Durch den irrtümlich im Code hinterlassenen ‚Goldenen Schlüssel‘ kann Secure Boot auf „sicheren“ Systemen umgangen werden. Abhilfe ist noch nicht in Sicht.
Die Sicherheitsmaßnahme Secure Boot soll Geräte davor schützen, dass nicht signierte Versionen eines Betriebssystems ausgeführt werden können. Das schützt auch vor Schadsoftware, da manipulierte Fassungen einer Software nicht gestartet werden können.
Secure Boot oft im BIOS abschaltbar
Auf dem Desktop kann Secure Boot meist im BIOS abgeschaltet werden. Auf vielen Laptops und Notebooks auch, aber auf kompakten Geräten, wie Tablets und Smartphones sieht das schon anders aus.
Dort ist Secure Boot so in die Firmware integriert, dass es nicht umgangen oder abgeschaltet werden kann. Eigentlich zumindest.
Sicherheitsforscher haben jetzt eine Policy, sozusagen einen ‚Goldenen Schlüssel oder eine Hintertür entdeckt, die den Secure Boot Check durch Windows generell abschaltet.
Er wurde in Code-Teilen, die eigentlich wohl für das interne Debuggen der Software gedacht waren und nur irrtümlich in der Software verblieben, entdeckt.
Hintertür vielleicht nicht schließbar
Microsoft hat mittlerweile zwei Patches veröffentlicht, die das Problem zum Teil angehen, aber keine wirkliche Lösung darstellen. Möglicherweise kann diese Lücke nie richtig geschlossen werden.
Ein schönes Beispiel dafür, warum allgemeine Hintertüren oder goldene Schlüssel für Verschlüsselungssysteme eine wirklich schlechte Idee sind.
Diese werden ja immer mal wieder von unseren Politikern und Geheimdiensten gefordert. Wie letztens in den USA vom FBI an die Adresse von Apple.
Wenn eine solche generelle Hintertür existiert, kann sie auch entdeckt werden. Und dann von Jedermann, nicht nur den intendierten, autorisierten, staatlichen Organen genutzt werden.
Damit ist die Sicherheitsmaßnahme oder der Sinn von Verschlüsselung hinfällig. Sichere Systeme sind aber notwendig. Zu viel hängt mittlerweile an der Steuerung durch Computersysteme und es wird nicht weniger werden.