Abo
  • Services:
Anzeige
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können.
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

UEFI

Secure-Boot-Schlüssel auf USB-Stick

Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können.
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Anzeige

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.


eye home zur Startseite
Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, München
  2. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  3. BREKOM GmbH, Pa­der­born
  4. Media-Saturn IT-Services GmbH, Bayern


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. 99,00€
  3. (u. a. Better Call Saul 1. Staffel Blu-ray 12,97€, Breaking Bad letzte Staffel Blu-ray 9,97€)

Folgen Sie uns
       


  1. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  2. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  3. Nachruf

    Astronaut John Glenn stirbt im Alter von 95 Jahren

  4. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  5. Redox OS

    Wer nicht rustet, rostet

  6. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  7. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro

  8. Patent

    Samsung zeigt konkrete Idee für faltbares Smartphone

  9. Smarter Lautsprecher

    Google will Home intelligenter machen

  10. Samsung 960 Evo im Test

    Die NVMe-SSD mit dem besten Preis-Leistungs-Verhältnis



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

  1. Re: Mittlerweile habe ich fast schon eine...

    tingelchen | 14:17

  2. Re: Nacktsichtbrille

    narea | 14:16

  3. Schau mal auf das Foto.

    mhstar | 14:14

  4. Re: Sieht gut aus

    mhstar | 14:13

  5. Re: Teilzeit Mitbeteiligter hier, AMA!

    stiGGG | 14:12


  1. 14:19

  2. 13:48

  3. 13:37

  4. 12:30

  5. 12:01

  6. 11:35

  7. 11:31

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel