Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können.
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

UEFI

Secure-Boot-Schlüssel auf USB-Stick

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Anzeige

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.


Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...

Kommentieren



Anzeige

  1. Softwareentwickler / Software Developer (m/w) .NET
    Omniga GmbH & Co. KG, Regensburg
  2. Senior Softwareentwickler - Medizingeräte (m/w)
    SORIN GROUP Deutschland GmbH, München
  3. Softwareentwickler C++, CAD / CAE, EDA (m/w)
    CST AG - Computer Simulation Technology, Darmstadt
  4. Applikationsingenieur/in PTC Windchill PDM Link
    Robert Bosch GmbH, Stuttgart-Feuerbach

 

Detailsuche


Spiele-Angebote
  1. TOPSELLER: Crysis 3 Origin-Code
    4,99€
  2. TIPP: Xbox One Wired Controller für Windows
    43,99€
  3. Die Siedler 7 Download
    5,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Wiko

    Neue LTE-Smartphones sollen um die 300 Euro kosten

  2. Near Field Magnetic Induction Hands on

    Drahtlos-Ohrhörer noch drahtloser

  3. LG

    Neue Android-Smartphones kosten ab 100 Euro

  4. Browserhersteller

    Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

  5. Powerspy

    Stalking über den Akkuverbrauch

  6. LTE + Super Vectoring

    Hybridrouter der Telekom soll künftig 550 MBit/s bringen

  7. Huawei Mediapad T1 7.0

    7-Zoll-Tablet mit UMTS-Modem kostet 130 Euro

  8. Steam Machines

    Von A wie Alienware bis Z wie Zotac

  9. Steam Controller ausprobiert

    Konkurrenz für WASD und Maus

  10. Fujitsu Laboratories

    Software wertet Bewegungen auf schlechten Videos aus



Haben wir etwas übersehen?

E-Mail an news@golem.de



OxygenOS von Oneplus: "Wir wollen keine Funktionen entwickeln, die nerven"
OxygenOS von Oneplus
"Wir wollen keine Funktionen entwickeln, die nerven"
  1. Oneplus One-Smartphone bekommt Lollipop erst im März
  2. Alternatives ROM Paranoid Android schließt sich Oneplus an
  3. OxygenOS Oneplus greift auf Paranoid-Android-Entwickler zurück

MIPS Creator CI20 angetestet: Die Platine zum Pausemachen
MIPS Creator CI20 angetestet
Die Platine zum Pausemachen
  1. Raspberry Pi 2 Fotografieren nur ohne Blitz
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

  1. Re: Ansatz löblich, aber wer bezahlt mein Zertifikat?

    tingelchen | 17:05

  2. Re: Warum sich Windows 7 von PC Fritz...

    Sarowie | 17:04

  3. Re: Self-signed nicht als Gefahr darstellen

    Schnarchnase | 17:02

  4. Demnächst müssen die Lehrer die Ohren vor den...

    hwessel | 17:00

  5. Re: Wozu braucht man das ?!?

    Sander Cohen | 17:00


  1. 16:45

  2. 16:19

  3. 15:11

  4. 15:09

  5. 15:00

  6. 14:45

  7. 14:15

  8. 12:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel