmodellen. Het beveiligen van het opstartproces dient een doel. Waarom zou je dit niet willen?

Overigens, de meeste moderne grote Linux-distributies die beveiliging serieus nemen (Fedora, RHEL, OpenSUSE, Ubuntu, Debian) ondersteunen dit zonder veel problemen. Andere distributies zoals Arch ondersteunen het, maar vereisen dat de gebruiker weet wat hij doet om het zelf in te stellen.
15-02-2024, 09:14 door Anoniem
Door Anoniem: De combinatie Secure Boot + Volledige schijfversleuteling is een waardevol beveiligingselement voor sommige bedreigingsmodellen. Het beveiligen van het opstartproces dient een doel. Waarom zou je dit niet willen?

Maar mijn Windows 10 Home heeft geen mogelijkheid tot Bitlocker + Secure Boot.

Verder zal Veracrypt ook grote problemen hebben door het vervangen van dit certificaat door Microsoft. Net als Linux.

Overigens, de meeste moderne grote Linux-distributies die beveiliging serieus nemen (Fedora, RHEL, OpenSUSE, Ubuntu, Debian) ondersteunen dit zonder veel problemen. Andere distributies zoals Arch ondersteunen het, maar vereisen dat de gebruiker weet wat hij doet om het zelf in te stellen.

Mijn Xubuntu 22.04.3 LTS is van 10 Augustus 2023 19:50:57 volgens de handtekening. Waar haal ik een versie vandaan die met dit nieuwe certificaat van Microsoft werkt? Het enige wat ik kan doen over twee maanden als ik naar Linux wil overstappen is een oude computer pakken waarvan de UEFI nog niet deze update gehad heeft. Nu heb ik zo'n computer maar het is een hoop onnodig gedoe.

Anoniem 12:32
15-02-2024, 11:31 door Anoniem
Door Anoniem:
Door Anoniem: De combinatie Secure Boot + Volledige schijfversleuteling is een waardevol beveiligingselement voor sommige bedreigingsmodellen. Het beveiligen van het opstartproces dient een doel. Waarom zou je dit niet willen?

Maar mijn Windows 10 Home heeft geen mogelijkheid tot Bitlocker + Secure Boot.

Verder zal Veracrypt ook grote problemen hebben door het vervangen van dit certificaat door Microsoft. Net als Linux.

Overigens, de meeste moderne grote Linux-distributies die beveiliging serieus nemen (Fedora, RHEL, OpenSUSE, Ubuntu, Debian) ondersteunen dit zonder veel problemen. Andere distributies zoals Arch ondersteunen het, maar vereisen dat de gebruiker weet wat hij doet om het zelf in te stellen.

Mijn Xubuntu 22.04.3 LTS is van 10 Augustus 2023 19:50:57 volgens de handtekening. Waar haal ik een versie vandaan die met dit nieuwe certificaat van Microsoft werkt? Het enige wat ik kan doen over twee maanden als ik naar Linux wil overstappen is een oude computer pakken waarvan de UEFI nog niet deze update gehad heeft. Nu heb ik zo'n computer maar het is een hoop onnodig gedoe.

Anoniem 12:32

Het relevante certificaat voor third-party
Updates to the "UEFI CA 2011 (aka third-party UEFI CA) and Microsoft Corporation KEK CA 2011 will begin late 2024."

vond ik.

En tegen die tijd haal je dan een Linux versie voor dat certificaat op dezelfde plek waar je de vorige vond ?

Maar ik snap je niet - als je het maar gezeur en gedoe vindt, dat secure boot verhaal ZET HET DAN UIT ?!

En als je al die crypto signing toch wel meerwaarde vindt hebben - dan moet je , net als bij al die andere crypto toepassingen (TLS, dnssec, pgp) maar leven met een key rollover zo af en toe.
15-02-2024, 12:11 door Anoniem
Door Anoniem: Maar ik snap je niet - als je het maar gezeur en gedoe vindt, dat secure boot verhaal ZET HET DAN UIT ?!

Ik wou dat het kon. Ik heb meerdere keren gezocht in mijn BIOS, maar de enige manier om hier Secure Boot uit te zetten is door CSM aan te zetten. Kennelijk is mijn moederbord te nieuw om Secure Boot uit te kunnen zetten.

Verder staat in het artikel bovenaan:
Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen.

Dus vanaf april ben ik de lul. Kan ik net nog mijn belastingen doen onder mijn huidige systeem. Het vervelende is dat je er niets van merkt tot je een niet Microsoft operating system wil installeren.

Anoniem 12:32
15-02-2024, 13:06 door Anoniem
Het uitgeven van certificaten ligt in handen van 1 commerciële partij die geen enkel belang heeft om hun concurrenten te helpen.

Als je weet hoe secure boot werkt en hoe je certificaten installeert in een UEFI-BIOS kun je dit zelf ook. Het platform is gestandaardiseerd en open; Microsoft is niet de enige die hiervoor certificaten uitgeeft, anderen doen dit ook. (HP, Dell en IBM bijvoorbeeld.)

Daarnaast heeft Microsoft veel samenwerking met Cononical, de makers van Ubuntu en contribueren ze ook aan de Linux Kernel. De tijd dat ze "geen belang" hadden bij Linux is allang vervlogen.

Je kunt een secure boot opzetten voor iedere Linux distributie met jouw eigen certificaten, bij de ene distro is het wat meer werk dan de andere maar alles wat je nodig hebt is OpenSSL, Grub en de EFI tools die deel uitmaken van de Linux Kernel. Arch linux heeft op hun wiki een mooie handleiding staan hoe het moet.
15-02-2024, 16:04 door Anoniem
Door Anoniem:
Door Anoniem: Maar ik snap je niet - als je het maar gezeur en gedoe vindt, dat secure boot verhaal ZET HET DAN UIT ?!

Ik wou dat het kon. Ik heb meerdere keren gezocht in mijn BIOS, maar de enige manier om hier Secure Boot uit te zetten is door CSM aan te zetten. Kennelijk is mijn moederbord te nieuw om Secure Boot uit te kunnen zetten.

Tsja, ik kan niet ruiken welk bord en bios jij hebt.

Misschien kan het inderdaad niet op jouw mobo. Of misschien zoek je niet goed.


Verder staat in het artikel bovenaan:
Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen.

Dus vanaf april ben ik de lul. Kan ik net nog mijn belastingen doen onder mijn huidige systeem. Het vervelende is dat je er niets van merkt tot je een niet Microsoft operating system wil installeren.

Zoals je had kunnen afleiden uit mijn posting (of zelf wat verder zoeken) - er zijn meerdere UEFI certificaten.
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.

Dat vond ik op https://redmondmag.com/articles/2024/02/13/windows-secure-boot-update.aspx

Nog wat verder gezocht
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/updating-microsoft-secure-boot-keys/ba-p/4055324
Ook dit zegt
Meanwhile, efforts to update the Microsoft UEFI CA 2011 (aka third-party UEFI CA) and Microsoft Corporation KEK CA 2011 will begin late 2024, and will follow a similar controlled rollout process as this DB update.


Anoniem 12:32

Je mag ook een beetje meer huisvlijt doen in plaats van alleen zielig zeggen dat je nog net je belastingaangifte kunt doen.
Dus pas eind van 2024 gaan de updates komen die evt het 'linux boot signing certificate' updaten - en tegen die tijd kun je dan gaan zoeken naar een Linux die daarmee gesigned is.
15-02-2024, 16:40 door Anoniem
Geeft microsoft de linux community ook toegang of wachten ze eerst een rechtzaak af waar ze een schikking doen?
15-02-2024, 17:18 door Anoniem
Door Anoniem: Zoals je had kunnen afleiden uit mijn posting (of zelf wat verder zoeken) - er zijn meerdere UEFI certificaten.
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.

Maar bij bijvoorbeeld Ubuntu van Canonical is de 'shim' ondertekend door Microsoft. Zonder shim kan je grub2 niet starten en zonder grub2 kan je Ubuntu niet starten. https://wiki.ubuntu.com/UEFI/SecureBoot/Testing

Precies zoals Secure Boot ontworpen is. Om het starten van software die niet door Microsoft is ondertekend te voorkomen. En die sleutel van Microsoft wordt vervangen vanwege een kwetsbaarheid in Secure Boot.

Anoniem 12:32
15-02-2024, 18:25 door Anoniem
Door Anoniem:
Door Anoniem: Zoals je had kunnen afleiden uit mijn posting (of zelf wat verder zoeken) - er zijn meerdere UEFI certificaten.
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.

Maar bij bijvoorbeeld Ubuntu van Canonical is de 'shim' ondertekend door Microsoft. Zonder shim kan je grub2 niet starten en zonder grub2 kan je Ubuntu niet starten. https://wiki.ubuntu.com/UEFI/SecureBoot/Testing

Precies zoals Secure Boot ontworpen is. Om het starten van software die niet door Microsoft is ondertekend te voorkomen. En die sleutel van Microsoft wordt vervangen vanwege een kwetsbaarheid in Secure Boot.

Anoniem 12:32

En als je nu eens echt goed leest (en je meer inleest in secure boot dan je gedaan hebt) - de betreffende sleutel waarmee dergelijke non-microsoft shims ondertekend worden gaat pas "laat in 2024" vervangen worden.
De sleutels waarmee windows zelf ondertekend wordt komen als eerste .

Er is geen reden om te verwachten dat Ubuntu shims e.a. met de nieuwe sleutel niet ondertekent zullen worden.
17-02-2024, 20:13 door Anoniem
Door Anoniem: En als je nu eens echt goed leest (en je meer inleest in secure boot dan je gedaan hebt) - de betreffende sleutel waarmee dergelijke non-microsoft shims ondertekend worden gaat pas "laat in 2024" vervangen worden.

Ik heb een officieel Microsoft document gevonden, en ik ben er niet geruster op. Op of na April 9, 2024 werken mijn bootmedia niet meer en "The release schedule may be revised as needed". Dus ga ik er op wachten of haal ik mijn ethernet drivers uit Windows en zet ik de Windows Firewall dicht? Zodat mijn Shim certificaten niet in mijn moederbord's .dbx terecht komen? Hangt er vanaf hoe ik in mijn tijd zit. Windows 10 moet toch op slot eind volgend jaar, zit ik een jaartje eerder op Xubuntu.

Bron: https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#timing5025885

Anoniem 12:32
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.