Secure Boot: Torvalds wehrt sich gegen Schlüssel-Patch
Linus Torvalds ist über einen Patch für den Import von Microsofts Schlüssel wütend. (Bild: Josh Landis/National Science Foundation, Public Domain)

Secure Boot Torvalds wehrt sich gegen Schlüssel-Patch

Linus Torvalds wehrt sich vehement gegen einen Patch für den Linux-Kernel, der einen Schlüssel aus einer von Microsoft signierten PE-Datei ausliest und ihn dem Keyring des Kernels hinzufügt.

Anzeige

Ein Patch für Linux 3.9 von Red-Hat-Entwickler David Howells missfällt Linux-Chef Linus Torvalds. Der Patch sieht vor, dass dem Schlüsselbund des Kernels automatisch neue Schlüssel hinzugefügt werden. Damit soll unter anderem der dynamische Import von Microsofts Secure-Boot-Schlüssel im laufenden Betrieb ermöglicht werden. Dagegen wehrt sich Torvalds: Solche Funktionen gehörten in den Userspace, aber nicht in den Kernel.

Ihm missfalle der Parser für X.509-Zertifikate, der seit Kernel 3.7 integriert sei, schreibt Torvalds. Der neue Patch kompliziere die Schlüsselinfrastruktur nur unnötig. Noch schlimmer sei aber, dass der Patch Binärdateien im PE-Format von Microsoft parse, um Schlüssel zu extrahieren. Wenn Red Hat eine solche Lösung brauche, sei das in Ordnung, im Kernel habe so ein Code aber nichts zu suchen. Es gebe keinen Grund, Kernel-Module überhaupt mit Schlüssel von Microsoft zu signieren.

Einfacheres Signieren

Kernel-Entwickler Peter Jones erklärte daraufhin nochmals die Funktion des Patches: Es gebe Entwicklern die Möglichkeit, ein Kernel-Modul selbst zu signieren und dafür geradezustehen, etwa ein Systemtap-Modul.

Da Microsoft nur PE-Dateien signiert, sieht der von Howell eingereichte Patch vor, eine Binärdatei mit einem X.509-Schlüssel zu erzeugen, die wiederum von Microsoft signiert werden sollte. Der bereits in Linux 3.7 umgesetzte Befehl keyctl add soll deshalb unter anderem um einen Parser für PE-Dateien ergänzt werden. Dann können weitere Schlüssel hinzugefügt werden, die beispielsweise im Kernel liegen. Später sollen Funktionen hinzukommen, die Signaturschlüssel aus dem UEFI auslesen können. Der Patch soll auch ein manuelles Einlesen eines Schlüssels im Bios unnötig machen.


Steffo 01. Mär 2013

Sonst hätten sich einige weggeschmissen vor Lachen. Ich dachte, das sei ein Profi-Forum...

kitingChris 27. Feb 2013

Das ist bei weitem NICHT vergleichbar mit einem Paketmanager wie man ihn von Linux kennt...

Atalanttore 25. Feb 2013

Andererseits vertraut man unter Linux auf Schlüssel von Microsoft. ¹ Stave Ballmer

rommudoh 25. Feb 2013

Weil bisher sonst keiner soviel Geld in die Hand nehmen will, um eine...

burningcf 25. Feb 2013

Sorry, wenn das missverständlich rüber kam. Hast absolute recht :-).

Kommentieren



Anzeige

  1. Elektronik Ingenieur FPGA Design (m/w)
    NDT Global GmbH & Co. KG, Stutensee
  2. Systemadministrator/in
    Studentenwerk im Saarland e.V., Saarbrücken
  3. Bioinformatiker / Informatiker (m/w) molekulargenetische Diagnostik
    BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Ingelheim am Rhein
  4. Technischer Support (m/w) Schwerpunkt Netzwerktechnik
    WELOTEC, Laer

 

Detailsuche


Folgen Sie uns
       


  1. Quartalsbericht

    Apples iPad-Absatz geht erneut zurück

  2. Apple

    Das ist neu in iOS 8.1

  3. Same Day Delivery

    Ebay-Zustellung am selben Tag startet in Berlin

  4. Datendiebstahl

    Manipulierte Dropbox-Seiten phishen nach Mailaccounts

  5. Traktorstrahl

    Hin und zurück durch die Laserröhre

  6. Personalmarkt

    Welche IT-Fachkräfte im Jahr 73.400 Euro verdienen

  7. Wearables

    Microsofts Smartwatch soll bald kommen

  8. Eric Anholt

    Raspberry-Pi-Grafiktreiber erlaubt fast stabiles X

  9. Smartphone-Prozessor

    Der Exynos 5433 ist Samsungs erster 64-Bit-Chip

  10. Familien-Option

    Spotify lässt bis zu fünf Nutzer parallel Musik hören



Haben wir etwas übersehen?

E-Mail an news@golem.de



iMac mit Retina 5K angeschaut: Eine Lupe könnte helfen
iMac mit Retina 5K angeschaut
Eine Lupe könnte helfen
  1. iFixit iMac mit Retina-Display ist schwer zu reparieren
  2. Apple iMac Retina bringt mehr als 14 Megapixel auf das Display
  3. Apple iMacs mit Retina-Displays geplant

Data Management: Wie Hauptspeicherdatenbanken arbeiten
Data Management
Wie Hauptspeicherdatenbanken arbeiten

Schenker XMG P505 im Test: Flaches Gaming-Notebook mit überraschender GTX 970M
Schenker XMG P505 im Test
Flaches Gaming-Notebook mit überraschender GTX 970M
  1. Geforce GTX 980M und 970M Maxwell verdoppelt Spielgeschwindigkeit von Notebooks
  2. Toughbook CF-LX3 Panasonics leichtes Notebook mit der Lizenz zum Runterfallen
  3. Entwicklung vorerst eingestellt Notebooks mit Touch-Displays sind nicht gefragt

    •  / 
    Zum Artikel