Open Source im professionellen Einsatz

So soll Fedora 18 Secure Boot und UEFI meistern

31.05.2012

Der Entwickler Matthew Garrett hat einen Plan vorgestellt, der die kommende Fedora-Release 18 auch auf Rechnern mit UEFI und Secure Boot zum Laufen bringen soll.

397

Dabei betont der Red-Hat-Angestellte, dass er nicht für seinen Arbeitgeber spricht, sondern nur den Diskussionsstand des Fedora-Projekts wiedergibt. Garrett erwartet, dass mit der voraussichtlichen Veröffentlichung von Windows 8 im Herbst 2012 fast alle handelsüblichen Computer Secure Boot verwenden werden - auf jeden Fall jene mit vorinstalliertem Windows. Mit in der Firmware hinterlegten Schlüsseln stellt das System dann sicher, dass nur das vorgesehene Betriebssystem starten kann, in diesem Fall Windows 8.

Es werde zwar die Möglichkeit geben, in der Firmware Secure Boot zu deaktivieren oder eigene Schlüssel zu hinterlegen, diesen heiklen Eingriff möchte Matt Garrett aber nicht allen Fedora-Nutzern zumuten. Ein mögliches Vorgehen für Fedora wäre es, selbst einen Schlüssel bei möglichst allen Herstellern zu hinterlegen. Das wäre aber sehr aufwändig und würde zudem die Wahl der Linux-Distribution auf Fedora einschränken, referiert der Entwickler in seinem Blog. Ein Alternative wäre es, einen gemeinsamen Schlüssel für alle Linux-Distributionen zu vereinbaren, was aber organisatorisch so gut wir unmöglich sei.

Daneben besteht eine weitere Möglichkeit, für die sich das Fedora-Projekt wahrscheinlich entscheiden wird: Die erste Stufe des Linux-Bootloaders von Microsoft signieren zu lassen. Das sei über das Systementwickler-Portal des Herstellers für 99 US-Dollar möglich. Die erste Stufe soll dann den Linux-üblichen Bootloader Grub 2 starten, der den Linux-Kernel lädt.

Das Prinzip ist einfach, der Teufel steckt aber offenbar im Detail: Damit das Secure-Boot-Prinzip wirklich greift, muss auch der Linux-Kernel signiert sein, und er darf auch nur signierte Module nachladen. Die Grafiktreiber müssen allen aus dem Userspace in den Kernel wandern. Garret und Kollegen haben also noch einige Arbeit zu leisten.

Was tun Anwender, die einen selbst kompilierten Kernel einsetzen möchten? Sie müssten sich vermutlich die Mühe machen, den Betriebssystemkern selbst zu signieren und ihre Schlüssel irgendwie in die Firmware einzuspielen. Oder sie treten selbst Microsofts Entwicklerprogramm bei, um ihren Kernel signieren zu lassen. Ansonsten bleibt ihnen nur die Möglichkeit, Secure Boot zu deaktivieren. Bei ARM-Rechnern und Embedded-Hardware mit Windows-Logo geht das allerdings nicht.

Das alles sei noch nicht in Stein gemeißelt, schreibt Matthew Garrett. Die Entwickler möchten den Plan aber im Großen und Ganzen für Fedora 18 umsetzen, sofern nicht wichtige Gründe für Änderungen sprechen. In seinem Blogeintrag setzt sich Garrett außerdem mit Kritik am geplanten Vorgehen auseinander.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 12/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.