Anzeige
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können.
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

UEFI

Secure-Boot-Schlüssel auf USB-Stick

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Anzeige

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.


Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...

Kommentieren



Anzeige

  1. (Junior) Project Manager (m/w) Division Mobile Services
    Wirecard Technologies GmbH, Aschheim bei München
  2. Business Intelligence Developer (m/w) mit Schwerpunkten Data Warehouse und Konsolidierung
    Hannover Rück, Hannover
  3. Referent (m/w) Business Analytics
    ING-DiBa AG, Frankfurt
  4. UX Designer (m/w)
    Haufe Gruppe, Freiburg im Breisgau

Detailsuche


Top-Angebote
  1. NEU: Lenovo YOGA 300 29,5 cm (11,6 Zoll HD LED) Convertible Notebook (Intel Celeron N2940, 2,2GHz, 2GB RAM, 32GB SSD, Intel H
    199,00€
  2. Steam Premium Überraschungsspiel
    2,95€
  3. Nvidia Shield Android TV kaufen und Shield-Remote gratis dazu
    55€ sparen!

Weitere Angebote


Folgen Sie uns
       


  1. Odroid C2

    Bastelrechner mit 2 Ghz und 2 GByte Ram

  2. Patentantrag

    Apple will iPhone-Lautstärke per Apple Watch regeln

  3. Standalone

    Google soll eigenständige VR-Brille planen

  4. Ampera-e

    Opels neues Elektroauto kommt 300 km weit

  5. AVM

    Fritzboxen für Supervectoring, G.fast und Docsis 3.1 kommen

  6. Einsteins Vorhersage bestätigt

    Forscher weisen erstmals Gravitationswellen nach

  7. Datenschmuggel

    Alte USB-Sticks als Geheimwaffe gegen Nordkorea

  8. Remedy Entertainment

    Hardware-Anforderungen für Quantum Break veröffentlicht

  9. Paket-Ärger.de

    Die meisten Beschwerden über nicht ausgehändigte Pakete

  10. ÖPNV in San Francisco

    Die meisten Überwachungskameras sind nur Attrappen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Time Machine VR angespielt: Wir tauchen mit den Monstern der Tiefe
Time Machine VR angespielt
Wir tauchen mit den Monstern der Tiefe
  1. Unreal Engine4 Epic baut virtuelle Welt in virtueller Welt
  2. Unmandelboxing Markus Persson fliegt durch VR-Fraktaltunnel
  3. Spectrevision Elijah Wood macht Horror-VR mit Ubisoft

Tails 2.0 angeschaut: Die Linux-Distribution zum sicheren Surfen neu aufgelegt
Tails 2.0 angeschaut
Die Linux-Distribution zum sicheren Surfen neu aufgelegt

Asteroidenbergbau: Verblendet vom Platinrausch
Asteroidenbergbau
Verblendet vom Platinrausch
  1. Escape Dynamics Firma für mikrowellenbetriebene Raumschiffe ist bankrott
  2. Raumfahrt SpaceX und Orbital bauen Triebwerke für das US-Militär
  3. Dream Chaser Mini-Shuttle darf zur ISS fliegen

  1. Re: Interessant

    mambokurt | 08:47

  2. Re: 0,525 Mrd. Sendungen vs. 1600 Beschwerden

    AllDayPiano | 08:46

  3. Re: W O W !

    rafterman | 08:46

  4. Re: Teil der aktiven Menschenrechte

    tonictrinker | 08:46

  5. Re: "Kamelle! Konfetti! Patientendaten!"

    MrTuscani | 08:46


  1. 07:55

  2. 07:42

  3. 07:34

  4. 07:17

  5. 19:17

  6. 17:03

  7. 16:25

  8. 15:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel