UEFI

Secure-Boot-Schlüssel auf USB-Stick

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Anzeige

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.

Kommentarübersicht
Bitte nicht verkomplizieren
Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Re: Bleibt da nicht der Sinn auf der Strecke?
Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

Re: Ich hätte da mal so ein Problem...
ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Softwareentwickler / Softwareentwicklerin
    BBF GmbH, München und Dresden
  2. IT-Projektmitarbeiter (m/w) DB / Logistiksoftware
    transmed Transport GmbH, Regensburg
  3. Akademische Räte / Rätinnen
    Universität Passau, Passau
  4. Projektmanager für Webapplikationen (m/w)
    Information Factory Deutschland GmbH, Nürnberg

 

Detailsuche

Folgen Sie uns
       
Videos
Prizmo 2 macht das iPad und iPhone zum Textscanner Prizmo 2 macht das iPad und iPhone zum Textscanner
Ticker
  1. Xbox One

    Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

  2. Microsoft

    Xbox One mit neuer Kinect und Blu-ray-Laufwerk

  3. Datennetz

    Bundesweite Störung beim mobilen Internet der Telekom

  4. Heavy Gear Assault

    Mech-Action auf Basis der Unreal Engine 4

  5. Superkondensator

    Neuer Energiespeicher mit kurzer Ladezeit

  6. Ruckus Wireless

    Telefonzellen werden zu Gratis-Hotspots

  7. Engine

    Unity-Basis kostenlos mit Mobile-Werkzeugen

  8. Drosselung

    Ein Drittel aller Filme wird als Video-on-Demand geliehen

  9. Wikileaks

    Wau-Holland-Stiftung kann nur noch die Server bezahlen

  10. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Jolla
Sailfish-Smartphone: Jolla stellt "The Other Half" vor
Sailfish-Smartphone
Jolla stellt "The Other Half" vor

Jolla hat unter dem Namen "The Other Half" (Die andere Hälfte) sein erstes Smartphone mit dem Meego-Nachfolger Sailfish OS vorgestellt. Die Entwickler von Nokias einzigem Meego-Smartphone N9 bieten "Die andere Hälfte" mit 4,5-Zoll-Display ab sofort zur Vorbestellung an.

  1. Sailfish OS Erste Jolla-Smartphones Anfang Mai erhältlich
  2. Displayserver Wayland 1.1 mit neuen Weston-Backends
  3. Jolla SDK für Sailfish veröffentlicht
OLED
LG: Flexibles OLED für gewölbte Smartphones
LG
Flexibles OLED für gewölbte Smartphones

LG hat ein OLED-Display mit 5 Zoll großer Diagonale präsentiert, das flexibel ist und damit den Weg für gewölbte Smartphones freimacht. Auch ein 7 Zoll großes Display mit Full-HD-Auflösung in herkömmlicher LCD-Technik gehört zu den Neuheiten.

  1. Lotus XT Glas Neues Corning-Schutzglas für 2 Meter breite Bildschirme
  2. Smartphone Google bringt Galaxy S4 mit purem Android
  3. LG 55EA9800 Gebogener OLED-Fernseher mit 55 Zoll ist serienreif
Google Wallet
Bezahldienst: Google Checkout wird eingestellt
Bezahldienst
Google Checkout wird eingestellt

Google stellt seinen Zahlungsdienst Checkout in sechs Monaten ein. Anbieter sollen stattdessen auf Google Wallet umsteigen.

  1. Google Wallet Geldversand per E-Mail
  2. Messenger iPhone-Nutzer sollen jährlich für Whatsapp zahlen
  3. Instant-Messaging Whatsapp für Blackberry 10 ist da
Forumsbeiträge »
  1. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Die Präsentation

    FroZenViper | 01:33

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: So ein Mist: Gebrauchtspielsperre, Kinect...

    RayPi | 01:28

  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Ich verstehe nicht wieso...

    nightfire2xs | 01:25

  4. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: "Wer seine Disc weiterverkaufen möchte,..."

    enolive | 01:19

  5. Wikileaks Wau-Holland-Stiftung kann nur noch die Server bezahlen

    Re: Was verursacht diese Kosten?

    nightfire2xs | 01:17

Ticker »
  1. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

    21:12

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    19:48

  3. Datennetz Bundesweite Störung beim mobilen Internet der Telekom

    19:04

  4. Heavy Gear Assault Mech-Action auf Basis der Unreal Engine 4

    18:51

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    18:07

  6. Ruckus Wireless Telefonzellen werden zu Gratis-Hotspots

    16:48

  7. Engine Unity-Basis kostenlos mit Mobile-Werkzeugen

    16:24

  8. Drosselung Ein Drittel aller Filme wird als Video-on-Demand geliehen

    15:04

Zum Artikel