Logo von heise online

Suche
Thorsten Leemhuis 142

Linux-Größen plädieren für ein offeneres Secure Boot

Eine "Windows Verdongelung" durch das von Windows 8 unterstützte UEFI Secure Boot befürchten viele Open-Source-Entwickler – auch wenn Microsoft dies mit Dementies aus der Welt schaffen wollte. Nun hat die Linux Foundation ein Dokument zur Thematik veröffentlicht. Darin zeigen die beiden Autoren des Technical Advisory Board (TAB) der Linux Foundation einige Ansätze zur Implementation von UEFI Secure Boot auf, die den Anwendern der Technik mehr Freiheiten geben sollen. In eine ähnliche Richtung geht von Canonical und Red Hat geschriebenes Whitepaper, dass ebenfalls heute veröffentlicht wurde.

Anzeige

Das Dokument trägt den Titel "Making UEFI Secure Boot Work With Open Platforms" und stammt von James Bottomley, Vorsitzender des TAB und Verwalter des SCSI-Subsystems des Linux-Kernels, sowie von Jonathan Corbet, Kernel-Entwickler und Chefredakteur der angesehenen Linux-News-Webseite LWN.net. Die beiden führen an, dass UEFI Secure Boot durchaus eine die Sicherheit verbessernde Technik ist; Linux und andere Betriebssysteme könnten davon profitieren, wenn die Technik ordentlich in Hardware umgesetzt werde. Sie umreißen, wie solch eine Implementation aussehen müsste, damit sie mit verschiedenen Betriebssystemen zusammenarbeitet, ohne die Rechte der Anwender zu beschneiden.

So sollte die Hardware in einem "Setup Mode" ausgeliefert werden, bei der der Käufer die Kontrolle über den Platform Key hat; der Anwender solle das System später wieder in diesen Modus zurücksetzen können. Bei der Erstinstallation sollen Betriebssysteme den Setup Mode erkennen und eigenständig die Keys installieren, um den Secure Boot per UEFI möglich zu machen. Die Firmware sollte ferner Schnittstellen bieten, um von einem per Secure Boot gestarteten Betriebssystem weitere Keys nachzuinstallieren, damit der Anweder ein zweites Betriebssystem parallel installieren kann. Die Firmware sollte zudem Möglichkeiten zum Betriebssystemstart von Wechseldatenträgern bieten, selbst wenn diese Betriebssysteme nicht signiert sind. Langfristig solle zudem eine von Betriebssystem- und Hardware-Herstellern unabhängige Institution geschaffen werden, welche Schlüssel für Hard- und Software-Hersteller herausgibt.

Das Whitepaper von Canonical und Red Hat "Secure Boot impact on Linux " hat Victor Tuson Palau im Canonical-Blog angekündigt. Auch an diesem Dokument hat Bottomley mitgearbeitet; Mitautoren sind Jeremy Kerr von Canonical und Red-Hat-Mitarbeiter Matthew Garrett, der durch seine Blog-Einträge die Diskussionen um UEFI ins Rollen gebracht hat. Auch dieses Dokument erwähnt den Nutzen von UEFI Secure Boot und führt einige Eigenschaften auf, die gewahrt sein sollten, um Anwender nicht bei der Wahl der Software einzuschränken. Dazu zählt unter anderem die Forderung nach einer Funktion, um Secure Boot komplett zu deaktivieren. Auch dies Dokument fordert Funktionen zum Rekonfigurieren der Schlüssel; es geht aber auch auf Aspekte rund um Secure Boot bei automatischen Betriebssystem-Deployments ein. (thl)

142 Kommentare

Themen:

Anzeige
  1. Bundesregierung lässt Infrastruktur für Trusted Computing erforschen

    Trusted Platform Module TPM 2.0 Infineon SLB9665TT20

    Das Bundeswirtschaftsministerium schreibt ein Forschungsvorhaben über den Aufbau alternativer Zertifizierungsinfrastrukturen für vertrauenswürdige Datenverarbeitung aus.

  2. 32C3: Kryptologe warnt vor dem "Botnetz" Windows 10

    Windows 10

    Der Verschlüsselungsexperte Rüdiger Weis hat Microsofts neue "Sicherheitsanforderungen" wie verpflichtende Updates und Trusted Computing in Windows 10 verrissen. Microsoft habe "die Sache gar nicht im Griff".

  3. Späte Freundschaft: Microsoft plant SQL Server für Linux

    Späte Freundschaft: Microsoft plant SQL Server für Linux

    Mit dem Ankündigen des SQL Server 2016 für Linux hat Microsoft den nächsten Schritt für mehr Cross-Plattform-Offenheit ins Auge gefasst. Zu Details hält sich der Konzern jedoch noch zurück.

  4. Linux: "rm -rf /" soll keine UEFI-Systeme mehr kaputt machen

    Bei Linux 4.5 soll "rm -rf /" keine UEFI-Systeme mehr kaputt machen

    Manche PCs und Notebooks funktionieren nicht mehr, nachdem man alle Dateien einer Linux-Installation gelöscht hat. Ein Schutzmechanismus im Linux-Kernel soll vor solchen Hardware-Defekten bewahren.

  1. Was Fedora 21 Neues bringt

    Die drei Varianten Workstation, Server und Cloud sollen das Fedora-Profil für verschiedene Einsatzgebiete schärfen. Der Gnome-Desktop läuft auf Wunsch auf dem designierten X11-Nachfolger Wayland.

  2. Die Neuerungen von Suse Linux Enterprise 12

    Suse nutzt jetzt standardmäßig das Btrfs-Dateisystem, unterstützt nun aber auch Ext4. Einige Software wurde in Module ausgelagert, die Suse nicht zehn, sondern nur wenige Jahre pflegt. Gnome ist Standard, KDE fehlt.

  3. Die Neuerungen von Linux 4.7

    Kernel-Log-Logo

    Die neue Kernel-Version unterstützt AMDs neue Grafikchips. Ferner soll Linux 4.7 das Stromsparpotenzial moderner Prozessoren stärker ausschöpfen und Wartezeiten vermeiden, die bislang bei hoher Netzwerklast auftraten.

  1. KTM 390 Duke Langstreckentest

    KTM 390 Duke Langstreckentest

    Die kleine KTM 390 Duke hält sich seit ihrem Erscheinen 2013 erfolgreich unter den beliebtesten Bikes. Letztes Jahr war sie sogar die meistverkaufte KTM. Was macht das einzylindrige Naked Bike so beliebt? Wir haben die österreichisch-indische Koproduktion einem Langzeit-Test unterzogen

  2. Mercedes V250d im Test: Der Raum-Traum

    Mercedes

    Die aktuelle Mercedes V-Klasse mit starkem Diesel könnte ein ideales Auto für umfangreiche Familien sein: Leise, stark, aber nicht zu durstig, enorm viel Platz. Doch für die meisten Familien dürfte diese traumhafte Kombination ein Traum bleiben

  3. Wrightspeed Plug-in-Hybrid mit Turbine für Lastwagen

    Hybridantrieb, Elektroautos, alternative Antriebe

    Der amerikanische Nutzfahrzeughersteller Mack Trucks präsentiert auf der Entsorgungsfachmesse WasteExpo in Las Vegas ein dreiachsiges, kommunales 30-Tonnen-Abfallsammelfahrzeug mit Hybridantrieb und einer Turbine als Range Extender. Der Antrieb stammt von Wrightspeed

  4. Angereist: Kawasaki 1400 GTR

    Kawasaki 1400 GTR: Für Reisefreunde

    Die Kawasaki 1400 GTR ist dazu gebaut, Kilometer zu fressen. Das tut sie mit beeindruckender Seelenruhe, hohem Komfort und dennoch Kawa-typisch einiger gebotener Fahrfreude

Anzeige