Canonical macht eigene Vorgaben zur Verwendung von Secure-Boot in Ubuntu.
Canonical macht eigene Vorgaben zur Verwendung von Secure-Boot in Ubuntu. (Bild: Canonical)

Canonical Ubuntu mit eigener UEFI-Strategie

Statt wie Fedora auf eine Microsoft-Signatur für Secure-Boot zu setzen, definiert Canonical eigene Zertifizierungsrichtlinien. Das ähnelt dem Vorgehen von Microsoft, bis auf eine entscheidende Ausnahme.

Anzeige

In einem Dokument (PDF) fordert Canonical von Hardwareherstellern, Ubuntus Secure-Boot-Schlüssel in der UEFI-Firmware mitzuliefern. Zudem müssten Nutzer mit physischem Zugang eigene Schlüssel hinzufügen und letztlich auch Secure-Boot abschalten können.

Diese Richtlinien für Ubuntu entsprechen ungefähr den von Microsoft gemachten Vorgaben zur Zertifizierung von Windows 8. Nutzer sollten also problemlos Ubuntu auch mit Secure-Boot nutzen können, vorausgesetzt, sie verwenden ein Gerät mit vorinstalliertem Ubuntu.

Kein Signierdienst von Canonical

Der Entwickler Matthew Garrett stellt in seinem Blog aber einen entscheidenden Unterschied zwischen dem Vorgehen Microsofts und Canonicals fest: Der Linux-Distributor biete anders als Microsoft keinen Signierdienst an. Dies könnte dazu führen, dass die Installation einer Linux-Distribution und die Nutzung von Secure-Boot auf einem Gerät mit Windows einfacher hinzubekommen sei als mit Ubuntu-Hardware, befürchtet Garrett.

Linux-Distributoren wie Fedora könnten ihr System oder Teile davon von Microsoft signieren lassen. Der Start und die Installation liefen dann, ohne die Secure-Boot-Option in der Firmware abschalten zu müssen, falls auf dem Gerät der Microsoft-Schlüssel vorhanden ist. Dies dürfte bei fast allen Geräten der Fall sein, die nach der Veröffentlichung von Windows 8 verkauft werden.

Nur eine Signatur erlaubt

Doch selbst wenn Canonical diesem Beispiel folge und einen eigenen Signierdienst anbiete, schreibt Garrett, müssten Distributoren wie Fedora zwei Installationsmedien bereitstellen. Je eines mit Windows- und eines mit Ubuntu-Signatur, da laut UEFI-Spezifikation nur Medien mit einem Schlüssel überprüft werden.

Die einfachste Lösung wäre Garrett zufolge, dass Canonical auch die Präsenz des Windows-Schlüssels auf der Hardware fordert. Das ist jedoch sehr unwahrscheinlich.

Der Red-Hat-Angestellte Matthew Garrett ist seit einiger Zeit mit Secure-Boot befasst und stellte zuletzt die Strategie des Fedora-Projekts zum Umgang mit der Secure-Boot-Funktion vor. Fedora wird künftig einen minimalen Bootloader von Microsoft signieren lassen, damit Fedora auf jeder Hardware gestartet werden kann, die für Windows 8 zertifiziert ist.


joseejd 24. Jun 2012

Da stimme ich zu, dieser Secure scheiß muss weg. Mich wundert das Microsoft da soviel...

SSD 21. Jun 2012

Dass kein UEFI-Key vorinstalliert sein soll, ist schon mal eine gute Idee. Aber es...

tangonuevo 21. Jun 2012

Ich sehe das so: Garrett fürchtet, daß es PCs geben könnte, die entweder nur den MS-key...

Moe479 21. Jun 2012

tja ... das ginge dann doch ohne dritte ... währe doch kein geschäft ... damit zwar...

mnementh 20. Jun 2012

Ich sehe auch ein riesiges Problem darin. Daher bin ich umso mehr überrascht, wie sehr...

Kommentieren



Anzeige

  1. IT-Assistenz (m/w)
    medac GmbH, Wedel bei Hamburg
  2. IT-Netzwerkadministratorin/I- T- Netzwerkadministrator
    Universität Passau, Passau
  3. Funktionsentwickler (m/w) für modellbasierte Embedded Software-Entwicklung
    GIGATRONIK Technologies GmbH, Ulm
  4. (Senior) Specialist IT Security (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt

 

Detailsuche


Hardware-Angebote
  1. MSI-Cashback-Aktion: Ausgewählte Grafikkarte und Mainboard kaufen
  2. Samsung Galaxy S6 und S6 Edge im Preisvergleich
    ab 699,00€
  3. Raspberry Pi 2 Modell B / Quad-Core Prozessor / 1GB RAM - inkl. Kühlkörper
    ab 36,44€

 

Weitere Angebote


Folgen Sie uns
       


  1. Elektroauto

    Wird der BMW i3 zum Apple-Car?

  2. Kostenlose Preview

    So sieht Office 2016 für den Mac aus

  3. Lizenzrecht

    Linux-Entwickler verklagt VMware wegen GPL-Verletzung

  4. Operation Eikonal

    BND bestätigt Missbrauch der Kooperation durch NSA

  5. Microsoft

    Warum sich Windows 7 von PC Fritz registrieren ließ

  6. Oberlandesgericht Oldenburg

    Werber der Telekom darf sich nicht als Ewe Tel ausgeben

  7. Ubuntu Phone

    "Wir wollen auch ganz normale Nutzer ansprechen"

  8. Huawei Y3

    Neues Dual-SIM-Smartphone für 80 Euro

  9. Geheimdienstakten vorenthalten

    BND muss für den NSA-Ausschuss nachsitzen

  10. Bundesnetzagentur

    Liquid will sich Platz als Mobilfunkbetreiber einklagen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

Freenet: Das anonyme Netzwerk mit der Schmuddelecke
Freenet
Das anonyme Netzwerk mit der Schmuddelecke
  1. U-Bahn Neue Überwachungskameras können schwenken und zoomen
  2. Matthew Garrett Intel erzwingt Entscheidung zwischen Sicherheit und Freiheit
  3. Netgear WLAN-Router aus der Ferne angreifbar

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. Die Woche im Video Abenteurer, Adware und ein fixer Anschluss
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

  1. Re: Nur für 10.10

    Genesis4000 | 06:53

  2. Warum sich Windows 7 von PC Fritz registrieren ließ

    RheinPirat | 06:39

  3. Re: Und wir bekommen nicht mal einen Flughafen hin

    erma | 06:39

  4. Re: Wie entsteht denn nur durch Wärme Strom??? Da...

    Alexspeed | 06:35

  5. Re: Apple Zwang?

    Majin | 06:32


  1. 23:38

  2. 23:18

  3. 22:52

  4. 20:07

  5. 19:58

  6. 17:36

  7. 17:15

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel