Software::Systemverwaltung
Systemd integriert Gummiboot
Einem FOSDEM-Vortrag der beiden aktuell bei Red Hat beschäftigten deutschen Programmierer Lennart Poettering und Kay Sievers vom Wochenende zufolge plant das systemd-Projekt, den UEFI-Bootloader Gummiboot in systemd aufzunehmen.
Wikipedia
Lennart Poettering
Laut Poettering müssen Rechner und Rechenzentren in Folge der Snowden-Enthüllungen unbedingt sicherer werden. Dazu könne Secure Boot einen wichtigen Beitrag leisten.
Lennart Poettering ist eine der treibenden Kräfte hinter Systemd und unter anderem für das Design von PulseAudio oder für die Avahi-zeroconf-Implementation bekannt. Kay Sievers arbeitet neben seinem systemd-Engagement bei udev sowie beim Hotplug-Projekt mit und ist treibende Kraft hinter dem UEFI-Bootloader Gummiboot.
Der Schritt sei laut Systemd-Projektgründer Poettering erforderlich, damit man die vollständige für Secure Boot erforderliche Sicherheitskette umsetzen könne. Poettering machte klar, dass Secure Boot entgegen der immer noch langläufig vertretenen Meinung seiner Ansicht nach nicht von Microsoft erfunden wurde, um die Verbreitung von Linux behindern. Secure Boot lasse sich tatsächlich dazu verwenden, den eigenen Rechner mit eigenen Schlüsseln abzusichern. Dies sei, so Poettering, insbesondere nach den im Verlauf der vergangenen Monate bekannt gewordenen Snowden-Enthüllungen wichtig. Sercure-Boot-Schlüssel könnten sicherstellen, dass nur selbst signierte Treiber geladen und gestartet würden. Dies könne wiederum wirkungsvoll ausschließen, dass zum Beispiel der Treiber eines Keyloggers geladen wurde.
In dem Vortrag vom Sonntag erklärten die Entwickler auch, wie sie sich das Integrieren von Gummiboot in die systemd-Werkzeugsammlung vorstellen, und zwar derart, dass dessen Verwendung eine Option bleibt, damit Anwender bei Bedarf auch andere Lösungen integrieren könnten. Allerdings unterstütze momentan nur Gummiboot die Spezifikationen der systemd-Schnittstelle.
Poettering erklärte weiter, dass die Werkzeuge von systemd mit Gummiboot kommunizieren müssten, damit die Sicherheitskette von Secure Boot aufrecht erhalten werden kann, wobei es mit Bootctl bereits ein Programm gebe, das verschiedene Informationen wie unter anderem den Secure Boot-Status anzeige könne.
){kind=small}
