Software::Systemverwaltung
Zwei Wege zu UEFI Secure Boot mit Linux
Der derzeitige Stand der Entwicklung bei Secure Boot bietet zwei Bootloader mit zwei verschiedenen Konzepten. Matthew Garrett möchte beide vereinen.
Michael Kofler
UEFI-Bootmenü
Matthew Garrett beschäftigt sich schon lange mit UEFI und Secure Boot. Eine der beiden oben genannte Lösungen namens
Shim stammt von ihm. Die andere ist der »LF-Loader« der Linux Foundation und wurde von James Bottomley, Kernel-Entwickler und Mitglied des
Technical Advisory Board der Linux Foundation geschrieben. Die beiden Herangehensweisen unterscheiden sich darin, dass Shim auf signierten Schlüsseln beruht, während der LF-Loader auf kryptografische Hashfunktionen setzt. Laut Garrett ist der größte Nachteil des LF-Loaders, dass, wenn eine Distribution eine neue Version ihres Bootloaders oder einen neuen Kernel anbietet, ein neuer Hashwert dafür in die Liste der erlaubten Binärdateien eingetragen werden muss. Da dieser Vorgang physische Anwesenheit bedingt, sieht Garrett dies als ernsthaften Hinderungsgrund gegen den Einsatz. Für Distributionen, die ihren Nutzern häufig neue Kernel zum Testen anbieten, ist dieser Weg nicht sehr attraktiv.
Der LF-Loader besteht aus den zwei Dateien PreLoader.efi und HashTool.efi und nutzt beispielsweise Gummiboot oder efilinux als Bootloader. Die beiden Dateien erstellen lediglich eine Basis-Bootumgebung. Zum Testen hat Bottomley ein bootbares Image für einen USB-Stick bereitgestellt, das eine EFI-Shell bietet und sich ebenfalls beim Booten auf Gummiboot verlässt. In den Kommentaren zur Vorstellung des LF-Loader und des USB-Stick-Image wird Kritik laut, diese Methode sei derzeit nur für sehr erfahrene Linux-Nutzer gangbar.
Garretts Lösung Shim wird mittlerweile von Fedora, OpenSUSE und Ubuntu eingesetzt. Er selbst sieht den Hauptnachteil seiner Lösung in der Duplizierung von großen Teilen des UEFI-Firmware-Codes, da die UEFI-Spezifikation keine Möglichkeit vorsieht, zusätzliche Authentifikations-Mechanismen hinzuzufügen. Garrett versucht nun, die beiden Wege zum gleichen Ziel in einem Werkzeug zu vereinen, indem er die Nutzeroberfläche und die Sicherheitsfunktionen des LF-Loader in Shim integriert. Wenn die initialen Probleme gelöst sind, wird es bald eine vereinte Lösung mit dem Besten beider Ansätze geben. Damit könnte in absehbarer Zeit das Booten und Installieren von Linux mit Secure Boot so einfach werden, wie eine CD in ein Laufwerk einlegen, so die Hoffnung Bottomleys.
){kind=small}
