Linux muss in Secure-Boot-Umgebungen noch weiter abgesichert werden.
Linux muss in Secure-Boot-Umgebungen noch weiter abgesichert werden. (Bild: Anniolek/CC BY 3.0)

Secure Boot Signierte ELF-Dateien sollen Linux absichern

Damit die Linux-Bootloader nicht auf Microsofts schwarzer Liste landen, müssen spezielle Funktionen des Linux-Kernels besonders abgesichert werden, darunter Kexec. Das wollen Entwickler mit signierten ELF-Dateien umsetzen.

Anzeige

Ausführbare ELF-Dateien sollen künftig signiert werden können. Damit soll beispielsweise verhindert werden, dass über die Kernel-Funktion Kexec weitere Kernel in einer ungesicherten Umgebung gestartet werden und damit UEFIs Secure Boot aushebeln. Entwickler Vivek Goyal hat signierte ELF-Dateien vorgeschlagen und bereits entsprechende Patches und ein Werkzeug bereitgestellt. Noch handelt es sich aber um ein RFC.

Entwickler und Secure-Boot-Experte Matthew Garrett hatte auf mögliche Schlupflöcher in dem mit UEFI umgesetzten Sicherheitssystem hingewiesen. Gegenwärtig müssten zahlreiche Funktionen im Linux-Kernel abgestellt werden, denn sie könnten dazu genutzt werden, Secure Boot auszuhebeln.

Schlupfloch Kexec

Eine davon ist der Aufruf Kexec, mit dem ein laufender Kernel einen weiteren - auch unsicheren - Kernel starten kann. Wird in einer solchen Situation mit Kexec ein Windows-Kernel gestartet, wähnt sich dieser in einer sicheren Umgebung. Bleibt Kexec unsicher, könnte das Microsoft dazu veranlassen, sämtliche Bootloader, die einen Kernel mit Kexec starten, auf die schwarze Liste zu setzen und damit die Installation von Linux auf von Microsoft zertifizierter Hardware erschweren.

Kexec zu deaktivieren, kommt für die meisten Kernel-Entwickler aber nicht infrage. Deshalb schlägt Goyal vor, binäre ELF-Dateien zu signieren. Erst wenn die Signatur vom laufenden Kernel bestätigt worden ist, kann eine ELF-Binärdatei die Funktion Kexec nutzen. Ist die Datei unsigniert, soll die Funktion Kexec gesperrt werden. Die Binärdatei kann aber weiterhin gefahrlose Funktionen aufrufen. Erst wenn die Signatur nicht verifiziert werden kann, verweigert der Kernel die Arbeit der Binärdatei gänzlich.

Eingeschränkte Funktionen

Erkennt der Kernel über seine Funktion binfmt_elf eine signierte Binärdatei, werden seine Speicherseiten solange blockiert, bis die Signatur verifiziert worden ist. Damit soll verhindert werden, dass die Datei nach der Verifizierung noch ausgetauscht werden kann.

Jede ausführbare Datei im Executable and Linking Format (ELF) besitzt einen entsprechenden Header. Darin soll die kryptographische Signatur untergebracht werden, und nicht am Ende der Binärdatei wie mit den jüngst eingeführten Signaturwerkzeugen des Kernels. Die Signatur soll aus dem Hash-Wert des Inhalts der PT_LOAD-ELF-Segmente der Datei bestehen und mit einem privaten Schlüssel signiert werden. Gegenwärtig soll das aber nur mit statisch gelinkten Dateien funktionieren, denn gemeinsam genutzten Bibliotheken kann ebenfalls nicht getraut werden.

Entwicklungsbedürftig

Noch ist Goyals Vorschlag nicht ausgereift. Denn seine Patches verhindern gegenwärtig nicht die Nutzung des Aufrufs dlopen, mit dem dynamische Bibliotheken geladen werden können, oder ptrace, mit dem nach wie vor Binärdateien manipuliert werden könnten.

Zwar besitzt Linux seit Kernel 3.7 mit der Integrity Measurement Architecture (IMA) bereits einen ähnlichen Mechanismus. Allerdings enthalte Goyals Vorschlag sinnvolle Funktionen, die es dort nicht gebe, schreibt Kernel-Entwickler Johnathen Corbet, etwa die Möglichkeit, Funktionen nur einzuschränken, wenn die Binärdatei nicht signiert ist, oder das Sperren der Speicherseite, das eine zusätzliche Sicherheitsfunktion darstellt.

Bis es eine endgültige Lösung gibt, müssten Linux-Distributionen Kexec aber deaktivieren, wenn sie nicht auf Microsofts Blacklist laden wollen.


Thaodan 17. Jan 2013

Das wird aber bei der Masse nicht klappen und wer die Masse ha, hat die Macht.

Kommentieren



Anzeige

  1. Javaentwickler (m/w)
    init AG, Karlsruhe
  2. Support Account Manager (m/w)
    NetApp Deutschland GmbH, Stuttgart
  3. Softwareentwickler für JEE & Mobile (m/w)
    Triona - Information und Technologie GmbH, Frankfurt am Main / Rhein-Main-Gebiet
  4. Softwareentwickler/IT-Benutz- erbetreuer (m/w)
    MAC Mode GmbH & Co. KGaA, Wald

 

Detailsuche


Blu-ray-Angebote
  1. NEU: TV-Serien auf Blu-ray bis zu 40% reduziert
    (u. a. Banshee Staffel 1 14,90€, Da Vincis Demons 1. Staffel 12,97€, Shameless 2. Staffel 18...
  2. Avengers - Age of Ultron [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. NEU: Band of Brothers - Box Set [Blu-ray]
    17,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Frankreich

    Telefon-Headsets beim Autofahren und Fahrradfahren verboten

  2. Telekom

    Technische Umstellung führt zu Problemen bei Entertain

  3. Fairy Lights

    Holographisches Display aus Laser zum Anfassen

  4. Java-Rechtsstreit

    Google verliert vor oberstem US-Gericht

  5. Internet 16

    Preiserhöhung bei Tele Columbus auch bei neuen Verträgen

  6. Medienaufsicht

    Kabel Deutschland begrüßt Recht auf HbbTV-Ausfilterung

  7. Oculus Rift

    Hardware-Mod von Microsoft verbessert Optik

  8. Pebble Time im Test

    Nicht besonders smart, aber watch

  9. Einkommen

    Apple-Praktikanten verdienen 80.000 Dollar im Jahr

  10. Elektrorennen

    Nelson Piquet jr. wird erster Meister der Formel E



Haben wir etwas übersehen?

E-Mail an news@golem.de



Microsoft: Preise, Systemanforderungen und Limitierungen für Windows 10
Microsoft
Preise, Systemanforderungen und Limitierungen für Windows 10
  1. Microsoft Windows 10 Home kostet 135 Euro
  2. Microsoft Windows-Insider dürfen Windows 10 dauerhaft kostenlos nutzen
  3. Betriebssystem Microsoft verkauft Windows 10 auf einem USB-Stick

Oculus Touch ausprobiert: Volle Spaßkontrolle für Oculus Rift
Oculus Touch ausprobiert
Volle Spaßkontrolle für Oculus Rift
  1. Hand-Tracking für Oculus Rift Herumgefuchtelt wird mit der Oculus Touch
  2. Head-mounted Display Oculus Rift wird mit Xbox-Pad und -Streaming ausgeliefert
  3. Surreal Vision Oculus VR kauft Spezialisten für gemischte Realität

TAKT: Bahn will Fahrpläne in Echtzeit ausgeben
TAKT
Bahn will Fahrpläne in Echtzeit ausgeben
  1. DB Pitch Bahn modernisiert sich mit Sensor-, Lampen- und AR-Startups
  2. Netzwerkstatt Deutsche Bahn will sich mit Startups modernisieren
  3. ÖBB WLAN im Spaceshuttle einfacher zu machen als im Zug

  1. Fahren und lesen...

    maverick1977 | 05:21

  2. Re: Und wo soll das Ding stehen?

    Moe479 | 05:13

  3. Re: in Deutschland ist die Telekom einfach...

    P1r4nh4 | 05:05

  4. Re: So ein Unsinn.

    al-bundy | 05:02

  5. Re: Die meisten Unfälle passieren übrigens...

    Prinzeumel | 04:50


  1. 23:43

  2. 20:04

  3. 18:55

  4. 17:27

  5. 17:02

  6. 15:45

  7. 15:28

  8. 12:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel