Die Pläne der Linux Foundation zu Secure Boot

3 Kommentare Autor: Jürgen (jdo)

Windows 8 UEFI Secure Boot kein Linux 150x150Nun hat sich die Linux Foundation mit einem Plan zu Wort gemeldet, wie man mit Secure Boot umgehen möchte. Somit könne man Linux und allen anderen Open-Source-basierten Betriebssysteme auf Rechnern mit aktiviertem Secure Boot einsetzen. Die Linux Foundation wird sich einen Schlüssel von Microsoft holen und einen kleinen Bootloader mit diesem signieren. Dieser kleine wird dann einen designierten Bootloader abfeuern, der dann wiederum Linux startet. Diese Methode setzt allerdings einen Anwender vor dem Rechner voraus. Somit will man sicherstellen, dass UEFI-Malware die Prozedur nicht ausnutzen kann. Dieser Pre-Bootloader lässt sich dann für CD/DVD-Installer oder LiveCDs einsetzen. Damit lässt sich auch ein installiertes Betriebssystem im Secure Mode starten. Um den Microsoft-Schlüssel zu bekommen, wird laut eigenen Angaben einige Zeit vergehen. Dieser wird dann aber auf der Webseite der Linux-Foundation hinterlegt.

Matthew Garret hat sich in seinem Blog ebenfalls zu der von der Linux Foundation angestrebten Methode geäußert. Das Problem hier ist ganz einfach, dass der Bootloader nicht vertrauenswürdige Abbilder startet, solange ein Anwender physikalisch vor dem Rechner sitzt und der Boot-Aktion seinen Segen gibt (bestätigt) – und das bei jedem Startvorgang. Sollte man die Maschine in den Setup-Modus versetzen, wird der Hash des Bootloaders aufgenommen, um künftig nicht mehr nachzufragen. Diese Methode sei weniger nützlich als shim und Garret empfiehlt den Einsatz von shim. Garret hat auch vor kurzer Zeit erklärt, wie kleinere Distributionen mit UEFI Secure Boot umgehen könnten.

Die Linux Foundation möchte sicherstellen, dass Anwender weiterhin freie Wahl bei der Plattform auf dem Rechner haben. Man habe bereits diverse Tools zur Verfügung gestellt, die es Anwendern erlaubt, die Kontrolle über ihre Secure-Boot-Plattformen zu erlangen, indem sie den Plattform-Schlüssel und die Key-Exchange-Schlüssel ersetzen. Die Tools gibt es hier. Nachdem nicht jeder diesen Weg gehen wird, musste man eine Möglichkeit finden, mit der Anwender weiterhin Linux nur ausprobieren können und von der UEFI-Secure-Boot-Barriere abgehalten würden.

Der derzeitige Pre-Bootloader bringt daher auch keine Sicherheits-Verbesserungen mit sich – es ist eigentlich so, als wäre UEFI Secure Boot deaktiviert. Einziger Zweck sei. dass sich Linux per Standard auf Rechnern starten lässt, die UEFI Secure Boot aktiviert haben. Die Linux Foundation findet die Anstrengungen der großen Distributionen (Fedora, openSUSE und Ubuntu) gut. Die eigene Methode sehe man als Zwischenlösung für Distributionen, bis sich diese mit UEFI Secure Boot auseinandergesetzt haben.

Den Quellcode für den Pre-Bootloader gibt es hier git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git.

Die Software ist so klein wie möglich, weil die gesamte Arbeit vom wirklichen Bootloader übernommen wird. Der echte Bootloader muss auf der selben Partition wie der Pre-Bootloader liegen und loader.efi bekannt sein. Der Pre-Bootloader wurd dann diese Binärdatei ausführen. Sollte dies wegen Secure Boot nicht erlaubt sein, wird der Anwender explizit mittels Splash-Screen gefragt, ob er die “unsichere” Datei ausführen möchte. Bejaht er das, startet sich der eigentliche Bootloader.

Ist, wie bereits erwähnt, der Setup-Modus aktiviert, erkennt loader.efi das und fragt den Anwender, ob er sich in den Olymp – also die Datenbank mit den vertrauenswürdigen Schlüsseln – aufnehmen darf. Fürderhin würde der Anwender dann nicht mehr von Microsoft UEFI Secure Boot gegängelt und er könnte seinen Rechner ohne weitere Unterbrechungen starten lassen – so ganz automatisch – wenn das kein Ding ist!

Un die Hardware-Hersteller machen fleißig mit, während Microsoft ihnen den Hahn zudreht. Intel pinkelt man ans Bein und schmust mit ARM. Ein eigenes Tablet will man auf den Markt bringen und zeigt allen anderen Herstellern den Stinkefinger. Ein eigenes Smartphone? Vielleicht … Steve Ballmer hat selbst gesagt, dass man künftig mehr Hardware selbst ausliefern möchte. Und die anderen Hardware-Hersteller? Knicken immer noch ein, wenn Microsoft hustet. Wäre nicht genau in den Zeiten, wo Microsoft von einer fundamentalen Änderung der eigenen Firma spricht auch die Zeit, dass die Hardware-Hersteller das ebenso tun? Microsoft will wie Apple werden – Leute in goldene Käfig sperren lohnt sich nämlich …




 Alle Kommentare als Feed abonnieren

3 Kommentare zu “Die Pläne der Linux Foundation zu Secure Boot”

  1. Partygast says:

    Ich kenne mich noch nicht wirklich mit dem Thema aus, deshalb meine Nachfrage:

    Immer steht dort etwas von "MS signiert den Bootloader". Heißt das, MS hat in Zukunft immer die Finger im Spiel, weil die Hardware Firmen das signieren nur von MS vorschreiben? Oder schriebt MS den Hardware Firmen vor, ihr dürft nur Hardware produzieren die nur wir signieren dürfen? Irgendwie klingt dies für mich nach einem Skandal erster Güte!

    Kostet das signieren etwas? Wenn ja, ist da nicht ein Monopol Problem? Wenn MS bei allen Verkäufen wg dem Signieren die Hand aufhält, ist das in meinen Augen nicht tragbar!

    • jdo says:

      Ja, es wird einmalig 99 US-Dollar kosten. Diese Gebühr geht aber meines Wissens nach an Verizon. Man nimmt Microsoft als Zertifizier-Dienst, weil die das stemmen können. Das Problem ist, dass sonst jede Distribution mit allen Hardware-Herstellern in Kontakt treten müsste und das ist nciht machbar. Also nimmt man einen Microsoft-Schlüssel, um Secure Boot zu sagen: Alles OK! und danach wird der normale Bootloader gestartet - wie zum Beispiel GRUB.

      Du kannst für Deine eigene Maschine natürlich auch einen privaten schlüssel erstellen und diesen im Setup Modus in die Secure Boot DB aufnehmen lassen. Das ist aber für eine Massenauslieferung einer Linux-Distribution untauglich. Das wäre ein Spaß, wenn jeder, der Linux installieren möchte, erst einen Schlüssel erzeugen und in die DB aufnehmen müsste.

      Microsoft schreibt Firmen vor, UEIF Secure Boot haben zu müssen, wenn diese "Für Windows 8 zertifiziert" auf der Hardware haben wollen. Allerdings kann der Hardware-Hersteller entscheiden, ob sich Secure Boot deaktivieren lässt.

      Bei ARM ist die Sache anders. Wer Windows 8 auf einem ARM-Gerät betreiben möchte, darf Secure Boot nicht deaktivierbar machen.

      • Partygast says:

        Danke für deine Ausführungen und das Licht in meinem Dunkel.

        Ich denke zwar nicht, dass MS die einzigen sein sollen die dies Stemmen können, aber dafür kannst du ja nichts. 😉

        Wir brauchten eine unabhängige Zertifizierungsstellen und MS hat gefälligst, wie alle Anderen auch, dann den Schlüssel von dieser Zertifizierungsstelle zu nehmen. Basta! Diese Stelle kann dann auch eine Vereinigung der großen Firmen sein, mindesten 5 und auch aus verschiedenen Kontinenten. Gewinn darf die Stelle nicht machen, aber natürlich kostendeckend arbeiten. Sollte Gewinn anfallen, muss er gespendet werden. Das war jetzt nur spontan so ins Blaue gedacht, aber für mich klingt es erstmal gut. 🙂