Software::Kernel
Streit um Kernel-Lockdown
In den letzten Tagen wurde aus dem Lager der Kernel-Entwickler Kritik an einer Patch-Serie laut, die unter den Begriff »Kernel Lockdown« bekannt wurde.
Larry Ewing
Red-Hat-Entwickler
David Howells Patch-Serie für den sogenannten Kernel Lockdown erregt derzeit die Gemüter einiger Kernel-Entwickler mit Linus Torvalds an der Spitze. Mit Kernel Lockdown soll verhindert werden, dass Root den Kernel zur Laufzeit verändert. Bereits
seit über einem Jahr befanden sich die zwischenzeitlich überarbeiteten Patches in Linux-Next, wo Patches getestet werden, bevor sie für den Mainline-Kernel vorgeschlagen werden.
In der Beschreibung zu dem Patchset heißt es sinngemäß: »Die Kernel-Lockdown-Funktion wurde entwickelt, um sowohl direkten als auch indirekten Zugriff auf ein laufendes Kernel-Image zu verhindern. Dabei sollen Modifikationen des Kernel-Images und der Zugriff auf die Sicherheitsfunktionen und auf kryptografische Daten, die sich im Kernelspeicher befinden, unterbunden werden, während Treiber-Module weiterhin geladen werden können.«
Torvalds hat derweil gedroht, den Code in dieser Form nicht aufzunehmen und wird dabei von Andy Lutomirsky unterstützt. Hauptkritikpunkt der beiden Entwickler ist dabei die Verknüpfung von Kernel Lockdown mit dem in der UEFI-Spezifikation verankerten Secure Boot. Lutomirski fehlt hier eine haltbare technische Begründung für diese Verknüpfung. Patch-Hauptentwickler Howells argumentiert, mit Secure Boot solle das System bis zu dem Punkt geschützt werden, an den Kernel Lockdown einsetzt. Torvalds lässt das aber nicht gelten, wenn er sagt, es gebe nicht nur Secure Boot, um einen abgesicherten Bootprozess zu gewährleisten.
Die Nutzung von Secure Boot soll automatisch zur Aktivierung von Kernel Lockdown führen. Generell hat Torvalds nichts gegen den Kernel-Lockdown. Torvalds macht aber in seiner Zustimmung seinen Standpunkt deutlich, wenn er in seiner Zustimmung zu Lutomirskis Auffassung schreibt: »Die beiden Dinge sind einfach völlig orthogonal. Sie haben keine Überlappung. Ich verstehe nicht, warum sie in irgendeiner Weise miteinander verbunden sind.«
Googles Matthew Garrett, der viel über UEFI und Secure Boot geforscht hat und im Gegensatz zu Torvalds ein Verfechter von Secure Boot ist, versucht in seinem Blog, vermittelnd zu erklären, warum bei Nutzung von Secure Boot Kernel Lockdown automatisch aktiviert werden soll. Laut Garrett soll damit beispielsweise verhindert werden, dass per Kexec die Sicherheit des Kernels unterwandert werden kann, was er bereits 2013 in einem Experiment beschrieben hat.
Zusammenfassend ist seine Begründung für die Kopplung, dass dies die Vorgehensweise sei, die die meisten Distributionen bevorzugen, da die Alternative darin besteht, Kernel Lockdown generell zu aktivieren, selbst wenn es keine echten Vorteile bietet, aber zusätzlichen Support-Overhead mitbringt und in bestimmten Konstellationen Probleme bereiten kann.
Als Antwort darauf wird Torvalds laut und deutlich und erklärt, er werde so etwas niemals in den Kernel einbringen. Der User müsse entscheiden, ob so etwas aktiviert werde oder nicht, es dürfe keinesfalls von Boot-Bedingungen abhängen. Denn im Umkehrschluss müsse ein Anwender, der Secure Boot aktiviert hat, aber Kernel Lockdown nicht möchte, Secure Boot deaktivieren, um es loszuwerden. Die Diskussion ist derweil noch nicht beendet.
){kind=small}
