Open Source im professionellen Einsatz

UEFI Secure Boot: Mühe mit der Microsoft-Signatur

20.11.2012

Die Bemühungen der Linux Foundation, einen UEFI-Bootloader von Microsoft signieren zu lassen, gestalten sich mühsam.

358

Das berichtet James Bottomley, Vorsitzender des technischen Beirats der Organisation, in seinem Blog. Wie er in einem Vortrag auf der Linuxcon Europe (wir berichteten) dargelegt hat, möchte die Foundation Linux-Anwendern Tools bereitstellen, mit denen sich UEFI Secure Boot deaktivieren und umkonfigurieren lässt. Zudem soll es einen Pre-Bootloader geben, der beliebige andere Bootloader wie etwa Grub für Linux startet.

Die Fliege ist sein Markenzeichen: Der Brite James Bottomley bemüht sich, von Microsoft einen signierten UEFI-Bootloader für die Linux Foundation zu bekommen.

In seinem Beitrag beschreibt Bottomley nun, dass sich die Prozedur für die signierten UEFI-Executables langwieriger und schwieriger gestalte als erwartet. Das "Abenteuer", wie er es bezeichnet, beginnt mit dem Erwerb eines Verisign-Schlüssels, mit dem man sich auf der Microsoft Sysdev-Seite anmeldet und seine Identität beweist. Dazu signiert der Benutzer ein Binary und lädt es hoch. Eigentlich sollte das mit einer bestimmten Windows-Version geschehen, doch offenbar erfüllt auch das freie Tool Sbsign seinen Zweck.

Vor dem Signierenlassen von UEFI-Programmen muss dann der Vertragsschluss mit Microsoft erfolgen. Hier berichtet James Bottomley von zahlreichen Klauseln, die über die eigentlichen UEFI-Executables hinausgingen und beispielsweise GPL-Treiber ausschlössen. Einem Bootloader steht aber offenbar nichts im Wege.

Das Signieren erfordert dann, die Binärdatei in eine Microsoft Cabinet-Datei zu verpacken, wozu das Open-Source-Programm Lcab taugt. Anschließend muss der Benutzer das Archiv mit seinem Verisign-Schlüssel signieren. Glücklicherweise gibt es auch hierfür mit Osslsigncode eine freie Lösung. Beim Upload kommt dann Microsofts Silverlight-Technologie zum Einsatz.

Nach dem ersten Hochladen sei die weitere Prozedur im Schritt sechs von sieben stecken geblieben, schreibt Bottomley weiter. Die Fehlermeldung sei nicht besonders aufschlussreich gewesen. Nach einem zweiten Versuch erhielt der Entwickler per Mail einen Download-Link, obwohl die Weboberfläche angab, der Versuch sei gescheitert. Das Binary funktioniert unter Secure Boot. Nach der Fehlermeldung gefragt, antwortete der Microsoft-Support, die Binärdatei sei wohl mit dem falschen Schlüssel signiert worden.

Somit gibt es derzeit noch keinen passend von Microsoft signierten UEFI-Bootloader der Linux Foundation. James Bottomley möchte sich weiter bemühen und die Datei bei Erfolg auf die Website der Linux Foundation stellen.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.