Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
WindowsMicrosoft Windows 11 sperrt bald alte Prozessoren aus die nativ nicht unterstützt werden
Ich hab´s hier manchmal schon in Erinnerung gerufen (und nicht immer Zustimmung geerntet): Leute, macht Coreboot auf Eure Geräte!
Dann seid Ihr diejenigen, die Kontrolle sowohl über Zertifikat und Schlüssel, als auch über ein (un-)kompromittiertes Boot-Image haben (via Heads z.B.). Dann ist es nicht MS oder Intel (oder Apple), die Euch eine (sichere) Inbetriebnahme erlauben (oder verbieten), und jenseits dessen seid ihr unabhängig von einer Netzwerkverbindung.
Ich weiß, das ist keine Lösung für alle. Aber mittlerweile ist´s auch kein Hexenwerk mehr. Wer Heads nicht selber kompilieren mag (oder kann), kann fertige Images auch über Nitrokey beziehen (dann natürlich nur für die Geräte, die die auch verkaufen). Mittlerweile ist selbst die Aktualisierung aus Heads heraus bedeutend einfacher zu bewerkstelligen als z.B. auf mancher Hardware, deren UEFI von "American Megatrends" stammt ...
Ganz genau.
Wenn ich so paranoid bin, dass ich auch den Nitrokey-Leuten nicht traue, dann kompiliere ich (wie oben erwähnt) selbst.
Diese Freiheit habe ich bei proprietärer Firmware nicht. Nirgends. Ich kenne keine.
Da es inzwischen Angriffsvektoren für Ring -2 (zumindest für AMD) gibt ist Coreboot dann auch vergebene Liebesmüh. Im Endeffekt muss ich spätestens dem Hardwarehersteller vertrauen und dann am Liefertag des Netzteils Coreboot installieren, ohne das die Kiste vorher großartig was fremdes gesehen hat. Zumal die Infektion sich nicht ohne externe Hardware feststellen lässt, der Kernel ja Ring 0 ist.
Ich bin von einem 2015er T450s auf ein 2022er T14s Gen3 AMD umgestiegen, und die CPU Leistung hat sich ich glaube verachtfacht in der Zeit... Gleiche Geräteklasse, ähnliche TDP. Das neue ist aber dünner und leiser auch noch. Würde ich schon als massiven Sprung bezeichnen.
Ich hab sehr GPU lastige Dinge, da merkst du den Unterschied bei CPUs wirklich nicht all zu sehr. Hatte das schon auf neuen Firmenlaptops laufen und zumindest die CPU spielt da kaum eine Rolle. GPU ist viel entscheidenter.
Mal abgesehen von meinem Use-case, gibt es viele, die kaum Dinge machen, die überhaupt die Hardware an ihre Leistungsgrenzen führt. Gaming ja, Compilieren ja, Video Rendern ja,....aber es gibt genug, die nur den Browser nutzen und ab und zu nen Text schreiben.
Ich weiß, das ist keine Lösung für alle. Aber mittlerweile ist´s auch kein Hexenwerk mehr. Wer Heads nicht selber kompilieren mag (oder kann), kann fertige Images auch über Nitrokey beziehen (dann natürlich nur für die Geräte, die die auch verkaufen). Mittlerweile ist selbst die Aktualisierung aus Heads heraus bedeutend einfacher zu bewerkstelligen als z.B. auf mancher Hardware, deren UEFI von "American Megatrends" stammt ...
Von welchen Endnutzern gehst du hier aus? Für die meisten "normalen" (=nicht Nerds) Nutzer, ist schon die Vorstellung ein fremdes OS zu installieren unvorstellbar "komplex". Vom BIOS brauchen wir da gar nicht erst anfangen.
Gibt es auch bei Intel, gab es meines Wissens (zeitlich) sogar noch vor AMD.
Ich nehme an, Du meinst mit "Ring -2" den "System Management Mode". Das ist genau der Layer, auf dem potentielle Angreifer nicht weiter kommen, wenn Du Coreboot sauber installierst.
Aber es gibt ja noch Ring -3 (Intel Management Engine [ME] resp. AMD Platform Security Processor). Das ist die Ebene, auf der über ein Minix ein kompletter Netzwerk-Stack adressierbar ist (und alle darunterliegenden Layer). Das ist mit hoher Wahrscheinlichkeit die Ebene, auf der ein APT implantiert wird.
Ein Implant muss aber lokal, vor Ort passieren. "Evil Maid". Deswegen Heads.
Die Intel ME lässt sich bis auf ein paar wenige, für den Bootvorgang unabdingbare Bits, herausoperieren, ohne funktionale Nachteile (insofern "startet schneller" nicht als Nachteil zu werten ist). Bei der 00er-Serie (also X200, T400 …) sogar komplett.
Und: Du kannst ja (mindestens bei den älteren Geräten) auch am EC herumschrauben.
Sollte es allerdings Gründe geben, die Dich vermuten lassen, dass Du weit oben auf der Liste einer potenten (staatlichen) Entität stehst, und diese Liste bezeichnet Personen, die die Entität nicht mag – dann machst du Dir besser über andere Dinge einen Kopf.
Mal abgesehen von meinem Use-case, gibt es viele, die kaum Dinge machen, die überhaupt die Hardware an ihre Leistungsgrenzen führt. Gaming ja, Compilieren ja, Video Rendern ja,....aber es gibt genug, die nur den Browser nutzen und ab und zu nen Text schreiben.
Das stimmt natürlich. Es trifft u.a. auch auf alle Menschen in meinem privaten Umfeld zu, die ich mit PCs versorge - durchweg mit Geräten vom Gebrauchtmarkt. Und wenn die Mühlen dann mal so alt geworden sind, dass es z.B. mit Treibern oder Updates in neueren Betriebssystemen (ja, Windows ) knifflig wird, werden sie von mir durch jüngere gebrauchte ersetzt.
Typischerweise sind die PCs 5 Jahre oder etwas älter, wenn ich sie kaufe und werden dann so ca. 4-6 Jahre genutzt. Das war auch schon vor den Zeiten von Windows 11 so und hat sich dadurch jetzt nicht großartig geändert.
Ok, das setzt voraus, dass man den gesamten Quellcode auch selbst prüfen kann.
Das können dann wohl - Hand aufs Herz - wirklich nur eine Hand voll Menschen in annehmbarer Zeit.
Oder man verlässt sich auf andere ... damit sind wir dann bei zB der Lücke in SSH sind; hat bis dahin niemand wirklich entdeckt.
Geschweige denn in Frage gestellt, obwohl viel genutzt und OpenSource.
Verstehe mich nicht falsch, ich bin kein Fan von proprietären Methoden, die eine gewinnorientierte Firma verwaltet - mir fällt aber auch keine bessere Lösung ein.
Wie @Korfox schrieb, muss ich ja mindestens mal dem CPU-Hersteller vertrauen...
Auf die Spitze getrieben: baue eine eigene Chip Fabrik mit Röhren Transistoren angesteuert und fertige die eigene CPU.
Ich erfinde das Perpetuum Mobile in der Zwischenzeit
Zumindest in den Code der PSP von AMD wurde schon reingeschaut, hatte dazu mal einen Vortrag auf YT gesehen, und ich paraphrasiere: "Man hat keinen gefährlichen Code darin gefunden".
Und dann installiere ich doch wieder Windows. Wenn ich eh Microsoft in der Hinsicht vertraue, stören mich auch die SecureBoot Keys im UEFI nicht.
Nebenbei wäre die Frage, ob ich CoreBoot überhaupt so konfiguriert bekomme, dass ich dann ein Windows 11 ohne irgendwelche Tricks installieren und starten kann.
Man muss ein unterstütztes Gerät haben, man muss eigentlich dann ein Linux nutzen wollen und man muss "verrückt" genug sein, um das gegen alle Widerstände auch durchzuhalten.
Eigentlich ist das also weiterhin eine Lösung für eine sehr, sehr kleine Gruppe von Leuten.
Diese Seite verwendet Cookies, um Inhalte zu personalisieren und dich nach einem Login angemeldet zu halten, wenn du registriert bist.
Durch die weitere Nutzung unserer Webseite erklärst du dich damit einverstanden.
) knifflig wird, werden sie von mir durch jüngere gebrauchte ersetzt.
