Logo von heise online

Suche
Thorsten Leemhuis 142

Linux-Größen plädieren für ein offeneres Secure Boot

Eine "Windows Verdongelung" durch das von Windows 8 unterstützte UEFI Secure Boot befürchten viele Open-Source-Entwickler – auch wenn Microsoft dies mit Dementies aus der Welt schaffen wollte. Nun hat die Linux Foundation ein Dokument zur Thematik veröffentlicht. Darin zeigen die beiden Autoren des Technical Advisory Board (TAB) der Linux Foundation einige Ansätze zur Implementation von UEFI Secure Boot auf, die den Anwendern der Technik mehr Freiheiten geben sollen. In eine ähnliche Richtung geht von Canonical und Red Hat geschriebenes Whitepaper, dass ebenfalls heute veröffentlicht wurde.

Das Dokument trägt den Titel "Making UEFI Secure Boot Work With Open Platforms" und stammt von James Bottomley, Vorsitzender des TAB und Verwalter des SCSI-Subsystems des Linux-Kernels, sowie von Jonathan Corbet, Kernel-Entwickler und Chefredakteur der angesehenen Linux-News-Webseite LWN.net. Die beiden führen an, dass UEFI Secure Boot durchaus eine die Sicherheit verbessernde Technik ist; Linux und andere Betriebssysteme könnten davon profitieren, wenn die Technik ordentlich in Hardware umgesetzt werde. Sie umreißen, wie solch eine Implementation aussehen müsste, damit sie mit verschiedenen Betriebssystemen zusammenarbeitet, ohne die Rechte der Anwender zu beschneiden.

So sollte die Hardware in einem "Setup Mode" ausgeliefert werden, bei der der Käufer die Kontrolle über den Platform Key hat; der Anwender solle das System später wieder in diesen Modus zurücksetzen können. Bei der Erstinstallation sollen Betriebssysteme den Setup Mode erkennen und eigenständig die Keys installieren, um den Secure Boot per UEFI möglich zu machen. Die Firmware sollte ferner Schnittstellen bieten, um von einem per Secure Boot gestarteten Betriebssystem weitere Keys nachzuinstallieren, damit der Anweder ein zweites Betriebssystem parallel installieren kann. Die Firmware sollte zudem Möglichkeiten zum Betriebssystemstart von Wechseldatenträgern bieten, selbst wenn diese Betriebssysteme nicht signiert sind. Langfristig solle zudem eine von Betriebssystem- und Hardware-Herstellern unabhängige Institution geschaffen werden, welche Schlüssel für Hard- und Software-Hersteller herausgibt.

Das Whitepaper von Canonical und Red Hat "Secure Boot impact on Linux " hat Victor Tuson Palau im Canonical-Blog angekündigt. Auch an diesem Dokument hat Bottomley mitgearbeitet; Mitautoren sind Jeremy Kerr von Canonical und Red-Hat-Mitarbeiter Matthew Garrett, der durch seine Blog-Einträge die Diskussionen um UEFI ins Rollen gebracht hat. Auch dieses Dokument erwähnt den Nutzen von UEFI Secure Boot und führt einige Eigenschaften auf, die gewahrt sein sollten, um Anwender nicht bei der Wahl der Software einzuschränken. Dazu zählt unter anderem die Forderung nach einer Funktion, um Secure Boot komplett zu deaktivieren. Auch dies Dokument fordert Funktionen zum Rekonfigurieren der Schlüssel; es geht aber auch auf Aspekte rund um Secure Boot bei automatischen Betriebssystem-Deployments ein. (thl)

142 Kommentare

Themen:

Anzeige
  1. Bundesregierung lässt Infrastruktur für Trusted Computing erforschen

    Trusted Platform Module TPM 2.0 Infineon SLB9665TT20

    Das Bundeswirtschaftsministerium schreibt ein Forschungsvorhaben über den Aufbau alternativer Zertifizierungsinfrastrukturen für vertrauenswürdige Datenverarbeitung aus.

  2. 32C3: Kryptologe warnt vor dem "Botnetz" Windows 10

    Windows 10

    Der Verschlüsselungsexperte Rüdiger Weis hat Microsofts neue "Sicherheitsanforderungen" wie verpflichtende Updates und Trusted Computing in Windows 10 verrissen. Microsoft habe "die Sache gar nicht im Griff".

  3. Linux: "rm -rf /" soll keine UEFI-Systeme mehr kaputt machen

    Bei Linux 4.5 soll "rm -rf /" keine UEFI-Systeme mehr kaputt machen

    Manche PCs und Notebooks funktionieren nicht mehr, nachdem man alle Dateien einer Linux-Installation gelöscht hat. Ein Schutzmechanismus im Linux-Kernel soll vor solchen Hardware-Defekten bewahren.

  4. Red Hat bündelt PaaS, IaaS und Cloud-Management

    Red Hat bündelt PaaS, IaaS und Cloud-Management

    Die Red Hat Cloud Suite for Applications soll einen schnellen Weg zur Entwicklung, Implementierung und Verwaltung skalierbarer Applikationen mit Open-Source-Techniken bieten.

  1. UEFI: Linux kann aktuelle Thinkpads beschädigen

    Das Installieren von Linux oder der Tausch der Festplatte kann zum Defekt der Thinkpad-Modelle T540p, L540 und W540 führen. Schuld haben offenbar zwei Fehler in der UEFI-Firmware.

  2. Das bringt das SP3 für Suse Linux Enterprise 11

    Das Service Pack 3 bringt zahlreiche Optimierungen zur Virtualisierung und baut mit Secure Boot-Support und neuen Treibern die Unterstützung für moderne Hardware aus. Zudem gab es zahlreiche Verbesserungen für die Storage- und Netzwerktechniken bei Servern.

  3. LinuxCon Europe: Torvalds wünscht sich Desktop-Erfolg

    Linus Torvalds wünscht sich einen größeren Erfolg von Linux auf Desktop-PCs, denn für solche habe er Linux schließlich gestartet. Das sagte er auf einer Konferenz, in dessen Umfeld er mit wichtigen Kernel-Entwickler die weitere Marschrichtung diskutierte. Videos und Präsentationsfolien der Konferenzen liefern eine Fülle an Informationen zu aktuellen Entwicklungen rund um Linux.

  1. Hey Siri: Bundesdatenschutzbeauftragte warnt vor lauschenden Sprachassistenten

    Siri

    Die Sprachassistenzsysteme von Apple, Google und Amazon werden auf Zuruf hin aktiv – und hören dafür durchgängig zu. Die Bundesbeauftragte für den Datenschutz sieht diesen Ansatz generell kritisch.

  2. EInk stellt farbiges E-Paper-Display mit Monitorauflösung vor

    Farbiges E-Paper-Display zeigt Monitorauflösung

    EInk zeigt auf der Display Week erstmals ein 20-zölliges Vollfarb-Display mit farbigen Pigmenten. Dank der einzeln ansteuerbaren Farbpigmente erreicht das reflektive E-Paper ausgezeichnete 150 dpi und damit eine für Monitore übliche Pixeldichte.

  3. Datenschutzbeauftragter sieht Meldepflicht für Videokameras

    Datenschutzbeauftragter sieht Meldepflicht für Videokameras

    Fuchs und Hase werden sich nicht über Wildkameras beschweren. Trotzdem seien diese und andere Kameras juristisch ein Problem, sagt der Datenschutzbeauftragte Hasse. Er rechnet mit einer Meldepflicht für diese privaten Kameras und einem "Shitstorm".

  4. Fahrbericht Honda CRF 1000 Africa Twin

    Honda

    Um Hondas neue CRF 1000 Africa Twin hat sich ein enormer Hype entwickelt - sie ist bis Oktober ausverkauft. Den konnten wir am Objekt nicht nachvollziehen, das ist eine segmenttypische Reiseenduro. Aber Honda macht viel richtig

Anzeige