Microsoft vervangt certificaten Secure Boot: adviseert back-up BitLocker keys
Microsoft gaat de eigen certificaten gebruikt voor Secure Boot vervangen omdat die in 2026 verlopen en adviseert gebruikers van encryptiesoftware BitLocker om een back-up van hun keys te maken. Secure Boot is een beveiligingsmaatregel in de Unified Extensible Firmware Interface (UEFI) die ervoor moet zorgen dat er tijdens het opstarten van het systeem alleen vertrouwde software draait. Hiervoor maakt Secure Boot gebruik van digitale handtekeningen die worden vergeleken met vertrouwde digitale sleutels opgeslagen in de UEFI.
Secure Boot maakt gebruik van een 'certificate management system' waarbij certificaatautoriteiten worden gebruikt voor de opslag van digitale certificaten. Deze certificaatautoriteiten, die bestaan uit fabrikanten (OEM's) en Microsoft, genereren sleutelparen die de 'root of trust' van een systeem vormen. De door Secure Boot gebruikte Microsoft-certificaten verlopen in 2026. Microsoft is daarom nu al begonnen met het vervangen van de certificaten, wat gefaseerd plaatsvindt.
Een eerste update die hiervoor zorgt is nu beschikbaar gesteld. Het gaat hier om een optionele update. Vanaf april is Microsoft van plan om die onder alle Windowsgebruikers uit te rollen. Microsoft stelt dat het vaker Secure Boot-databases heeft geüpdatet, maar het de eerste keer is dat dit op een dergelijke grote schaal gebeurt. Voor organisaties en gebruikers die de update nu al willen uitrollen en met BitLocker werken adviseert Microsoft om eerst een back-up van de BitLocker keys te maken. Mocht het apparaat na de Secure Boot-update niet meer werken, is in ieder geval de harde schijf nog te ontsleutelen.
Ik heb gisteren na het updaten van Windows 10 Home een Xubuntu DVD in mijn computer gestopt, en die werkte nog steeds.
Als het niet meer werkt zal ik CSM (Compatibilty Support Module) in mijn BIOS moeten inschakelen om Secure Boot uit te zetten en mijn GPT harddisk opnieuw moeten formatteren voor Xubuntu als MBR. Maar dan ben ik ook helemaal van Microsoft af!
Ik heb gisteren na het updaten van Windows 10 Home een Xubuntu DVD in mijn computer gestopt, en die werkte nog steeds.
Als het niet meer werkt zal ik CSM (Compatibilty Support Module) in mijn BIOS moeten inschakelen om Secure Boot uit te zetten en mijn GPT harddisk opnieuw moeten formatteren voor Xubuntu als MBR. Maar dan ben ik ook helemaal van Microsoft af!
De combinatie Secure Boot + Volledige schijfversleuteling is een waardevol beveiligingselement voor sommige bedreigingsmodellen. Het beveiligen van het opstartproces dient een doel. Waarom zou je dit niet willen?
Overigens, de meeste moderne grote Linux-distributies die beveiliging serieus nemen (Fedora, RHEL, OpenSUSE, Ubuntu, Debian) ondersteunen dit zonder veel problemen. Andere distributies zoals Arch ondersteunen het, maar vereisen dat de gebruiker weet wat hij doet om het zelf in te stellen.
Maar mijn Windows 10 Home heeft geen mogelijkheid tot Bitlocker + Secure Boot.
Verder zal Veracrypt ook grote problemen hebben door het vervangen van dit certificaat door Microsoft. Net als Linux.
Mijn Xubuntu 22.04.3 LTS is van 10 Augustus 2023 19:50:57 volgens de handtekening. Waar haal ik een versie vandaan die met dit nieuwe certificaat van Microsoft werkt? Het enige wat ik kan doen over twee maanden als ik naar Linux wil overstappen is een oude computer pakken waarvan de UEFI nog niet deze update gehad heeft. Nu heb ik zo'n computer maar het is een hoop onnodig gedoe.
Anoniem 12:32
Maar mijn Windows 10 Home heeft geen mogelijkheid tot Bitlocker + Secure Boot.
Verder zal Veracrypt ook grote problemen hebben door het vervangen van dit certificaat door Microsoft. Net als Linux.
Mijn Xubuntu 22.04.3 LTS is van 10 Augustus 2023 19:50:57 volgens de handtekening. Waar haal ik een versie vandaan die met dit nieuwe certificaat van Microsoft werkt? Het enige wat ik kan doen over twee maanden als ik naar Linux wil overstappen is een oude computer pakken waarvan de UEFI nog niet deze update gehad heeft. Nu heb ik zo'n computer maar het is een hoop onnodig gedoe.
Anoniem 12:32
Het relevante certificaat voor third-party
vond ik.
En tegen die tijd haal je dan een Linux versie voor dat certificaat op dezelfde plek waar je de vorige vond ?
Maar ik snap je niet - als je het maar gezeur en gedoe vindt, dat secure boot verhaal ZET HET DAN UIT ?!
En als je al die crypto signing toch wel meerwaarde vindt hebben - dan moet je , net als bij al die andere crypto toepassingen (TLS, dnssec, pgp) maar leven met een key rollover zo af en toe.
Ik wou dat het kon. Ik heb meerdere keren gezocht in mijn BIOS, maar de enige manier om hier Secure Boot uit te zetten is door CSM aan te zetten. Kennelijk is mijn moederbord te nieuw om Secure Boot uit te kunnen zetten.
Verder staat in het artikel bovenaan:
Dus vanaf april ben ik de lul. Kan ik net nog mijn belastingen doen onder mijn huidige systeem. Het vervelende is dat je er niets van merkt tot je een niet Microsoft operating system wil installeren.
Anoniem 12:32
Als je weet hoe secure boot werkt en hoe je certificaten installeert in een UEFI-BIOS kun je dit zelf ook. Het platform is gestandaardiseerd en open; Microsoft is niet de enige die hiervoor certificaten uitgeeft, anderen doen dit ook. (HP, Dell en IBM bijvoorbeeld.)
Daarnaast heeft Microsoft veel samenwerking met Cononical, de makers van Ubuntu en contribueren ze ook aan de Linux Kernel. De tijd dat ze "geen belang" hadden bij Linux is allang vervlogen.
Je kunt een secure boot opzetten voor iedere Linux distributie met jouw eigen certificaten, bij de ene distro is het wat meer werk dan de andere maar alles wat je nodig hebt is OpenSSL, Grub en de EFI tools die deel uitmaken van de Linux Kernel. Arch linux heeft op hun wiki een mooie handleiding staan hoe het moet.
Ik wou dat het kon. Ik heb meerdere keren gezocht in mijn BIOS, maar de enige manier om hier Secure Boot uit te zetten is door CSM aan te zetten. Kennelijk is mijn moederbord te nieuw om Secure Boot uit te kunnen zetten.
Tsja, ik kan niet ruiken welk bord en bios jij hebt.
Misschien kan het inderdaad niet op jouw mobo. Of misschien zoek je niet goed.
Verder staat in het artikel bovenaan:
Dus vanaf april ben ik de lul. Kan ik net nog mijn belastingen doen onder mijn huidige systeem. Het vervelende is dat je er niets van merkt tot je een niet Microsoft operating system wil installeren.
Zoals je had kunnen afleiden uit mijn posting (of zelf wat verder zoeken) - er zijn meerdere UEFI certificaten.
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.
Dat vond ik op https://redmondmag.com/articles/2024/02/13/windows-secure-boot-update.aspx
Nog wat verder gezocht
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/updating-microsoft-secure-boot-keys/ba-p/4055324
Ook dit zegt
Anoniem 12:32
Je mag ook een beetje meer huisvlijt doen in plaats van alleen zielig zeggen dat je nog net je belastingaangifte kunt doen.
Dus pas eind van 2024 gaan de updates komen die evt het 'linux boot signing certificate' updaten - en tegen die tijd kun je dan gaan zoeken naar een Linux die daarmee gesigned is.
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.
Maar bij bijvoorbeeld Ubuntu van Canonical is de 'shim' ondertekend door Microsoft. Zonder shim kan je grub2 niet starten en zonder grub2 kan je Ubuntu niet starten. https://wiki.ubuntu.com/UEFI/SecureBoot/Testing
Precies zoals Secure Boot ontworpen is. Om het starten van software die niet door Microsoft is ondertekend te voorkomen. En die sleutel van Microsoft wordt vervangen vanwege een kwetsbaarheid in Secure Boot.
Anoniem 12:32
Degene waarmee Linux gesigned wordt staat voor 'late 2024' op de update planning.
Maar bij bijvoorbeeld Ubuntu van Canonical is de 'shim' ondertekend door Microsoft. Zonder shim kan je grub2 niet starten en zonder grub2 kan je Ubuntu niet starten. https://wiki.ubuntu.com/UEFI/SecureBoot/Testing
Precies zoals Secure Boot ontworpen is. Om het starten van software die niet door Microsoft is ondertekend te voorkomen. En die sleutel van Microsoft wordt vervangen vanwege een kwetsbaarheid in Secure Boot.
Anoniem 12:32
En als je nu eens echt goed leest (en je meer inleest in secure boot dan je gedaan hebt) - de betreffende sleutel waarmee dergelijke non-microsoft shims ondertekend worden gaat pas "laat in 2024" vervangen worden.
De sleutels waarmee windows zelf ondertekend wordt komen als eerste .
Er is geen reden om te verwachten dat Ubuntu shims e.a. met de nieuwe sleutel niet ondertekent zullen worden.
Ik heb een officieel Microsoft document gevonden, en ik ben er niet geruster op. Op of na April 9, 2024 werken mijn bootmedia niet meer en "The release schedule may be revised as needed". Dus ga ik er op wachten of haal ik mijn ethernet drivers uit Windows en zet ik de Windows Firewall dicht? Zodat mijn Shim certificaten niet in mijn moederbord's .dbx terecht komen? Hangt er vanaf hoe ik in mijn tijd zit. Windows 10 moet toch op slot eind volgend jaar, zit ik een jaartje eerder op Xubuntu.
Bron: https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#timing5025885
Anoniem 12:32
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.