Planet 3DNow! Logo  

  Fantastic Zero Logo
English Français Русский язык Español Italiano Japanese Chinese

FORUM AKTUELL

   

Mittwoch, 5. Dezember 2012

09:06 - Autor: MusicIsMyLife

Linux trotz UEFI-Secure-Boot

Linux-Tux-Logo
Mit dem schleichenden Wechsel bei Mainboards weg vom klassischen BIOS hin zum UEFI ging ein Aufschrei durch die Linux-Gemeinde. Das UEFI-Feature "Secure Boot" soll verhindern, dass Schadsoftware im Bootloader ausgeführt werden kann. Dieser Ansatz ist nicht per se schlecht, detailliert betrachtet offenbart sich jedoch ein ganz großes Manko für alle Linux-Nutzer.

Bei Secure Boot wird ein im Bootloader integrierter Schlüssel gegen einen Schlüssel im UEFI abgeglichen. Nur bei Übereinstimmung kann der Bootvorgang fortgesetzt werden. Um Secure Boot zu umgehen, kann der Mainboard-Hersteller im UEFI eine entsprechende Option zur Deaktivierung anbieten. Was bei Desktop-PCs mitunter noch realistisch erscheint, stellt bei Notebooks mit fast immer äußerst spärlichen Einstellmöglichkeiten bereits ein Problem dar. Da Secure Boot zudem von Microsoft initiiert ist, bedeutet dies, dass alle Non-Windows-Systeme von vornherein ausgeschlossen sind (zumindest theoretisch) – was in erster Linie Linux betrifft. Der Aufschrei der Linux-Gemeinde war nur allzu verständlich, denn bisher waren nur Microsoft-Bootloader signiert und funktionierten mit aktiviertem Secure Boot. Der Grund dafür ist einfach: Microsoft selbst signiert die Bootloader. Kritiker werfen Microsoft deshalb Mißbrauch der Marktmacht vor. Doch nicht nur deshalb, denn auch bei einer angestrebten Signierung lässt der Redmonder Konzern die Antragssteller nach "seiner Pfeiffe tanzen". So ist das zwingend vorgeschriebene Tool zum Start der Validierungsprozedur nicht unter Linux lauffähig und obendrein muss noch ein Vertrag abgeschlossen werden, welcher die Verwendung von bestimmten Lizenzen untersagt – was unter Umständen ein Problem für die Linux-Distributionen darstellen kann. Abseits des Validierungsprozesses sollte zudem noch erwähnt werden, dass Microsoft nicht nur Schadsoftware ausbremsen kann, sondern auch weitere, dem Konzern unliebsame Software. So könnte theoretisch eine ältere Windows-Version vom Start auf einem PC mit neuem Mainboard unterbunden werden. Insofern bietet Secure Boot nicht ausschließlich Sicherheitsaspekte, sondern auch handfeste Möglichkeiten zum effektiven Ausschließen unliebsamer "Mitbewerber".

Am vergangenen Wochenende wurde von Matthew Garrett, Linux-Entwickler und ehemaliger Mitarbeiter bei Red Hat, ein Bootloader vorgestellt, welcher von Microsoft signiert wurde und somit die Verwendung von neuer Hardware mit UEFI in Verbindung mit Linux zulässt. Shim, so der Name des Bootloaders, kann weitere Bootloader starten, sodass es theoretisch keine Einschränkungen mehr in Sachen Distributionen gibt. Eine Anleitung dafür hält Matthew Garrett hier bereit.

Die Herangehensweise von Garrett, mittels eines signierten Bootloaders weitere, unsignierte Bootloader zu starten, führt den Sicherheitsgedanken hinter Secure Boot jedoch ad absurdum. Denn unterm Strich wird so möglicher Schadsoftware die mit Secure Boot zugeschlagene Tür auf Linux-Seite wieder ein Stück weit geöffnet. Wobei man ganz klar relativieren muss, dass ein System ohne Secure Boot genauso sicher bzw. unsicher ist wie bisher. Zudem darf kritisch hinterfragt werden, wie häufig die mit Secure Boot geschlossene Sicherheitslücke überhaupt ausgenutzt wird. Diese Lösung mittels Shim dürfte zumindest soweit praktikabel sein, um als Linux-Nutzer weiterhin aktuelle Hardware verwenden zu können. Eine gute Lösung für beide Seiten sieht jedoch anders aus.

Quelle: Secure Boot bootloader for distributions available now

Links zum Thema:» Kommentare
Planet 3DNow! RSS XML Newsfeed Planet 3DNow! Newsfeed bei iGoogle-Seite hinzufügen Planet 3DNow! Newsfeed bei My Yahoo! hinzufügen Planet 3DNow! Newsfeed bei Microsoft Live hinzufügen Planet 3DNow! Newsfeed bei My AOL hinzufügen

Weitere News:
Intern: Planet 3DNow! ab 18:00 Uhr eingeschränkt erreichbar
Never Settle Forever: AMD überlässt Zusammenstellung der Spielebündel seinen Kunden
Microsoft Patchday August 2013
Der Partner-Webwatch von Planet 3DNow! (13.08.2013)
Kühler- und Gehäuse-Webwatch (11.08.2013)
Ankündigung Microsoft Patchday August 2013
Vorerst kein Frame Pacing für AMD-Systeme mit Dual Graphics
Intern: kommende Woche eingeschränkte Erreichbarkeit auf Planet 3DNow!
Kaveri verschoben und keine neuen FX-Prozessoren von AMD [3. Update]
AMD plant Vorstellung neuer High-End-Grafikkarte Hawaii im September
Kaveri verschoben und keine neuen FX-Prozessoren von AMD [Update]
Der Partner-Webwatch von Planet 3DNow! (06.08.2013)
Kaveri verschoben und keine neuen FX-Prozessoren von AMD
AMD startet neue "Never-Settle-Forever"-Spielebündel für Radeon Grafikkarten
Neuer Artikel: SilverStone Fortress FT04 - Die Hardware steht Kopf
Kühler- und Gehäuse-Webwatch (04.08.2013)

 

Nach oben

 

Copyright © 1999 - 2013 Planet 3DNow!
Datenschutzerklärung