Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können.
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

UEFI

Secure-Boot-Schlüssel auf USB-Stick

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Anzeige

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.


Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...

Kommentieren



Anzeige

  1. Senior Technical Director Internet Backbone (m/w)
    Deutsche Telekom Technik GmbH, Münster
  2. (Junior) PHP Developer (m/w) als Projektleiter für E-Commerce und ERP-Systeme
    über ACADEMIC WORK, München
  3. Projektmanager (m/w)
    Robert Bosch GmbH, Worms
  4. Softwareentwickler/in
    HELBAKO GmbH, Heiligenhaus

Detailsuche


Top-Angebote
  1. NUR HEUTE: Google Chromecast HDMI Streaming Media Player
    19,00€ inkl. Versand
  2. TIPP: 4 Blu-rays für 30 EUR
    (u. a. Interstellar, Grand Budapest Hotel, Teenage Mutant Ninja Turtles, Django Unchained, Edge of...
  3. TIPP: Kingsman - The Secret Service [Blu-ray]
    11,99€

Weitere Angebote


Folgen Sie uns
       


  1. Ifa-Ausblick im Video

    Notebook mit Wasserkühlung, ein Smartphone und eine Uhr

  2. Samsung Gear S2 im Hands on

    Drehbarer Ring schlägt Touchscreen

  3. Mobiles Internet

    Vodafone überbrückt Warten auf DSL-Anschluss mit Surfstick

  4. Alienware X51 R3

    Mini-PC setzt auf interne WaKü und externe Grafikkarten-Box

  5. Cross-Site-Scripting

    Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

  6. Asynchronous Shader

    Nvidias Grafikkarten soll eine wichtige DX12-Funktion fehlen

  7. Huawei G8

    Neues Smartphone mit Fingerabdrucksensor für 400 Euro

  8. Pioneer XDP-100R

    Android-basierter Hi-Res-Audio-Player

  9. Verbraucherschützer

    Nicht über neue Hardware bei All-IP-Umstellung informiert

  10. Let's Play

    Machinima muss bezahlte Youtube-Videos kennzeichnen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Autonomes Fahren: Wer hat die besten Karten?
Autonomes Fahren
Wer hat die besten Karten?
  1. Nokia Ozo nimmt 360-Grad-Videos in Echtzeit auf
  2. Nokia Here Daimler will eigene Karten aus Angst vor Hackerattacken
  3. Kartendienst Nokia Here geht für 2,5 Milliarden an deutsche Autobauer

Snowden-Dokumente: Die planmäßige Zerstörungswut des GCHQ
Snowden-Dokumente
Die planmäßige Zerstörungswut des GCHQ
  1. Macbooks IBM wechselt vom Lenovo Thinkpad zum Mac
  2. Liske Bitkom schließt Vorstandsmitglied im Streit aus
  3. IuK-Kommission Das Protokoll des Bundestags-Hacks

Ideapad Miix 700 im Hands On: Lenovo baut ein Surface
Ideapad Miix 700 im Hands On
Lenovo baut ein Surface
  1. Smartphones, Tablets und eine Smartwatch Asus' Zen-Armada
  2. Smartwatches Motorola stellt neue Moto 360 und Moto 360 Sport vor
  3. Notebooks mit neuem Intel-Prozessor Mit Skylake kommt meist USB-Typ-C

  1. Re: Eigentlich bin ich Nvidia Fan...

    SheldonCooper | 23:16

  2. Re: wer braucht sowas heute noch?

    AndreasJanke | 23:15

  3. Re: Qualität hörbar?

    Legacyleader | 23:13

  4. Thinkpad Yoga gibt's schon seit 2014

    user28817 | 23:13

  5. Re: In einschlägigen Keyshops schon für 16,50...

    Vaako | 23:11


  1. 22:52

  2. 19:00

  3. 18:14

  4. 18:09

  5. 17:34

  6. 16:42

  7. 16:33

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel