Linux auf einem Microsoft Surface Tablet – keine einfache Aufgabe
Der Meister in Sachen UEFI Secure Boot, Matthew Garret, hat sich in seinem Blog noch einmal zu Wort gemeldet und zwar in Sachen Microsoft Surface Tablet und Linux. Es sei keine einfache Aufgabe, das zum Laufen zu bringen. Wie viele andere ARM-Geräte auch, hat das Microsoft-Tablet ein gesperrte Firmware, die nur digital unterschriebene Binärdateien laufen lässt. Dafür wird UEFI Secure Boot verwendet.
Microsoft biete ja einen Dienst an, um solche UEFI-Binaries zu unterschreiben. Man könnte also denken, einfach einen Linux Bootloader unterschreiben zu lassen und diesen dann auf dem Tablet starten. So einfach ist das aber nicht, weil Microsoft für ARM-Geräte einen anderen Schlüssel verwendet (Microsoft Windows UEFI Driver Publisher) und das Surface beinhaltet diesen Schlüssel nicht. Um Linux auf diesen Geräte starten zu können, müsste eine Lücke in der Firmware gefunden werden, die es zulässt, beliebigen Code laufen zu lassen – auf deutsch eine ziemlich fiese Sicherheitslücke.
Garret geht dann darauf ein, ob das ein Problem für die x86-Plattform sein könnte. Die Antwort ist “theoretisch ja”. Microsoft schreibt den Anbietern nicht vor, den Driver Publisher Key mit auszuliefern. Somit könnte ein System für Windows 8 zertifiziert sein und diesen Schlüssel aber nicht ausliefern. Unwahrscheinlich ist es, weil dann jede Hardware von Drittanbietern auf diesem Gerät nicht laufen würde. Wer Gegenbeispiele findet, möchte es Garret wissen lassen.
Nun hat sich gleich ein Leser gemeldet, der auf einem Fujitsu-Notebook mit aktiviertem UEFI Secure Boot keine EFI-Binary zum Laufen bekommt – außer dem Windows Boot Manager. Leider hat er das genaue Modell nicht angegeben.
Ich wiederhole mich hier, aber wenn es schon ein Notebook mit Windows 8 vorinstalliert sein muss, bohrt nach, ob sich UEFI Secure Boot zumindest deaktivieren lässt. Ist das nicht der Fall, kannst Du derzeit die meisten Linux-Distributionen nicht installieren. Ich hatte gestern geschrieben, dass sich auf meinem Acer Aspire V3-571G sowohl Ubuntu 12.10 “Quantal Quetzal” mit aktivierten UEFI Secure Boot starten, als auch diesen Quatsch deaktivieren und dann jegliche andere Linux-Distribution installieren kann. Dummerweise brauche ich Windows 8 zwei bis vier Mal im Jahr, sonst hätte ich mich für ein Notebook ohne das Microsoft-Betriebssystem entschieden.