Mit dem schleichenden Wechsel bei Mainboards weg vom klassischen BIOS hin zum UEFI ging ein Aufschrei durch die Linux-Gemeinde. Das UEFI-Feature "Secure Boot" soll verhindern, dass Schadsoftware im Bootloader ausgeführt werden kann. Dieser Ansatz ist nicht per se schlecht, detailliert betrachtet offenbart sich jedoch ein ganz großes Manko für alle Linux-Nutzer.
Bei Secure Boot wird ein im Bootloader integrierter Schlüssel gegen einen Schlüssel im UEFI abgeglichen. Nur bei Übereinstimmung kann der Bootvorgang fortgesetzt werden. Um Secure Boot zu umgehen, kann der Mainboard-Hersteller im UEFI eine entsprechende Option zur Deaktivierung anbieten. Was bei Desktop-PCs mitunter noch realistisch erscheint, stellt bei Notebooks mit fast immer äußerst spärlichen Einstellmöglichkeiten bereits ein Problem dar. Da Secure Boot zudem von Microsoft initiiert ist, bedeutet dies, dass alle Non-Windows-Systeme von vornherein ausgeschlossen sind (zumindest theoretisch) – was in erster Linie Linux betrifft. Der Aufschrei der Linux-Gemeinde war nur allzu verständlich, denn bisher waren nur Microsoft-Bootloader signiert und funktionierten mit aktiviertem Secure Boot. Der Grund dafür ist einfach: Microsoft selbst signiert die Bootloader. Kritiker werfen Microsoft deshalb Mißbrauch der Marktmacht vor. Doch nicht nur deshalb, denn auch bei einer angestrebten Signierung lässt der Redmonder Konzern die Antragssteller nach "seiner Pfeiffe tanzen". So ist das zwingend vorgeschriebene Tool zum Start der Validierungsprozedur nicht unter Linux lauffähig und obendrein muss noch ein Vertrag abgeschlossen werden, welcher die Verwendung von bestimmten Lizenzen untersagt – was unter Umständen ein Problem für die Linux-Distributionen darstellen kann. Abseits des Validierungsprozesses sollte zudem noch erwähnt werden, dass Microsoft nicht nur Schadsoftware ausbremsen kann, sondern auch weitere, dem Konzern unliebsame Software. So könnte theoretisch eine ältere Windows-Version vom Start auf einem PC mit neuem Mainboard unterbunden werden. Insofern bietet Secure Boot nicht ausschließlich Sicherheitsaspekte, sondern auch handfeste Möglichkeiten zum effektiven Ausschließen unliebsamer "Mitbewerber".
Am vergangenen Wochenende wurde von Matthew Garrett, Linux-Entwickler und ehemaliger Mitarbeiter bei Red Hat, ein Bootloader vorgestellt, welcher von Microsoft signiert wurde und somit die Verwendung von neuer Hardware mit UEFI in Verbindung mit Linux zulässt. Shim, so der Name des Bootloaders, kann weitere Bootloader starten, sodass es theoretisch keine Einschränkungen mehr in Sachen Distributionen gibt. Eine Anleitung dafür hält Matthew Garrett hier bereit.
Die Herangehensweise von Garrett, mittels eines signierten Bootloaders weitere, unsignierte Bootloader zu starten, führt den Sicherheitsgedanken hinter Secure Boot jedoch ad absurdum. Denn unterm Strich wird so möglicher Schadsoftware die mit Secure Boot zugeschlagene Tür auf Linux-Seite wieder ein Stück weit geöffnet. Wobei man ganz klar relativieren muss, dass ein System ohne Secure Boot genauso sicher bzw. unsicher ist wie bisher. Zudem darf kritisch hinterfragt werden, wie häufig die mit Secure Boot geschlossene Sicherheitslücke überhaupt ausgenutzt wird. Diese Lösung mittels Shim dürfte zumindest soweit praktikabel sein, um als Linux-Nutzer weiterhin aktuelle Hardware verwenden zu können. Eine gute Lösung für beide Seiten sieht jedoch anders aus.
Diesen Artikel bookmarken oder senden an ...
