Secure Boot Torvalds wehrt sich gegen Schlüssel-Patch

Linus Torvalds wehrt sich vehement gegen einen Patch für den Linux-Kernel, der einen Schlüssel aus einer von Microsoft signierten PE-Datei ausliest und ihn dem Keyring des Kernels hinzufügt.

Anzeige

Ein Patch für Linux 3.9 von Red-Hat-Entwickler David Howells missfällt Linux-Chef Linus Torvalds. Der Patch sieht vor, dass dem Schlüsselbund des Kernels automatisch neue Schlüssel hinzugefügt werden. Damit soll unter anderem der dynamische Import von Microsofts Secure-Boot-Schlüssel im laufenden Betrieb ermöglicht werden. Dagegen wehrt sich Torvalds: Solche Funktionen gehörten in den Userspace, aber nicht in den Kernel.

Ihm missfalle der Parser für X.509-Zertifikate, der seit Kernel 3.7 integriert sei, schreibt Torvalds. Der neue Patch kompliziere die Schlüsselinfrastruktur nur unnötig. Noch schlimmer sei aber, dass der Patch Binärdateien im PE-Format von Microsoft parse, um Schlüssel zu extrahieren. Wenn Red Hat eine solche Lösung brauche, sei das in Ordnung, im Kernel habe so ein Code aber nichts zu suchen. Es gebe keinen Grund, Kernel-Module überhaupt mit Schlüssel von Microsoft zu signieren.

Einfacheres Signieren

Kernel-Entwickler Peter Jones erklärte daraufhin nochmals die Funktion des Patches: Es gebe Entwicklern die Möglichkeit, ein Kernel-Modul selbst zu signieren und dafür geradezustehen, etwa ein Systemtap-Modul.

Da Microsoft nur PE-Dateien signiert, sieht der von Howell eingereichte Patch vor, eine Binärdatei mit einem X.509-Schlüssel zu erzeugen, die wiederum von Microsoft signiert werden sollte. Der bereits in Linux 3.7 umgesetzte Befehl keyctl add soll deshalb unter anderem um einen Parser für PE-Dateien ergänzt werden. Dann können weitere Schlüssel hinzugefügt werden, die beispielsweise im Kernel liegen. Später sollen Funktionen hinzukommen, die Signaturschlüssel aus dem UEFI auslesen können. Der Patch soll auch ein manuelles Einlesen eines Schlüssels im Bios unnötig machen.


Steffo 01. Mär 2013

Sonst hätten sich einige weggeschmissen vor Lachen. Ich dachte, das sei ein Profi-Forum...

kitingChris 27. Feb 2013

Das ist bei weitem NICHT vergleichbar mit einem Paketmanager wie man ihn von Linux kennt...

Atalanttore 25. Feb 2013

Andererseits vertraut man unter Linux auf Schlüssel von Microsoft. ¹ Stave Ballmer

rommudoh 25. Feb 2013

Weil bisher sonst keiner soviel Geld in die Hand nehmen will, um eine...

burningcf 25. Feb 2013

Sorry, wenn das missverständlich rüber kam. Hast absolute recht :-).

Kommentieren



Anzeige

  1. Netzwerk Administrator (m/w)
    Loyalty Partner Solutions GmbH, keine Angabe
  2. Mitarbeiter/-in Informationstechnologie, Produktdatenmanagement / Bill of Materials Support und Prozesse
    Daimler AG, Sindelfingen
  3. Softwareentwickler (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. Trainee IT (m/w) Schwerpunkt: SAP Applikation
    Unternehmensgruppe Theo Müller, Aretsried

 

Detailsuche


Folgen Sie uns
       


  1. 25 Jahre Gameboy

    Nintendos kultisch verehrter Elektroschrott

  2. Digitalkamera

    Panono macht Panoramen im Flug

  3. Nach EuGH-Urteil

    LKA-Experten wollen weiter Vorratsdatenspeicherung

  4. MPAA und RIAA

    Film- und Musikindustrie nutzte Megaupload intensiv

  5. F-Secure

    David Hasselhoff spricht auf der Re:publica in Berlin

  6. "Leicht zu verdauen"

    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

  7. Test The Elder Scrolls Online

    Skyrim meets Standard-MMORPG

  8. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  9. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  10. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IMHO - Heartbleed und die Folgen: TLS entrümpeln
IMHO - Heartbleed und die Folgen
TLS entrümpeln

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.

  1. Bleichenbacher-Angriff TLS-Probleme in Java
  2. Revocation Zurückziehen von Zertifikaten bringt wenig
  3. TLS-Bibliotheken Fehler finden mit fehlerhaften Zertifikaten

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

    •  / 
    Zum Artikel