Linux Foundation kämpft mit Microsofts Secure-Boot-Signierservice

James Bottomley von der Linux Foundation hat es trotz mehrerer Anläufe bislang nicht geschafft, den Mini-Boot-Loader zum Start von Linux auf Systemen mit UEFI Secure Boot von Microsoft signieren zu lassen. Wie das Mitglied des Technical Advisory Board (TAB) der Linux Foundation in einem Blog-Eintrag berichtet, konnte er einige Vorarbeiten zum Signieren des Boot-Loaders noch erfolgreich mit einem Linux-System ausführen, obwohl Microsoft eigentlich eine bestimmte Windows-Plattform vorschreibt. Zum Hochladen des CAB-Archivs mit dem Bootloader musste er dann aber doch eine virtuelle Maschine mit Windows bemühen, weil für diesen Schritt Silverlight erforderlich ist und die quelloffene Silverlight-Implementation Moonlight nicht funktionierte.

Nach dem Hochladen sollte das Archiv einen sieben Schritte umfassenden Prozess durchlaufen, wie Bottomley schreibt. Beim sechsten Schritt sei es nicht mehr weiter gegangen, daher habe er nach sechs Tagen nachgefragt, wo es hakt. Microsofts Support habe daraufhin geantwortet, dass es sich nicht um eine gültige Win32-Applikation handle. Darauf antwortete Bottomley, das sei ganz offensichtlich der Fall, denn es sei ein 64-Bit-UEFI-Binary – um darauf keine weitere Antwort zu erhalten. Er startete einen neuen Signierprozess und kam diesmal weiter, denn er erhielt eine E-Mail mit einem signierten Boot-Loader zurück – der Text der Mail erklärte allerdings, der Signaturprozess sei gescheitert. Auf Nachfrage antwortete Microsofts Support, er solle die Datei nicht verwenden, sie sei fehlerhaft signiert.

Bottomley schließt mit der Erklärung, er warte weiter darauf, dass Microsoft der Linux Foundation einen signierten Boot-Loader liefere. Sobald das passiert sei, werde die Foundation den Boot-Loader auf die eigene Website stellen, damit ihn jeder uneingeschränkt nutzen könne.

Auf der vor zwei Wochen abgehaltenen Linuxcon Europe 2012 hat Bottomley in einem Vortrag (Vortragsfolien) erläutert, warum UEFI Consortium, Linux Foundation, Hardware-Hersteller und auch keine der Linux-Distributionen ein eigenes Zertifikat erstellt haben, um damit Boot-Loader zu signieren, wie es Microsoft zusammen mit Verisign macht: Es sei schlicht zu teuer. So habe die Foundation mit Verisign verhandelt, um zusammen einen Signatur-Service aufzusetzen – das Unternehmen hätte dafür aber viele Millionen Dollar verlangt. Die Linux Foundation habe auch überlegt, selbst eine Zertifizierungsstelle zu starten, diesen Plan aber verworfen, weil es ein immenser Aufwand gewesen sei, der mit hohen Kosten verbunden gewesen wäre. (thl)