Logo von heise online

Suche
Thorsten Leemhuis 142

Linux-Größen plädieren für ein offeneres Secure Boot

Eine "Windows Verdongelung" durch das von Windows 8 unterstützte UEFI Secure Boot befürchten viele Open-Source-Entwickler – auch wenn Microsoft dies mit Dementies aus der Welt schaffen wollte. Nun hat die Linux Foundation ein Dokument zur Thematik veröffentlicht. Darin zeigen die beiden Autoren des Technical Advisory Board (TAB) der Linux Foundation einige Ansätze zur Implementation von UEFI Secure Boot auf, die den Anwendern der Technik mehr Freiheiten geben sollen. In eine ähnliche Richtung geht von Canonical und Red Hat geschriebenes Whitepaper, dass ebenfalls heute veröffentlicht wurde.

Anzeige

Das Dokument trägt den Titel "Making UEFI Secure Boot Work With Open Platforms" und stammt von James Bottomley, Vorsitzender des TAB und Verwalter des SCSI-Subsystems des Linux-Kernels, sowie von Jonathan Corbet, Kernel-Entwickler und Chefredakteur der angesehenen Linux-News-Webseite LWN.net. Die beiden führen an, dass UEFI Secure Boot durchaus eine die Sicherheit verbessernde Technik ist; Linux und andere Betriebssysteme könnten davon profitieren, wenn die Technik ordentlich in Hardware umgesetzt werde. Sie umreißen, wie solch eine Implementation aussehen müsste, damit sie mit verschiedenen Betriebssystemen zusammenarbeitet, ohne die Rechte der Anwender zu beschneiden.

So sollte die Hardware in einem "Setup Mode" ausgeliefert werden, bei der der Käufer die Kontrolle über den Platform Key hat; der Anwender solle das System später wieder in diesen Modus zurücksetzen können. Bei der Erstinstallation sollen Betriebssysteme den Setup Mode erkennen und eigenständig die Keys installieren, um den Secure Boot per UEFI möglich zu machen. Die Firmware sollte ferner Schnittstellen bieten, um von einem per Secure Boot gestarteten Betriebssystem weitere Keys nachzuinstallieren, damit der Anweder ein zweites Betriebssystem parallel installieren kann. Die Firmware sollte zudem Möglichkeiten zum Betriebssystemstart von Wechseldatenträgern bieten, selbst wenn diese Betriebssysteme nicht signiert sind. Langfristig solle zudem eine von Betriebssystem- und Hardware-Herstellern unabhängige Institution geschaffen werden, welche Schlüssel für Hard- und Software-Hersteller herausgibt.

Das Whitepaper von Canonical und Red Hat "Secure Boot impact on Linux " hat Victor Tuson Palau im Canonical-Blog angekündigt. Auch an diesem Dokument hat Bottomley mitgearbeitet; Mitautoren sind Jeremy Kerr von Canonical und Red-Hat-Mitarbeiter Matthew Garrett, der durch seine Blog-Einträge die Diskussionen um UEFI ins Rollen gebracht hat. Auch dieses Dokument erwähnt den Nutzen von UEFI Secure Boot und führt einige Eigenschaften auf, die gewahrt sein sollten, um Anwender nicht bei der Wahl der Software einzuschränken. Dazu zählt unter anderem die Forderung nach einer Funktion, um Secure Boot komplett zu deaktivieren. Auch dies Dokument fordert Funktionen zum Rekonfigurieren der Schlüssel; es geht aber auch auf Aspekte rund um Secure Boot bei automatischen Betriebssystem-Deployments ein. (thl)

142 Kommentare

Themen:

Anzeige
  1. Bundesregierung lässt Infrastruktur für Trusted Computing erforschen

    Trusted Platform Module TPM 2.0 Infineon SLB9665TT20

    Das Bundeswirtschaftsministerium schreibt ein Forschungsvorhaben über den Aufbau alternativer Zertifizierungsinfrastrukturen für vertrauenswürdige Datenverarbeitung aus.

  2. 32C3: Kryptologe warnt vor dem "Botnetz" Windows 10

    Windows 10

    Der Verschlüsselungsexperte Rüdiger Weis hat Microsofts neue "Sicherheitsanforderungen" wie verpflichtende Updates und Trusted Computing in Windows 10 verrissen. Microsoft habe "die Sache gar nicht im Griff".

  3. Dell will BIOS-Updates über UEFI-Technik ermöglichen

    Dell will BIOS-Updates über UEFI-Technik ermöglichen

    Ein IoT-Gateway von Dell wird eine mit Linux nutzbare UEFI-Technik unterstützten, durch die sich BIOSe in Zukunft ähnlich einfach aktualisieren lassen wie jede andere Software von Linux-Distributionen.

  4. Microsoft verlängert Windows-7-Support für Skylake-PCs bis 2020

    Intel Core i5-6500 "Skylake"

    Das Support-Ende für Windows 7 auf ausgewählten Skylake-Rechner wird verschoben, aber kommende Prozessoren von AMD und Intel will Microsoft weiterhin nur mit Windows 10 unterstützen.

  1. Was Fedora 21 Neues bringt

    Die drei Varianten Workstation, Server und Cloud sollen das Fedora-Profil für verschiedene Einsatzgebiete schärfen. Der Gnome-Desktop läuft auf Wunsch auf dem designierten X11-Nachfolger Wayland.

  2. Die Neuerungen von Suse Linux Enterprise 12

    Suse nutzt jetzt standardmäßig das Btrfs-Dateisystem, unterstützt nun aber auch Ext4. Einige Software wurde in Module ausgelagert, die Suse nicht zehn, sondern nur wenige Jahre pflegt. Gnome ist Standard, KDE fehlt.

  3. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  1. Microsoft richtet Meldestelle für Hasskommentare ein

    Microsoft richtet Meldestelle für Hasskommentare ein

    Nutzer des Microsoft-Ökosystems aus Xbox, Skype, Outlook oder OneDrive können Inhalte melden, die ihrer Ansicht nach andere diskriminieren.

  2. Deutsche lebte ein Jahr wie auf dem Mars – Experiment beendet

    Deutsche lebte ein Jahr wie auf dem Mars ? Experiment beendet

    365 Tage hat eine kleine internationale Forschergruppe am Hang eines Vulkans auf Hawaii verbracht – und dort ein Leben wie auf dem Mars simuliert. Die deutsche Geophysikerin Christiane Heinicke aus Sachsen-Anhalt war mit von der Partie.

Anzeige