Auf ARM-Geräten soll laut Vorgaben von Microsoft Secure Boot zwingend erforderlich sein.
Auf ARM-Geräten soll laut Vorgaben von Microsoft Secure Boot zwingend erforderlich sein. (Bild: Microsoft)

UEFI Secure-Boot macht Linux weiter Probleme

Die technischen Hürden einer Linux-Installation auf UEFI-Geräten werden sich überwinden lassen. Nutzerfreundlich wird das wohl aber nicht, befürchtet Entwickler Matthew Garrett.

Anzeige

Der Red-Hat-Angestellte Matthew Garrett äußert starke Bedenken darüber, ob sich Linux trotz UEFI-Secure-Boot auf Windows-8-Geräten installieren lassen wird. "Wir können den für Secure-Boot benötigten Code in kurzer Zeit schreiben - tatsächlich ist das meiste davon schon getan. Aber erhebliche praktische Probleme bleiben bestehen und bis jetzt haben wir keine praktikable Lösung für auch nur eines davon."

"Kernel signieren reicht nicht"

Garrett schreibt zum Beispiel von dem Risiko, das ein global verfügbarer Linux-Schlüssel berge. Angreifer könnten diesen nutzen, um einen "Malware-Loader" zwischen den Firmware-Start und den Bootloader zu schalten. Der "Malware-Loader" wäre dabei ein stark modifizierter Linux-Kernel mit Schadcode, der sich selbst vor dem laufenden System versteckt, Nutzereingaben jedoch mitschreibt.

Deshalb sei das Signieren des Kernels mit einem Schlüssel einfach nicht genug. Genaugenommen dürfte der Kernel nur signierten Code starten. Proprietäre Binärtreiber ließen sich dann ebenso wenig einsetzen wie selbst kompilierte Treiber. Dies gelte auch für Windows 8, schreibt Garret.

Custom Mode erschwert Installation

Die Option Custom Mode der UEFI-Spezifikation sieht vor, dass Nutzer eigene Schlüssel in die Firmware einpflegen können. Diese Option griff Garrett bereits auf und schlug vor, dass Linux-Distributionen ihre Schlüssel einfach mitliefern. Dadurch würde die Installation jedoch deutlich erschwert, da Anwender die Firmware verändern müssten.

Außerdem schreibt die Spezifikation vor, wie genau Anwender den Custom Mode benutzen müssen. Unter anderem muss die Veränderung durch physisch vorhandene Nutzer geschehen, die gleichzeitige Installation auf mehreren Rechner über das Netzwerk würde dadurch unmöglich. Darüber hinaus gibt es keine Vorgabe, wie die User Interfaces des Custom Mode auszusehen haben, theoretisch unterscheiden sie sich also je nach Firmware-Hersteller.

Schlüsselformat nicht spezifiziert

Laut Garrett ist das Format der Schlüssel nirgendwo definiert und er fragt sich, ob der Schlüssel in reinem Binärcode vorliegen wird, als "EFI_SIGNATURE_DATA" oder gar "Base64-codiert und darüber hinaus mit Rot13 geschützt."

Auch wie die Schlüssel verteilt werden könnten, bereitet Garrett Sorgen. Sollten die Schlüssel asymmetrisch erzeugt werden, kann der private Schlüssel nicht einfach herausgegeben werden. Distributionen müssten ihre Schlüssel dann selbst erzeugen und an die Firmware-Hersteller aushändigen. Das fiele aber vor allem kleinen Projekten extrem schwer. Garrett schreibt pessimistisch: "Bastler-Linux-Distributionen werden damit der Vergangenheit angehören."

Kein Ende in Sicht

Bisher schob Microsoft das Problem von sich zu den OEM-Herstellern oder verbietet den Custom Mode auf ARM-Geräten. Die FSF startete die Kampagne Restricted-Boot, Garrett selbst, oder auch die Linux-Foundation und Canonical machten bereits Vorschläge, wie Nutzer eigene Schlüssel installieren könnten.

Das sind allerdings größtenteils technische Bedenken, dazu kommen die von Garrett nun geäußerten Hürden für Anwender bei der Installation. Die vielen offenen Fragen werden sich letztlich erst nach der Veröffentlichung von Windows 8 beantworten lassen.


GmaWelt 23. Jan 2012

das ist mir genau so passiert. da mir das auf einem netzlaufwerk passierte, gab's auch...

NeverDefeated 20. Jan 2012

Es ist ganz simpel: Bis das Problem nicht behoben ist verzichtet man einfach auf den Kauf...

Vanger 19. Jan 2012

Ja, weil das auch wirklich jeder Linux-Nutzer problemlos hinbekommt. Wenn ich da an...

Dreami 18. Jan 2012

Mal abgesehen davon was die anderen gesagt haben, dort signiert der Hersteller das ROM...

Threat-Anzeiger 18. Jan 2012

nein, es geht darum dass OEM-PCs nur mit vorinstalliertem Windows-Key kommen, und man...

Kommentieren



Anzeige

  1. Promotion - Fahrzeug zu Fahrzeug Kommunikation (LTE)
    Robert Bosch GmbH, Hildesheim
  2. Softwareentwickler für JEE & Mobile (m/w)
    Triona - Information und Technologie GmbH, Frankfurt am Main / Rhein-Main-Gebiet
  3. Senior Java Entwickler (m/w)
    CeTEC GmbH & Co KG, Bremen
  4. Business Intelligence Consultant (m/w)
    BIVAL GmbH, Ingolstadt

 

Detailsuche


Top-Angebote
  1. NEU: The Pacific [Blu-ray]
    16,97€
  2. TIPP: PS4-Spiele reduziert
    (u. a. GTA V 42,33€, Project CARS 43,79€, Tamriel Unlimited 43,79€, Alien: Isolation Ripley...
  3. NEU: 4 Blu-rays für 30 EUR
    (u. a. Die Unfassbaren, Escape Plan, RED 2, Braveheart, Fast & Furious 6, Titanic)

 

Weitere Angebote


Folgen Sie uns
       


  1. Batman Arkham Knight im Test

    Es ist kompliziert ...

  2. Wikileaks

    NSA spionierte offenbar Frankreichs Wirtschaft aus

  3. Spiele-Linux

    Valve zeigt Vorschau auf neue SteamOS-Version

  4. Microsoft

    Neue Preview von Windows 10 ändert einiges

  5. Xperia Z4 Tablet im Test

    Dünn, leicht und heiß

  6. Elektroauto

    MIT-Forscher entwickeln Akkus mit halbfester Speicherschicht

  7. Verbraucherzentrale

    Kunden müssen vorzeitige All-IP-Umstellung nicht hinnehmen

  8. Schaltsekunde 2015

    Die Furcht vor dem Zeitsprung

  9. Cyanogenmod

    Neues Nightly Build von CM12.1 verfügbar

  10. IMHO

    DNSSEC ist gescheitert



Haben wir etwas übersehen?

E-Mail an news@golem.de



Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  2. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger
  3. Grafikkarte AMD kündigt Radeon R9 Fury X und R9 Nano an

PGP: Hochsicher, kaum genutzt, völlig veraltet
PGP
Hochsicher, kaum genutzt, völlig veraltet
  1. OpenPGP Facebook verschlüsselt E-Mails
  2. Geheimhaltung IT-Experten wollen die NSA austricksen
  3. Security Wie Google Android sicher macht

Urheberrecht: Die Panoramafreiheit ist bedroht
Urheberrecht
Die Panoramafreiheit ist bedroht
  1. EU-Urheberrecht Wikipedia fürchtet Abschaffung der Panoramafreiheit
  2. Experten Filesharing-Urteil des Bundesgerichtshofs für Musikindustrie
  3. Privatkopie Österreich will Downloads von illegalen Quellen verbieten

  1. Re: Und Tacho und Drehzahlmesser erst.

    quineloe | 14:34

  2. Re: Kenne ich aus der Praxis

    Funky_Monkey | 14:33

  3. Die batman Spiele sind einfach super

    Unix_Linux | 14:32

  4. Re: "Hinweise, wenn der Nutzer zur Arbeit gehen...

    Berner Rösti | 14:31

  5. Re: Wer's braucht...

    ichbinsmalwieder | 14:29


  1. 14:08

  2. 12:40

  3. 12:35

  4. 12:29

  5. 12:07

  6. 12:05

  7. 12:05

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel