openSUSEs Schlachtplan bezüglich UEFI Secure Boot veröffentlicht

Kein Kommentar Autor: Jürgen (jdo)

openSUSE Logo 150x150Auf der openSUSE-Konferenz in Prag wurde darüber diskutiert, wie die Linux-Distribution mit dem Chamäleon das UEFI-Secure-Boot-Problem behandelt. Dazu gibt es auch eine Präsentation. Allerdings wollte Frederic Crozat auch noch mal detailliert darüber berichten.

Seitdem Microsoft den Herstellern diese fragwürdige Funktion aufgebürdet hat (keine Windows-8-Zertifikation ohne UEFI Secure Boot im System), versuchen die Linux-Distributionen es den Anwendern so einfach wie möglich zu machen. Die Registrierung für einen eigenen Schlüssel scheint nicht ganz so trivial zu sein und die Linux Foundation wartet immer noch darauf. Um openSUSE also auf einem System mit aktivierten UEFI Secure Boot ohne weiteres Zutun (eigener Schlüssel oder Secure Boot deaktivieren) zu installieren, müssen man die Distribution entsprechend anpassen.

Viele der für den Kernel beschriebenen Funktionenbefinden sich bereits in Version 3.7 oder dann auch 3.8, der eventuell in openSUSE 12.3 verwendet wird. Interessant in der Sektion ist, dass man Hibernation im Secure-Boot-Modus deaktivieren muss, bis man garantieren kann, ein sich im Schlaf befindliches System wieder sicher aufzuwecken. Also ein weiterer Punkt, der die Installation für Linux auf einem System mit aktivierten Secure Boot etwas unangenehmer für den Anwender macht. Ein weiterer Grund für Linux-Anwender zu recherchieren, nur Rechner zu kaufen, in denen sich Secure Boot auch deaktivieren lässt.

Als Bootloader wird man Shim einsetzen und man muss GRUB2 dahingehend modifizieren, die Kernel-Signatur während des Startens zu überprüfen. Man überlegt sich, ob man während der Installation eine Warnmeldung ausgeben soll, dass Secure Boot aktiviert ist. Das ist allerdings nicht in Stein gemeisselt. Das gilt auch für das Signieren des Installers, damit dieser nicht-signierte Module laden kann.

Natürlich müsse man auch durch den Microsoft-Prozess gehen, um Shim mit dem UEFI-Schlüssel auszustatten. Damit sollte man besser sofort anfangen, da dies etwas dauern kann – Stichwort Linux Foundation.

Man habe viel Arbeit vor sich, aber ist überzeugt, openSUSEs nächste Version für UEFI Secure Boot fit zu machen.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.