Software::Security
Matthew Garrett kritisiert die Secure Boot-Lösung der Linux Foundation
Matthew Garrett zeigt sich enttäuscht, dass die Linux Foundation keine der von Fedora, Suse und Ubuntu entwickelten Lösungen für Secure Boot übernommen hat. Der Weg der Linux Foundation sei nicht sehr nützlich.
Linux Foundation
Nachdem
Fedora,
Ubuntu und
Suse bereits Methoden entwickelt haben, wie die Distributionen auch mit aktiviertem Secure Boot lauffähig bleiben können, hatte auch die Linux Foundation ein
Verfahren vorgestellt, das vor allem auch für kleine Distributionen geeignet ist, die keinen eigenen Schlüssel erwerben wollen. Das
Technical Advisory Board der Linux Foundation hat sich für eine Lösung entschieden, die Secure Boot im Wesentlichen umgeht und das Booten von beliebigem unsignierten Code erlaubt.
Matthew Garrett, der sich für Fedora und Red Hat nach eigenen Angaben seit einem Jahr in Vollzeit mit Secure Boot beschäftigt, hat diese Lösung nun kritisiert. Die Linux Foundation baut in ihren Bootloader einen Prompt ein, um den Minimalanforderungen von Secure Boot zu genügen. Das bedeutet, dass Linux nicht ohne Benutzereingabe starten kann, es wird nach Meinung von Garrett zu einem System zweiter Klasse. Auch dass das System bei jedem Start nachfragt, ob man sicher sei, möglicherweise unsicheren Code ausführen zu wollen, untergrabe das Vertrauen in Linux.
Zwar kann man auch bei der Lösung der Linux Foundation einen Schlüssel ins UEFI-BIOS eintragen, damit der Prompt und die Warnung verschwinden, oder eben Secure Boot ganz abschalten. Dies bedeutet aber, mit der Oberfläche des BIOS zu arbeiten, die zwischen den Board-Herstellern sehr unterschiedlich sein kann. Das macht es unter anderem sehr schwer, brauchbare Anleitungen zu schreiben.
Einen viel eleganteren Weg geht Suse mit einem von Microsoft signierten Bootloader, der eine eigene, vom BIOS unabhängige Schlüsselverwaltung mitbringt. Er ermöglicht das einfache Laden und Verwalten von Schlüsseln, die dann permanent gespeichert werden, mit einer für alle Systeme identischen Oberfläche. Fedora wird diese Lösung weitgehend übernehmen. Garrett hatte auch versucht, den technischen Beirat der Linux Foundation von dieser Lösung zu überzeugen, doch der Beirat entschied sich für eine vermeintlich einfachere Lösung. Diese stehe den Interessen der Mitglieder der Linux Foundation komplett entgegen, doch der Beirat ist unabhängig von den Mitgliedern und kann sich das deshalb erlauben.
){kind=logo}
