Software::Distributionen::Canonical
Canonical ändert Plan für Secure Boot
Der Linux-Distributor Canonical wird in Ubuntu 12.10 und 12.04.2 LTS anders als bisher geplant doch Grub 2 als Bootloader verwenden. Frühere Bedenken wegen Bestimmungen der GPLv3 zu Signaturschlüsseln wurden ausgeräumt.
Canonical
Im Juni hatte Canonical
erklärt, mit einem eigenen Signaturschlüssel, der in möglichst vielen Rechnern im BIOS enthalten sein soll, einen anderen Weg als Red Hat und Fedora zu gehen. Zugleich wurde aber auch ein von Microsoft signierter Bootloader angestrebt, damit Ubuntu ohne Änderungen der BIOS-Einstellungen installierbar bleibt. Mit diesem Vorgehen sollte die
Problematik von UEFI Secure Boot umschifft werden, die laut Canonical auf Mängel im Design von Secure Boot zurückzuführen ist. Es werde deshalb weiterhin nötig sein, dass der Microsoft-Schlüssel auf jedem PC vorhanden ist, da die Treiber jeweils nur von einem einzelnen Schlüssel signiert sein können.
Schon Ende Oktober 2011 hatte Canonical gemeinsam mit Red Hat ein Whitepaper zu Secure Boot veröffentlicht und darin Secure Boot grundsätzlich als nützlich bezeichnet, jedoch auch auf die Nachteile hingewiesen und an die Hersteller appelliert, eine einfache Möglichkeit zum Ein- und Ausschalten der Sicherheitsfunktion vorzusehen.
Da Canonical auch ermöglichen will, dass die Benutzer Ubuntu ohne Änderung des BIOS installieren können, ist ein signierter Bootloader nötig, beispielsweise der von Canonical signierte. Ursprünglich wollte Canonical aber nicht wie bisher Grub 2 verwenden, sondern den efilinux-Loader von Intel. Der Grund waren Bedenken, dass eine Bestimmung der GPLv3 Canonical unter bestimmten Umständen verpflichte, den privaten Schlüssel herauszugeben. Dies würde zum Zurückziehen des Schlüssels führen und alle von Canonical signierten Komponenten wertlos machen. Mit dem efilinux-Loader von Intel, der unter einer liberaleren Lizenz steht, bestanden solche Bedenken nicht.
Diese Bedenken konnten jetzt nach Konsultationen mit der Free Software Foundation (FSF) ausgeräumt werden, wie Jon Melamut jetzt im Canonical-Blog schreibt. Somit werden Ubuntu 12.10 und 12.04.2 LTS Grub 2 als Bootloader verwenden, was für Canonical auch deshalb die beste Option ist, weil das Unternehmen viel Arbeit in Grub 2 gesteckt hat.
So weit wie möglich versucht Canonical, die Nutzung des eigenen Schlüssels bei den OEM-Partnern durchzusetzen. Bei Systemen mit vorinstalliertem Ubuntu wird demnach der Ubuntu-Schlüssel im BIOS vorhanden sein, und die Benutzer können die Schlüssel ersetzen, neue hinzufügen oder Secure Boot ganz abschalten. Canonical plant nicht, den Kernel und Treiber zu signieren, was allen Benutzern die Möglichkeit offen hält, eigene Kernel einzusetzen. Auf Ubuntu-Boot-CDs soll ein Bootloader zum Einsatz kommen, der von Microsoft signiert ist, da der Microsoft-Schlüssel der einzige sein wird, dessen Existenz im BIOS auf allen PCs vorausgesetzt werden kann. Dieser soll dann Grub 2 booten, worauf der Bootvorgang mit einem Ubuntu- oder anderen Kernel fortgesetzt werden kann.
){kind=logo}
