Open Source im professionellen Einsatz

Linux Foundation veröffentlicht Pre-Bootloader für Secure Boot

11.10.2012

Um das Secure-Boot-Problem auf Windows-8-Rechnern zu lösen, will die Linux Foundation von Microsoft einen Schlüssel erwerben, um einen eigenen Pre-Bootloader zu signieren. Dieser bootet dann Linux oder andere freie Betriebssysteme. Sie hat ihn bereits im Quellcode veröffentlicht.

330

James Bottomley, Vorsitzender des technischen Vorstands der Linux Foundation, erklärt das Vorgehen unter anderem im Linux-Foundation-Blog. Demnach lädt der von Microsoft signierte Pre-Bootloader ohne weitere Signaturenchecks einen Bootloader für Linux oder andere Systeme. Entwickler von Distributionen nutzen diesen Pre-Bootloader also, um ihre Linux-Installer oder Live-Versionen zu erstellen, die dann auch auf mit Uefi Secure Boot gesicherten Rechnern laufen.

Es wird eine Weile dauern, schreibt Bottomley, bis die Linux Foundation von Microsoft den Signaturschlüssel erhält. Danach will sie den "Loader" für jeden zum Download bereitstellen. Der Quellcodedatei ist bereits im Bottomleys Git-Repository im Zweig "git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git" erhältlich.

Als Motiv gibt die Linux Foundation an, Anwender von Alternativsystemen in die Lage zu versetzen, Secure-Boot-verschlossene Rechner mit beliebigen freien Systemen zu booten. Uefi Secure Boot ist eine auf Rechnern vorinstallierte Software unterhalb des Betriebssystems, die nur signierte Systeme zum Booten zulässt. Microsoft plant, Secure Boot per default für Windows-8-Rechner zu aktivieren, womit es dann praktisch allgegenwärtig ist. Um andere Systeme booten zu können, müsste der Anwender die Secure-Boot-Option manuell abschalten - nicht für jeden ein einfacher Eingriff.

Wie den Anwendern das zu ersparen sei, darüber zerbrachen sich bereits einige Distributionen den Kopf - zum Beispiel Fedora. Ihre ergrübelte Vorgehensweisen ähnelt dem Weg der Linux Foundation, nur dass die Distributionen auf einen anderen Pre-Bootloader setzen wollen (Shim). Er unterscheidet sich darin, dass nicht nur er selbst signiert sein muss, sondern auch der eigentliche Bootloader dahinter, also zum Beispiel Grub. Der Pre-Bootloader der Linux Foundation hingegen fungiert sozusagen als Blitzableiter - wer ihn implementiert, braucht keine Signaturen mehr für Bootloader oder Systemkernel vorzuweisen.

Mathew Garreth, der hinter dem oben verlinkten Fedora-Weg steht, hat etwas verschnupfte Bedenken geäußert. Kein Wunder, denn er hat schon einige Arbeit in die Überlegung gesteckt, wie sich das Problem der Folgesignaturen nach dem Pre-Bootloader lösen lässt.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.