Software::Distributionen::Canonical
Canonical mit eigenem Schlüssel für Secure Boot
Der Linux-Distributor Canonical geht mit einem eigenen Signaturschlüssel, der in möglichst vielen Rechnern im BIOS enthalten sein soll, einen anderen Weg als Red Hat. Zugleich wird aber auch ein von Microsoft signierter Bootloader angestrebt, damit Ubuntu ohne Änderungen der BIOS-Einstellungen installierbar bleibt.
Jon Melamut von Canonical hat in einem Blog-Eintrag das Vorgehen von Canonical offiziell erläutert. Canonical war sich schon lange der Problematik von UEFI Secure Boot bewusst, insbesondere weil Canonical als Mitglied an der Spezifikation von UEFI beteiligt war. Dabei hat das Unternehmen laut Melamut stark darauf hingewirkt, dass die Benutzer die Kontrolle über ihre Rechner behalten, insbesondere solche Rechner, die mit vorinstalliertem Windows kommen. Dabei ist es Canonical wohl nicht gelungen, seine Vorstellungen vollständig durchzusetzen, denn wie Ubuntu-Gründer und Canonical-Chef Mark Shuttleworth auf der Mailingliste anmerkte, hat Canonical zwar einen eigenen Signaturschlüssel für Secure Boot erstellt, aufgrund der Mängel im Design von Secure Boot werde es aber weiterhin nötig sein, dass der Microsoft-Schlüssel auf jedem PC vorhanden ist, da die Treiber nur von einem einzelnen Schlüssel signiert sein können.
Schon Ende Oktober 2011 hatte Canonical gemeinsam mit Red Hat ein Whitepaper zu Secure Boot veröffentlicht und darin Secure Boot grundsätzlich als nützlich bezeichnet, jedoch auch auf die Nachteile hingewiesen und an die Hersteller appelliert, eine einfache Möglichkeit zum Ein- und Ausschalten der Sicherheitsfunktion vorzusehen.
Diese Arbeit geht laut Melamut weiter. So erwägt Canonical, am WinQual-Programm von Microsoft teilzunehmen. Canonical hat jedoch auch einen eigenen Signaturschlüssel erzeugt und wirkt nun auf die Hersteller ein, diesen möglichst in ihr BIOS aufzunehmen. Melamut lädt alle Interessierten ein, die technischen Details in der Entwickler-Mailingliste von Ubuntu nachzulesen und an der Diskussion teilzunehmen.
Die Nutzung eines eigenen Schlüssels hat für Canonical allerdings mehrere Konsequenzen. Die erste ist, dass Canonical von seinen OEM-Partnern fordert, dass sie den Ubuntu-Schlüssel in das BIOS aufnehmen, und dass ferner die Benutzer die Schlüssel ersetzen oder Secure Boot ganz abschalten können. Dies ist im Detail in den Ubuntu ODM UEFI Requirements (PDF) nachzulesen und wurde von Matthew Garrett von Red Hat bereits thematisiert. Laut Garrett sind die Anforderungen die gleichen wie bei Microsoft, nur dass letztere einen Signierdienst anbieten, Ubuntu dagegen nicht. Ein zertifiziertes Ubuntu-System sei daher noch restriktiver als ein Windows-8-System. Bei dieser Aussage ist allerdings zu bedenken, dass sie von einem Konkurrenten von Ubuntu kommt und dass Fedora mit seinem Ansatz eines von Microsoft signierten, aber Fedora-spezifischen Bootloaders einen ebenso umstrittenen Weg geht. Zudem war Garrett wohl auch noch nicht bekannt, dass Canonical zusätzlich die Existenz des Microsoft-Schlüssels voraussetzt und daher Ubuntu-zertifizierte Systeme nach Meinung des Distributors nicht restriktiver als Windows-zertifizierte Systeme sind.
Garretts nochmalige Frage, ob Canonical einen Signierdienst mit seinem Schlüssel anbieten werde, wurde in einem technischen Artikel auf der Mailingliste endgültig verneint. Die Autoren weisen darauf hin, dass im Bedarfsfall der Signierdienst von Microsoft verwendet werden könne.
Wie der technische Artikel nochmals darlegt, ist es zwar möglich, dass die Benutzer im BIOS eigene Schlüssel installieren oder Secure Boot ganz abschalten. Canonical will jedoch auch ermöglichen, dass die Benutzer Ubuntu ohne Änderung des BIOS installieren können. Dazu ist ein signierter Bootloader nötig, und auf einigen Systemen wird es der von Canonical signierte sein. Hier soll aber nicht GRUB 2 zum Einsatz kommen wie bisher. Diese Entscheidung war für Canonical keine leichte, denn die Ubuntu-Entwickler haben laut dem Artikel erhebliche Beiträge zu GRUB 2 geleistet. Der Bootloader steht jedoch unter der GPLv3. Wenn ein Hersteller nun einen Fehler macht und ein verschlossenes System ausliefert, das mit dem Canonical-Schlüssel signiert ist, ist laut Canonical nicht auszuschließen, dass das Unternehmen verpflichtet sein würde, den privaten Schlüssel herauszugeben. Dies würde zum Zurückziehen des Schlüssels führen und alle von Canonical signierten Komponenten wertlos machen. Da GRUB 1 ebenfalls keine Option ist, weil es veraltet ist, entschied sich Canonical für den efilinux-Loader von Intel, der unter einer liberaleren Lizenz steht.
Canonical plant nicht, den Kernel und Treiber zu signieren, was allen Benutzern die Möglichkeit offen hält, eigene Kernel einzusetzen. Auf Ubuntu-Boot-CDs soll ein Bootloader zum Einsatz kommen, der von Microsoft signiert ist, da der Microsoft-Schlüssel der einzige sein wird, dessen Existenz im BIOS auf allen PCs vorausgesetzt werden kann. Dieser soll dann efilinux booten, worauf der Bootvorgang mit einem Ubuntu- oder anderen Kernel fortgesetzt werden kann.
