Login
Newsletter
Werbung

Do, 11. Oktober 2012, 10:21

Software::Security

Linux Foundation plant eigenen Loader für UEFI Secure Boot

Die Linux Foundation hat einen Plan vorgestellt, wie Linux- und andere freie Software-Distributionen booten können, auch wenn Secure Boot aktiviert und kein Schlüssel außer dem von Microsoft vorhanden ist.

Linux Foundation

»UEFI Secure Boot« ist eine Funktion kommender PCs, die von Microsoft von den Herstellern gefordert wird, die das Windows-8-Logo erhalten wollen. Ist sie eingeschaltet, so lädt das BIOS nur Komponenten, die eine gültige kryptografische Signatur tragen. Dazu müssen im BIOS Schlüssel hinterlegt sein. Auf PCs wird Secure Boot über das BIOS abschaltbar sein, auch die Schlüssel sind änderbar. Dennoch ist es das Ziel der meisten Linux-Distributionen, auf allen Rechnern lauffähig zu sein, ohne dass BIOS-Einstellungen geändert werden müssen.

Verschiedene Linux-Distributionen wurden zum Thema Secure Boot bereits aktiv, so Fedora, Ubuntu und Suse. Außer Fedora hat aber bisher keine Distribution einen Plan vorgelegt, wie auch kleine Distributionen, die keinen signierten Bootloader erwerben wollen, mit Secure Boot lauffähig bleiben können. Schon in früheren Abhandlungen wurde oft auf die Linux Foundation verwiesen, die dieses Problem zentral behandeln könnte. Nun hat die Linux Foundation entsprechende Arbeiten in die Wege geleitet. Kernel-Entwickler James Bottomley, Mitglied des Technical Advisory Board der Linux Foundation, hat in einem Gastbeitrag im Blog der Organisation den neuen Plan erläutert.

Anders als die Distributionen, die auch die zusätzliche Sicherheit nutzen und die Unversehrtheit der Software durch Prüfung der kryptografischen Signatur verifizieren wollen, sieht der Plan der Linux Foundation lediglich vor, Linux auch bei aktiviertem Secure Boot starten zu können. Die kryptografische Verifikationskette soll dabei unterbrochen werden. Einen minimalen Schutz vor UEFI-Malware soll eine interaktive Bestätigung durch den Benutzer gewährleisten. Diese kann aber entfallen, sobald ein korrekter Schlüssel im BIOS installiert ist und signierte Komponenten gebootet werden.

Der Plan der Linux Foundation stellt zwar eine Alternative zum Vorgehen der Distributionen dar, doch die Organisation begrüßt ausdrücklich deren Arbeiten an Secure Boot. Im Einzelnen besteht der Plan darin, von Microsoft einen Schlüssel zu erhalten und einen kleinen Bootloader damit zu signieren. Dieser Bootloader lädt ohne weitere Signaturprüfungen einen normalen Bootloader wie Grub 2 oder den Bootloader eines anderen Systems. Dieser Bootloader kann sowohl für CD- und USB-Medien als auch für Festplatten verwendet werden. Da das Signieren noch eine Weile dauern kann, wird der Bootloader auf der Webseite der Linux Foundation bereitgestellt, sobald er verfügbar ist. Der Quellcode ist bereits jetzt im Versionsverwaltungssystem des Kernels unter git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git als Loader.c erhältlich.

Dieser Loader versucht einfach, eine Datei loader.efi zu laden. Ist diese gültig signiert, kann sie direkt ausgeführt werden. Andernfalls verlangt der Lader vom Benutzer eine Bestätigung und startet dann loader.efi ohne Sicherheitsverifikation. Dieses Verfahren ist offensichtlich umständlich für installierte Systeme und unbrauchbar für Server. Daher prüft der Lader auch, ob sich das System im Setup-Modus befindet. Ist das der Fall, bitter er den Benutzer um Erlaubnis, den Schlüssel von loader.efi im BIOS installieren zu dürfen. Wenn dies erfolgt, kann fortan ohne interaktive Abfrage sicher gebootet werden. Der Loader wird auch Hinweise auf eine Webseite der Linux Foundation geben, die erklärt, wie man das System in den Setup-Modus bringen kann.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung