UEFI: Secure-Boot-Schlüssel auf USB-Stick
Secure-Boot-Schlüssel sollen über USB-Sticks installiert werden können. (Bild: William Hook/Flickr.com/CC-BY-SA 2.0)

UEFI

Secure-Boot-Schlüssel auf USB-Stick

Die Verteilung der Schlüssel für Secure Boot sei ganz einfach, sagt Entwickler Matthew Garret. Nutzer sollen weitere Schlüssel von externen Medien aus installieren können. Dazu muss die UEFI-Spezifikation leicht angepasst werden.

Anzeige

Eine Lösung für das Problem mit der Secure-Boot-Funktion der UEFI-Spezifikation scheint in Sicht. Der Red-Hat-Angestellte Matthew Garret schlägt vor, die Spezifikation so zu erweitern, dass Nutzer die Möglichkeit haben, eigene Schlüssel von Wechseldatenträgern aus zu installieren. Somit hätten die Nutzer die Kontrolle über die Verteilung der Schlüssel und nicht, wie derzeit von Microsoft verlautbart, allein die Hardwarehersteller.

Die Free Software Foundation (FSF) und viele Nutzer freier Systeme befürchten, dass mit Secure Boot nur noch Windows gestartet werden könnte. Die Funktion ist eine Voraussetzung für die Zertifizierung für Windows 8 und sorgt dafür, dass nur noch signierter Code von der Firmware des Rechners gestartet werden kann. Da nicht jeder Hardwarehersteller die Schlüssel für andere Systeme mitliefern kann oder möchte, könnte alternativen Betriebssystemen dadurch der Start verweigert werden.

Schlüssel auf Installationsmedien

Die von Garret vorgeschlagene Erweiterung des Standards sieht vor, dass ein Pfad für die Speicherung von Schlüsseln auf Wechseldatenträgern festgelegt wird. Startet der Nutzer seinen Rechner von einem USB-Stick oder einer CD, soll die Firmware den Schlüssel finden. Der Anwender muss schließlich nur noch der Installation des Schlüssels zustimmen und der Bootloader kann mit Secure Boot gestartet werden.

Damit ist es irrelevant, ob die Hardwarehersteller weitere Schlüssel neben dem für Windows 8 auf ihren Produkten hinterlegen, sofern sich deren UEFI-Implementierung an die Spezifikation hält. Lediglich die Distributoren freier Betriebssysteme müssten dann dafür sorgen, die Schlüssel mit den Installationsmedien zu verbreiten. Darüber hinaus müssten auch Updates des Bootloaders mit demselben Schlüssel signiert sein.

Alternativen verursachen Probleme

Für Garrett ist die nun vorgestellte Lösung die einzige, die keine weiteren Probleme aufwirft. So sieht die UEFI-Spezifikation zum Beispiel vor, dass Nutzer dem Starten einer Anwendung zustimmen müssen, falls dafür kein Schlüssel hinterlegt ist. Garret vergleicht diese Vorgehensweise mit dem Vertrauen von SSL-Zertifikaten, die Websitebetreiber selbst signiert haben. Zum einen müssten die Entwickler von Malware nur auf Nutzer setzen, die einfach allem zustimmen, zum anderen verbietet Microsoft die Funktion bei einer Zertifizierung für Windows 8, schreibt Garret.

Eine weitere Möglichkeit für Distributoren wäre, ihren Code selbst zu signieren und an Hersteller zu verteilen. Garrett glaubt aber nicht, dass dadurch alle Hersteller erreicht werden. Zuletzt erwägt Garrett noch, dass Distributoren ihren Code mit einem Schlüssel signieren könnten, dem bereits vertraut wird. Es ist aber eher unwahrscheinlich, dass Microsoft seine Schlüssel dafür zur Verfügung stellt.

Implementierung kein Problem

Garret hofft, dass sein Vorschlag auf der Konferenz "UEFI Plugfest" kommende Woche in der taiwanischen Hauptstadt Taipeh diskutiert wird. Das einzige Hindernis, welches dann noch existiert, ist, dass Secure Boot derzeit noch nicht von Linux unterstützt wird. Wohl auch deshalb, weil kaum Hardware mit dieser Funktion existiert. Technisch sieht Garrett in der Implementierung aber kein Problem und glaubt, der Code für die Unterstützung sei in etwa einer Woche geschrieben.


Systemanalytiker 08. Nov 2011

Unternehmen solle ihr Secure-Boot haben aus Sicherheitsgründen. Privatkonsumenten...

Dorsai! 21. Okt 2011

Vielleicht bei Windows, aber wenn man sich selber einen Schlüssel generiert, diesen über...

ChilliConCarne 20. Okt 2011

Zitat Wikipedia: "The EFI specification does not prescribe any particular file system...

Kommentieren



Anzeige

  1. IT Specialist (m/w) Regional Support Center
    Siemens AG, Eschborn
  2. Anwendungsentwickler (m/w)
    spb GmbH elektronische Datenverarbeitung, Bremen
  3. Scrum Master (m/w)
    NEMETSCHEK Allplan Systems GmbH, München
  4. SAP Produktmanager (m/w)
    Bosch Thermotechnik GmbH, Wetzlar

 

Detailsuche


Folgen Sie uns
       


  1. Mayday

    Kindle-Besitzer können auf Knopfdruck Hilfe rufen

  2. Lufthansa Taxibot

    Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn

  3. Geheimdienste

    USA und Deutschland wollen Leitlinien vereinbaren

  4. Geheimdienste

    DE-CIX bei manipulierter Hardware machtlos gegen Spionage

  5. Digitale Agenda

    Bund will finanzielle Breitbandförderung festschreiben

  6. DVB-T2

    HDTV sollte unverschlüsselt über Antenne kommen

  7. Wissenschaft

    Hören wie die Fliegen

  8. iWatch

    Apples Smartwatch könnte aus zwei Teilen bestehen

  9. Phishing-Angriffe

    Nigerianische Scammer rüsten auf

  10. Nvidia Shield Tablet ausprobiert

    Schnelles Spiele-Tablet für Android mit WLAN-Controller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Let's Player: "Es gibt Spiele, für die man bezahlt wird"
Let's Player
"Es gibt Spiele, für die man bezahlt wird"
  1. Transocean Handelssimulation mit Ozeanriesen
  2. Dieselstörmers angespielt Diablo plus Diesel
  3. Quo Vadis Computec Media übernimmt Mehrheit an Aruba Events

Oneplus One im Test: Unerreichbar gut
Oneplus One im Test
Unerreichbar gut
  1. Oneplus One-Update macht verkürzte Akkulaufzeit rückgängig
  2. Oneplus One könnte ab dem dritten Quartal vorbestellbar sein
  3. Cyanogenmod-Smartphone Weitere Käufer erhalten das Oneplus One

Android Wear: Pimp my watch
Android Wear
Pimp my watch
  1. Android Wear API für Watch Faces soll bald kommen
  2. Google Camera App Kamera-Fernbedienung für Android Wear
  3. Android Wear Erstes Custom-ROM für LGs G Watch erschienen

    •  / 
    Zum Artikel