Software::Distributionen
Secure Boot für kleine Distributionen
Matthew Garrett hat in seinem Blog beschrieben, wie Distributionen durch die Arbeit von Fedora und Opensuse das Secure-Boot-Problem lösen können.
fedoraproject.org
»UEFI Secure Boot« ist eine Funktion kommender PCs, die von Microsoft von den Herstellern gefordert wird, die das Windows-8-Logo erhalten wollen. Ist sie eingeschaltet, so lädt das BIOS nur Komponenten, die eine gültige kryptografische Signatur tragen. Dazu müssen im BIOS Schlüssel hinterlegt sein. Auf PCs wird Secure Boot über das BIOS abschaltbar sein, auch die Schlüssel sind änderbar. Dennoch ist es das Ziel der meisten Linux-Distributionen, auf allen Rechnern lauffähig zu sein, ohne dass BIOS-Einstellungen geändert werden müssen.
Matthew Garrett von Fedora hatte schon Anfang Juni beschrieben, wie Fedora die Situation handhaben will. Laut seinem aktuellen Blog-Eintrag hat der Plan immer noch weitgehend Bestand. Dieser Plan besteht darin, einen kleinen Bootloader namens Shim einzusetzen, der den Fedora-Schlüssel enthält. Dieser Bootloader soll von Microsoft signiert werden, was die Bootfähigkeit in allen PCs sicherstellt, die den Microsoft-Schlüssel im BIOS enthalten - das werden voraussichtlich so gut wie alle sein.
Das Signieren des Bootloaders schlägt einmalig mit knapp 100 US-Dollar zu Buche und stellt damit für Fedora kein Problem dar. Für kleinere Distributionen ist es hingegen keine Lösung. Diese Distributionen haben nach Garrett mehrere Optionen. Sie können von den Benutzern verlangen, Secure Boot zu deaktivieren, was nicht ideal und wegen der nicht standardisierten Oberfläche auch nicht für jeden einfach ist. Sie könnten die Benutzer auch auffordern, die Schlüssel aus dem BIOS zu löschen, womit der Rechner in den Setup-Modus gebracht wird, und dann neue Schlüssel anlegen. Auch das ist nicht einfach.
Die beste Alternative scheint die Verwendung eines signierten Bootloaders zu sein, der eine eigene Schlüsseldatenbank verwaltet, eine Idee, die von Opensuse entwickelt wurde. Der Bootloader kann seine Schlüsselverwaltung frei implementieren, auch das Laden von Schlüsseln vom Dateisystem ermöglichen und vieles mehr. Zudem wäre die Oberfläche für die Schlüsselverwaltung einheitlich im Gegensatz zu den Implementierungen im UEFI-BIOS.
Garrett hat jetzt den Code von Opensuse in seinen eigenen Bootloader Shim integriert, wobei er noch kleinere Änderungen vornahm. Die wichtigste davon betrifft das Verhalten, wenn er einen nachgeordneten Bootloader findet, dessen Schlüssel er nicht kennt. Statt einfach den Ladevorgang abzubrechen, erscheint eine Oberfläche, die es ermöglicht, eine Schlüsseldatei zu laden. Der Nachteil dieses Verfahrens besteht für andere Distributionen lediglich darin, dass sie die unmodifizierte Binärdatei des Fedora-Bootloaders übernehmen müssen. Dies könnte für einige Distributionen wie Debian aus prinzipiellen Gründen unakzeptabel sein, für einige andere jedoch eine willkommene Verbesserung.
){kind=logo}
