Praxis & Tipps | FAQ

Thorsten Leemhuis

UEFI Secure Boot und Linux

Antworten auf die häufigsten Fragen

Nutzen

Was soll UEFI Secure Boot und profitiere ich als Linux-Anwender überhaupt davon?

Das mit Version 2.3.1 des Unified Extensible Firmware Interface (UEFI) spezifizierte Secure Boot soll verhindern, dass sich Schadsoftware im System an einer Stelle verankert, wo sie vor dem Start des Betriebssystems ausgeführt würde. Ein dort sitzender Schädling kann alle Hardwarezugriffe abfangen und sich dadurch so gut verstecken, dass er aus dem Betriebssystem heraus nicht zu erkennen ist; solch ein Schädling könnte zudem leicht Tastatureingaben mitschneiden.

Wie bei anderen Sicherheitstechniken verhindert auch Secure Boot nicht alle denkbaren Angriffe, über die Schädlinge sich vor dem Betriebssystemstart einnisten können. Die Technik macht es aber erheblich aufwendiger, was diese Angriffsart deutlich unattraktiver macht.

Installation

Kann ich Linux auf PCs mit UEFI Secure Boot installieren?

Bei aktivem und korrekt implementiertem Secure Boot können Sie nur Linux-Distributionen installieren, die per UEFI starten und dazu einen Bootloader nutzen, der mit einem Schlüssel signiert wurde, den die UEFI-Firmware Ihres Systems als vertrauenswürdig einstuft. Von den bekannteren Distributionen erfüllen derzeit nur Ubuntu 12.10 und das parallel zu dieser c’t erwartete Fedora 18 (siehe S. 67) diese Voraussetzung.

Da sich die Hardware-Hersteller typischerweise an die Hardware Certification Requirements halten, die ein Windows-8-Logo tragen, lassen sich allerdings auch andere Distributionen installieren. Microsoft schreibt in den Anforderungen für Komplettsysteme und Notebooks vor, dass das Betriebssystem per UEFI starten und Secure Boot aktiv sein muss; das ist der Grund, warum viele neue PCs die Techniken nutzen. Microsofts schreibt aber auch vor, dass UEFI Secure Boot über das Setup der UEFI-Firmware ausschaltbar sein muss – bei manchen Systemen ist es allerdings alles andere als offensichtlich, wie man das macht.

Bei deaktiviertem UEFI Secure Boot startet Linux ganz normal per UEFI. Alle 2012 vorgestellten Mainstream-Distributionen beherrschen das prinzipiell, zeigen aber auf manchen Systemen noch Probleme; etwa beim Start des Kernels oder der Einrichtung des Bootloaders.

Die UEFI-Firmware derzeitiger PCs kann Betriebssysteme nicht nur per UEFI – mit oder ohne Secure Boot – starten, sondern mithilfe eines CSM (Compatibility Support Module) genauso in Gang bringen, wie es ein BIOS macht. Secure Boot ist dann nicht aktiv. Beim Booten mit den BIOS-Mechanismen kann Windows auf dem Boot-Datenträger allerdings nur maximal 2 TByte Speicherplatz nutzen; daher sollten Sie per UEFI booten, wenn der Boot-Datenträger mehr Platz bietet sowie Linux und Windows aufnehmen soll.

Deaktivieren

Wie lässt sich UEFI Secure Boot ausschalten, und booten bereits installierte Betriebssysteme anschließend noch?

Ähnlich wie bei BIOS-Setups gibt es auch bei UEFI-Firmware unterschiedliche Setup-Implementierungen, die Mainboard- und System-Hersteller oft noch anpassen. Die Wege zum Deaktivieren von Secure Boot unterscheiden sich daher erheblich. Für gewöhnlich stehen die Einträge zum Ein- und Ausschalten von Secure Boot bei denen für die Boot-Konfiguration. Dort lässt sich auch das CSM aktivieren, falls Sie UEFI umschiffen wollen; in manchen Firmware-Setups heißt die Option auch „Legacy Boot“. Ob Linux per CSM oder UEFI gestartet wurde, lässt sich am Vorhandensein des Verzeichnisses /sys/firmware/efi/ erkennen, das es nur beim Booten via UEFI gibt. Im UEFI-Modus installierte Betriebssysteme starten auch nach dem Deaktivieren von Secure Boot. Sie booten aber nicht beim Start via CSM – achten Sie daher beim Deaktivieren von Secure Boot darauf, UEFI nicht komplett auszuschalten.

Microsofts Rolle

Warum hat Microsoft bei Secure Boot seine Finger im Spiel?

Zum Erstellen und Validieren der bei Secure Boot genutzten Signaturen sind mehrere Schlüssel nötig. Microsoft hat solche erstellt und nutzt einen davon, um den beim Booten von Windows 8 ausgeführten Code zu signieren. Durch die Logo-Richtlinien und die Marktbedeutung von Windows haben Hardware-Hersteller ein großes Interesse, die Schlüssel zur Prüfung der Microsoft-Signatur in ihre UEFI-Firmware zu integrieren.

Microsoft betreibt zudem mit Verisign einen Dienst, über den jedermann einen Bootloader einreichen kann, den Microsoft nach einer Prüfung signiert. Das haben die Fedora- und Ubuntu-Entwickler zum Signieren ihrer Bootloader genutzt, daher stufen für Windows 8 ausgelegte Secure-Boot-PCs auch diese als vertrauenswürdig ein.

Jeder andere könnte wie Microsoft die für Secure Boot benötigten Schlüssel erstellen, um sie selbst zu nutzen oder einen ähnlichen Signaturdienst anzubieten. Diese Möglichkeit haben weder das UEFI Consortium noch Hardware-Hersteller, Linux-Distributoren oder die Linux Foundation wahrgenommen. Der Secure-Boot-Beauftragte des technischen Leitungsgremiums der Linux Foundation erklärte, die Interessenvereinigung habe aufgrund der hohen Kosten davon abgesehen. Zudem war unklar, ob überhaupt genug Hardware-Hersteller die öffentlichen Schlüssel in ihre Firmware integrieren würden, damit PCs von der Stange Bootloader als vertrauenswürdig einstufen würden, die die Linux Foundation signiert hat.

Eigenbau

Kann ich selbst eine Live-Distribution erstellen, die per UEFI Secure Boot startet?

Das gelingt mit dem kostenlos erhältlichen Mini-Bootloader Shim, der einen vollwertigen Bootloader aufruft – üblicherweise Grub 2, der dann Linux startet. Kernel-Entwickler Matthew Garrett hat Shim programmiert und von Microsoft signieren lassen; um das Schutzprinzip von Secure Boot nicht auszuhebeln, führt Shim den vollwertigen Bootloader erst aus, nachdem der Anwender über einen Dateiauswahl-Dialog einen Schlüssel ausgewählt hat, mit dem Shim die Signatur des vollwertigen Bootloaders prüfen kann.

Auch Ubuntu 12.10 und Fedora 18 verwenden Shim – dort gibt es allerdings keine Nachfrage beim Anwender, weil die Distributoren eine modifizierte Variante nutzen, die bereits alles zum Validieren von Grub 2 enthält.

Die Linux Foundation arbeitet an einem Bootloader, der noch einfacher gestrickt ist als Shim und einen ähnlichen Ansatz verwendet. Bei Redaktionsschluss war dieser „Loader“ aber noch nicht von Microsoft signiert, weil ein Vertreter des Konsortiums Schwierigkeiten mit Microsofts Signaturdienst hatte. (thl)

Artikel kostenlos herunterladen

weiterführende Links

Infos zum Artikel

Kapitel
  1. Nutzen
  2. Installation
  3. Deaktivieren
  4. Microsofts Rolle
  5. Eigenbau
0Kommentare
Kommentieren
Kommentar verfassen
Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (2)

Anzeige