Secure Boot Bootloader (shim) für Distributionen ist verfügbar

Matthew Garret hat in seinem Blog angekündigt, dass es ab sofort eine verwendbare Version von shim zum Download gibt. Die Software richtet sich an jene Distributionen, die Secure Boot unterstützen, aber nichts mit Microsoft zu schaffen haben wollen. Um es zu benutzen, müsse man shim.efi nach bootx64.efi umbenennen und in das Verzeichnis /EFI/BOOT auf dem UEFI-Installations-Medium einspielen. MokManager.efi solltest Du auch in das Verzeichnis legen. Nun musst Du noch sicherstellen, dass die Bootloader Binary grubx64.efi heißt und auch in diesem Verzeichnis liegt.

Nun müsse man ein Zertifikat erstellen und den öffentlichen Schlüssel als eine binäre DER-Datei auf das Installations-medium legen. Beim Start wird der Anwender 10 Sekunden Zeit haben (Count Down), die Option “Enroll Key from disk” auszuwählen. Nun muss er sich dahin bewegen, wo der öffentliche Schlüssel liegt und den Anweisungen folgen. Jedem Bootloader, der mit diesem Schlüssel unterschrieben wird, vertraut shim. Somit solle man sicherstellen, dass das grubx64.efi damit unterschrieben ist.

UEFI Secure Boot an oder aus?

Ich für meinen Teil habe UEFI Secure Boot auf meinem neuen Notebook deaktiviert, weil ich den Unsinn wirklich nicht brauche. Im Zweifelsfall sollten Linuxer sich einfach vorher erkundigen, ob das BIOS eine Deaktivierung dieser Erfindung aus der digitalen Folterkammer erlaubt – dann gibt es gar keine Probleme.

Garret merkt noch an, dass er nun offiziell nicht mehr für Red Hat arbeitet und die Software von ihm veröffentlicht wurde. Bei Fragen sollte man sich deswegen an ihn direkt wenden und nicht Red Hat. Er bedankt sich aber bei SUSE für das MOK-Konzept und auch bei allen Red-Hat-Mitarbeitern, die Feedback zu UEFI Secure Boot geliefert haben.