Menü

Secure-Boot-Weg von der Linux Foundation

Von
vorlesen Drucken Kommentare lesen 312 Beiträge

Die Linux Foundation und ihr Technical Advisory Board (TAB) haben einen Plan vorgestellt, wie Linux leicht auf Systemen starten soll, bei denen UEFI Secure Boot aktiv ist. Der Plan umfasst den sehr einfach gehaltenen und zeitgleich veröffentlichten Pre-Bootloader "Loader", den die Linux-Foundation mit dem Microsoft-Key signieren lassen will. Typische Secure-Boot-PCs werden den zugehörigen öffentlichen Schlüssel zur Verifikation mitbringen, damit sie Windows 8 per Secure Boot starten können – daher sollten sie auch den Mini-Loader für Linux bei aktivem Secure Boot starten, sofern der nicht auf der DBX genannten Blacklist steht, die die UEFI-Firmware verwaltet.

Soweit ähnelt der Ansatz jenem von Fedora, Suse oder Ubuntu, wobei die drei als Pre-Boot-Loader Shim nutzen wollen. Genau wie Shim soll der Linux-Foundation-Loader dann einen vollwertigen Bootloader wie Grub 2 starten, der Linux oder andere Betriebssysteme bootet. Anders als bei den drei großen Distributionen soll der vollwertige Bootloader bei der Vorgehensweise der Linux Foundation allerdings nicht signiert werden. Damit der Mini-Bootloader nicht ungefragt Schad-Code ausführt, fragt er den Anwender, ob er den vollwertigen Bootloader als vertrauenswürdig einstuft; wenn das der Fall ist und die UEFI-Firmware sich im Setup Mode befindet, soll Loader diese Information bei der Firmware hinterlegen, damit es den vollwertigen Boot-Loader fortan ohne Nachfrage ausführt. Der Mini-Loader soll auf eine Webseite verweisen, die erläutert, wie Anwender Systeme in den Setup Mode versetzen.

Letztlich wird beim Linux-Foundation-Weg somit nur die Signatur des Mini-Bootloaders Loader geprüft. Bei Ubuntu hingegen soll der Mini-Bootloader Shim auch den vollwertigen Bootmanager prüfen und diesen nur ausführen, wenn er eine gültige Signatur aufweist. Das ist auch bei Fedora und Suse vorgesehen. Anders als bei Ubuntu soll der vollwertige Bootloader dieser beiden Distributionen nur signierte Kernel starten. Diese sollen zumindest bei Fedora so abgedichtet werden, dass sie keine unsignierten Module laden und kein anderes Betriebssystem (etwa per Kexec) starten können – einem so gestarteten Windows ließe sich sonst vorspielen, es sei per UEFI Secure Boot gestartet worden, während im Hintergrund Schadsoftware arbeitet. Ohne eine solche weitergehende Absicherung des Systems, so die Befürchtung von Red-Hat-Entwickler Matthew Garrett, könnte Microsoft den verwendeten Bootloader auf die via Windows-Update an die Systeme ausgelieferte Blacklist setzen, sodass die Firmware dann den zum Linux-Boot genutzten Mini-Bootloader bei aktivem Secure Boot nicht mehr starten würde.

Die Linux-Foundation-Pläne hat James Bottomley bekannt gegeben, der wie nahezu alle anderen Mitglieder des Technical Advisory Boards zu den wichtigsten Kernel-Entwicklern zählt. Matthew Garrett, ebenfalls wichtiger Kernel-Entwickler und treibende Kraft hinter den Secure-Boot-Plänen von Fedora, merkt in einem Blog-Eintrag an, Loader sei weniger nützlich als der maßgeblich von ihm entwickelte Shim. Dort erwähnt er zudem, dass der Mini-Loader der Linux Foundation im Setup Mode lediglich einen Hash des vollwertigen Bootloaders bei der Firmware hinterlegt, um dem Nutzer weitere Nachfragen zu ersparen. Bottomley schreibt in seiner Erläuterung hingegen, der Linux-Foundation-Loader könne die Signatur-Datenbank selbst erweitern – wie Garrett in einem Foren-Beitrag bei LWN.net erläutert, sei bei den meisten Systemen dazu allerdings ein Schlüssel erforderlich, den typischerweise nur Microsoft und der jeweilige Mainboard-Hersteller haben. Das sei der Grund, warum Suse sich eine Erweiterung für Shim ausgedacht hat, um Verifikationsschlüssel in einer MOK (Machine Owner Keys) genannten Datenbank zu hinterlegen, die der Anwender aktualisieren kann, ohne in das UEFI-Setup (das UEFI-Äquivalent zum BIOS-Setup) zu müssen, die sich zwischen UEFI-Systemen erheblich unterscheiden. Die Unterstützung für die MOK-Ablage ist kürzlich in Shim integriert worden. Welcher dieser Wege sich wo durchsetzt und ob alles so funktioniert, wie sich die Entwickler der verschiedenen Ansätze es ausmalen, werden die kommenden Monate zeigen müssen. (thl)

Anzeige
Anzeige