Logo von heise online

Suche
142

Linux-Größen plädieren für ein offeneres Secure Boot

Eine "Windows Verdongelung" durch das von Windows 8 unterstützte UEFI Secure Boot befürchten viele Open-Source-Entwickler – auch wenn Microsoft dies mit Dementies aus der Welt schaffen wollte. Nun hat die Linux Foundation ein Dokument zur Thematik veröffentlicht. Darin zeigen die beiden Autoren des Technical Advisory Board (TAB) der Linux Foundation einige Ansätze zur Implementation von UEFI Secure Boot auf, die den Anwendern der Technik mehr Freiheiten geben sollen. In eine ähnliche Richtung geht von Canonical und Red Hat geschriebenes Whitepaper, dass ebenfalls heute veröffentlicht wurde.

Anzeige

Das Dokument trägt den Titel "Making UEFI Secure Boot Work With Open Platforms" und stammt von James Bottomley, Vorsitzender des TAB und Verwalter des SCSI-Subsystems des Linux-Kernels, sowie von Jonathan Corbet, Kernel-Entwickler und Chefredakteur der angesehenen Linux-News-Webseite LWN.net. Die beiden führen an, dass UEFI Secure Boot durchaus eine die Sicherheit verbessernde Technik ist; Linux und andere Betriebssysteme könnten davon profitieren, wenn die Technik ordentlich in Hardware umgesetzt werde. Sie umreißen, wie solch eine Implementation aussehen müsste, damit sie mit verschiedenen Betriebssystemen zusammenarbeitet, ohne die Rechte der Anwender zu beschneiden.

So sollte die Hardware in einem "Setup Mode" ausgeliefert werden, bei der der Käufer die Kontrolle über den Platform Key hat; der Anwender solle das System später wieder in diesen Modus zurücksetzen können. Bei der Erstinstallation sollen Betriebssysteme den Setup Mode erkennen und eigenständig die Keys installieren, um den Secure Boot per UEFI möglich zu machen. Die Firmware sollte ferner Schnittstellen bieten, um von einem per Secure Boot gestarteten Betriebssystem weitere Keys nachzuinstallieren, damit der Anweder ein zweites Betriebssystem parallel installieren kann. Die Firmware sollte zudem Möglichkeiten zum Betriebssystemstart von Wechseldatenträgern bieten, selbst wenn diese Betriebssysteme nicht signiert sind. Langfristig solle zudem eine von Betriebssystem- und Hardware-Herstellern unabhängige Institution geschaffen werden, welche Schlüssel für Hard- und Software-Hersteller herausgibt.

Das Whitepaper von Canonical und Red Hat "Secure Boot impact on Linux " hat Victor Tuson Palau im Canonical-Blog angekündigt. Auch an diesem Dokument hat Bottomley mitgearbeitet; Mitautoren sind Jeremy Kerr von Canonical und Red-Hat-Mitarbeiter Matthew Garrett, der durch seine Blog-Einträge die Diskussionen um UEFI ins Rollen gebracht hat. Auch dieses Dokument erwähnt den Nutzen von UEFI Secure Boot und führt einige Eigenschaften auf, die gewahrt sein sollten, um Anwender nicht bei der Wahl der Software einzuschränken. Dazu zählt unter anderem die Forderung nach einer Funktion, um Secure Boot komplett zu deaktivieren. Auch dies Dokument fordert Funktionen zum Rekonfigurieren der Schlüssel; es geht aber auch auf Aspekte rund um Secure Boot bei automatischen Betriebssystem-Deployments ein. (thl)

142 Kommentare

Themen:

  1. Systemd will Linux-Start per UEFI Secure Boot absichern

    Linux-Init-Platform Systemd bekommt Bootloader für UEFI Secure Boot

    Die Systemd-Entwickler wollen UEFI und Secure Boot einsetzen, um Angreifer auszubooten, die beim Boot-Vorgang gestartete Software austauschen.

  2. Windows 10: Neue Geräte nur mit UEFI Secure Boot und TPM

    Microsoft Windows 10 verlangt ein TPM

    Microsoft verlangt von Hardware-Herstellern, Windows-10-Geräte mit Trusted Platform Modules zu bestücken. Ein "Ausschalter" für Secure Boot wird optional - für die meisten Windows-8-Rechner war er Pflicht.

  3. Red Hat stellt Beta eines Container-Betriebssystems vor

    Red Hat Enterprise Linux 7 Atomic Host Beta

    Bei Red Hats neuem Betriebssystem lassen sich Server-Anwendungen nur über die Container-Software Docker einrichten. Auch bei der Systemaktualisierung bricht das Unternehmen mit Traditionen.

  1. Zweitmieter

    Bei der Installation von Linux auf Notebooks gibt es häufiger Schwierigkeiten. Mit neuen Desktop-PCs ist es manchmal nicht viel anders; insbesondere Hybridgrafik, SSD-Caching-Funktionen und UEFI stellen Stolpersteine dar.

  2. Linux und UEFI Secure Boot

    Wie stellt man sicher, dass sich Linux auf Computern mit Windows 8 und UEFI Secure Boot installieren lässt? Fedora und Ubuntu sind sich uneins über den richtigen Weg.

  3. Ausgeknipst

    Das Booten von Linux im UEFI-Modus kann einige Samsung- Notebooks töten – dann hilft nur noch ein Mainboard-Tausch.

  1. Nepp mit Flash-Speichermedien: Micro-SD-Karten mit "512 GByte"

    Sandisk Ultra microSDXC UHS-I mit 200 GByte

    Auf der chinesischen Handelsplattform AliExpress.com finden sich haufenweise gefälschte Micro-SD-Karten, die angeblich 512 GByte speichern. Auch bei USB-Sticks für 12 Euro, die angeblich 2 Terabyte fassen, ist Vorsicht geboten.

  2. Samtgemeinde: 25 Jahre BMW-Zwölfzylinder

    Es war ein Highlight des Autojahrs 1987: BMW stellte den ersten deutschen Zwölfzylinder-Pkw nach dem Krieg vor. Wir erzählen die Geschichte des bayrischen Zwölfzylinders, dessen frühen Exemplare noch heute beeindrucken können

  3. Zwei Jahre alte Sicherheitslücke macht Minecraft-Server zu Freiwild

    Zwei Jahre alte Sicherheitslücke macht Minecraft-Server zu Freiwild

    Minecraft-Server lassen sich über eine Sicherheitslücke aus dem Netz schießen, die bereits seit Version 1.6.2 in dem Spiel klafft. Die aktuelle Version ist immer noch angreifbar.

  4. Projekte für den geplanten US-Supercomputer Summit

    13 Projekte für kommenden US-Supercomputer Summit

    Das Oak Ridge National Lab hat erste Forschungsvorhaben vorgestellt, die ab 2018 auf dem Supercomputer "Summit" durchgeführt werden sollen. Neben Klassikern wie Klima- und Erdbebenanalyse finden sich einige auch internationale Spezialitäten.

Anzeige