Open Source im professionellen Einsatz

Linuxcon Europe: UEFI Secure Boot theoretisch kein Hindernis

05.11.2012

James Bottomley, Vorsitzender des technischen Beirats der Linux Foundation, hat in seinem Vortrag den jüngsten Stand zu Linux auf Rechnern mit UEFI Secure Boot dargestellt.

383

James Bottomley bemühte sich, die Schärfe aus der Secure-Boot-Diskussion zu nehmen und stellte hauptsächlich harte Fakten dar. Microsoft mache Secure Boot zur Voraussetzung für die Windows-8-Zertifizierung von Desktop- und Laptop-Rechner, begann er. Zu diesem Zweck werden neue Rechner mit Schlüsseln von Microsoft oder dem OEM ausgestattet.

Das UEFI-Konsortium habe aber ebenfalls festgelegt, dass der Anwender Secure Boot über das UEFI-Menü deaktivieren sowie eigene kryptografische Schlüssel hinterlegen kann. Das Problem, stellt Bottomley fest, sei in der Praxis aber, dass es keine einheitliche Implementierung für diese Schritte gäbe, vor allem keine Endanwender-taugliche.

Die Linux-Foundation arbeitet derzeit an Tools, die das Booten von Linux unter UEFI Secure Boot ermöglichen. Einige Distributionen entwickeln eigene Lösungen für diesen Zweck oder möchten das System sogar als Sicherheitsfeature für Linux nutzen.

Die Linux Foundation hat drei Tools in Vorbereitung: Eines zum Entfernen der vorhandenen Schlüssel und Einspielen eigener, zudem ein signiertes Binary als "Notöffner", das das System in UEFI-Setup-Mode versetzt, und schließlich einen signierten Pre-Bootloader, der einen beliebigen (unsignierten) Bootloader lädt. Letzterer verlangt vor dem Booten allerdings eine Bestätigung des Anwenders, der physischen Zugriff auf den Computer hat. Der UEFI-Reset reiche laut FSF übrigens auch aus, um die Anforderungen der GPLv3 zu erfüllen.

Die genannten Tools müssen allerdings durch Microsoft signiert werden. Laut James Bottomley stehen der Software-Konzern und die Foundation in dieser Sache unmittelbar vor dem Vertragsabschluss.

Der Red-Hat-Entwickler Matthew Garrett arbeitet unterdessen an seinem Bootloader namens Shim, Suse strebt eine Lösung an, die dem Anwender erlaubt, eigene Schlüssel einzuspielen. Beide benötigen ebenfalls eine kryptografische Signatur von Microsoft. Dual Boot von Linux und Windows soll über einen Microsoft-signierten Bootloader mit Chain-Loading möglich sein.

Seinen Vortrag schloss James Bottomley, der bei Parallels angestellt ist, mit einer kurzen Demonstration seiner Tools ab. Dazu diente ihm ein mit Qemu emuliertes System mit EFI-Shell. Es weigerte sich im Default-Zustand, ein nicht signiertes EFI-Binary auszuführen. Mit einem signierten Programm deaktivierte der Vortragende Secure Boot und versetzte das System in Setup-Modus. Nun lief das unsignierte Binary. Mit User-Interaktion in Form eines Tastendrucks startete er zudem einen Linux-Bootloader und schließlich den Linux-Kernel. Er möchte demnächst auch ein Tool anbieten, das Linux-Live-CDs unter UEFI bootbar macht.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.