Systemd will Linux-Start per UEFI Secure Boot absichern

Die Systemd-Entwickler wollen UEFI und Secure Boot einsetzen, um Angreifer auszubooten, die beim Boot-Vorgang gestartete Software austauschen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 286 Beiträge
Von

Die Systemd-Entwickler wollen den Boot-Loader Gummiboot in ihre Sammlung von Software zum Start und Betrieb von Linux-Distributionen integrieren. Zusammen mit einigen jüngst an Gummiboot vorgenommenen Änderungen und der UEFI Secure Boot wollen die Systemd-Entwickler einen vollkommen abgesicherten Start von Linux-Distributionen ermöglichen – dadurch sollen etwa Anwender von Notebooks sicher gehen können, dass im Boot-Prozess keine Keylogger oder andere Software gestartet werden, die ein Angreifer dem System untergemogelt hat.

Dazu kann der UEFI-Boot-Loader Gummiboot seit kurzem Images erzeugen und starten, die Kernel, Initramfs, Boot-Parameter und Informationen zum Betriebssystem enthalten. Anwender können dieses Image signieren und UEFI Secure Boot konfigurieren, damit das System nur mit dem eigenen Schlüssel signierte Images startet. Ein Angreifer kann daher nicht mehr das Initramfs eines Notebooks modifizieren, um darüber beim nächsten Boot die Passphrase zum Entschlüsseln der Root-Dateisystems einer installierten Linux-Distribution abzugreifen.

Systemd-Entwickler Lennart Poettering kündigte die baldige Aufnahme von Gummiboot in einem Vortrag auf der FOSDEM an, die vergangenes Wochenende in Brüssel stattfand. Dabei leitete er die Ankündigung des Ganzen gleich mit den Worten ein, die Leute "werden diesen Schritt hassen". Es betonte im Rahmen der Beschreibung aber, wie viele andere Komponenten der Init-Platform werde der Einsatz von Gummiboot optional sein; es bleibt den Distributionen überlassen, ob sie Gummiboot einsetzen oder nicht. Ohnehin ist das nur bei Systemen möglich, die das Betriebssystem mit UEFI-Mechanismen starten, denn anders als etwa Grub 2 ist Gummiboot für seine Arbeit auf UEFI angewiesen. (thl)