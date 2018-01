Software::Systemverwaltung

Linux Foundation kündigt LinuxBoot an

LinuxBoot, ein Projekt, das die Firmware von Rechnern durch Linux ersetzen will, ist jetzt ein offizielles Projekt der Linux Foundation. Eine solche Firmware soll bis zu zwanzigmal schneller starten als ein System mit UEFI.

linuxboot.org Genereller Aufbau von LinuxBoot

Im letzten Herbst hatte Google das Projekt NERF vorgestellt, das anstelle einer proprietären Firmware wie UEFI von der ersten Instruktion an die Kontrolle von Linux übernehmen lässt. Denn wer denkt, dass Linux als Betriebssystem und damit der Anwender den PC kontrolliere, der irrt. Zwischen Linux und der Hardware liegen laut einer Präsentation (PDF) von Google mindestens zweieinhalb weitere Kernel. Diese sind proprietär, nicht vom Benutzer kontrollierbar und wahrscheinlich von Geheimdiensten unterwandert, somit auch potentiell von anderen Kriminellen zu unterwandern. Die Wikileaks-Veröffentlichung von »Vault7« machte dies der Öffentlichkeit mehr als deutlich.

UEFI ist laut Google ein Betriebssystem, das fast so umfangreich wie Linux, aber komplett geschlossen und damit nicht prüfbar ist. Es läuft weiter, wenn das eigentliche Betriebssystem gebootet hat, und agiert im Hintergrund als Hypervisor. Wird eine Hintertür oder Sicherheitslücke in diesem System ausgenutzt, lässt sich Schadcode permanent im Flash-Speicher installieren, was vom Kernel und Anwenderprogrammen nicht erkannt werden kann.

Das Sicherheitsmodell dieser verborgenen Betriebssysteme ist überwiegend »Sicherheit durch Geheimhaltung«, ein Modell, das nachweislich noch nie funktioniert hat. Google führt dementsprechend auch zahlreiche Beispiele für Schwachstellen in UEFI und Management Engine (SMM) auf. Jeder PC ist heutzutage angreifbar, außer die SMM ist entfernt und UEFI durch Coreboot ersetzt.

Googles Antwort darauf war NERF (Non-Extensible Reduced Firmware), ein freies und offenes System, das UEFI fast komplett durch einen kleinen Linux-Kernel und initramfs ersetzt. Jetzt hat die Linux Foundation bekannt gegeben, dass ein Teil von NERF unter dem Namen LinuxBoot ein Gemeinschaftsprojekt der Linux Foundation wird. Den Zusammenhang zwischen LinuxBoot und NERF kann man sich klar machen, wenn man die Architektur des Systems betrachtet. Zum Booten werden ein Bootloader, ein Kernel und ein Initramfs benötigt. LinuxBoot besteht aus Bootloader und Kernel und ist agnostisch, was das verwendete Initramfs angeht. Es muss also noch ein Initramfs hinzugefügt werden. NERF ist die Kombination aus LinuxBoot und u-root. u-root ist ein Initramfs, das die notwendigen Werkzeuge in einer neuen Implementation in Go enthält, im Gegensatz zu vielen Initramfs-Systemen, die die in C geschriebene Busybox enthalten. Wer nicht u-root verwenden will, findet mit Heads eine Alternative, die sich als besonders sicher bezeichnet und eine für LinuxBoot geeignete Variante anbietet. Dokumentation von Heads findet man auf osresearch.net.

Die Basis von Heads, aber auch von LinuxBoot ist Coreboot, dessen größtes Problem die nach wie vor begrenzte Hardware-Unterstützung ist. Denn Coreboot kann nur dort funktionieren, wo die Rechner-Hersteller kooperieren und die Details der Hardware-Konfiguration herausgeben. Eine Liste von unterstützten Mainboards, von denen allerdings die wenigsten vollständige Unterstützung genießen, findet man bei Coreboot.

Die Techniken, die LinuxBoot verwendet, wurden laut Linux Foundation bereits seit fast 20 Jahren erfolgreich angewandt. Im Vergleich zu UEFI starten solche Systeme bis zu zwanzigmal so schnell und sind um ein Vielfaches zuverlässiger. An LinuxBoot sind Google, Facebook, Horizon Computing Solutions und Two Sigma beteiligt. Das Projekt ist für alle weiteren Interessierten offen.