Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

UEFI Secure Boot Eigene Schlüssel unter Linux hinzufügen

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Anzeige

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

  • Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.


zilti 09. Okt 2012

Der Witz an der Sache ist ja, dass es nicht Opt-In ist, sondern wohl manchmal nicht...

evilchen 09. Okt 2012

Na UEFI wird doch als Sicherheitsfeature FÜR den User verkauft. Damit werden ja gar keine...

robinx999 09. Okt 2012

Wirklich effektiv verstecken kann sich ein echtes Rootkit nur wenn es vor dem Kernel...

Anonymer Nutzer 08. Okt 2012

. . . mit UEFI jeder Nutzer dann registriert ist, mit dem System das er anwendet - durch...

satriani 08. Okt 2012

unterschrieben :)

Kommentieren



Anzeige

  1. SAP Basis Berater (m/w)
    4brands Reply GmbH & Co. KG, Gütersloh
  2. IT-Entwickler Sharepoint (m/w)
    DEKRA SE, Stuttgart
  3. Service Delivery Manager (m/w)
    gkv informatik, Wuppertal
  4. SAP-Berater / Consultant SD/CS (m/w)
    Wolf GmbH, Mainburg

 

Detailsuche


Hardware-Angebote
  1. 10 EURO GÜNSTIGER: Kingston HyperX Cloud Headset
    74,90€
  2. MSI GeForce GTX 970 Gaming 4G
    369,90€ (günstigster Preis laut Preisvergleich)
  3. Alle PCGH-PCs inkl. The Witcher 3

 

Weitere Angebote


Folgen Sie uns
       


  1. Musikindustrie

    Größte Bittorrent-Tracker abgeschaltet

  2. Test State Of Decay Survival Edition

    Alte Zombies in neuem Gewand

  3. Weltraumspiel

    Kerbal Space Program ist gestartet

  4. Debian 8 angeschaut

    Das unsanfte Upgrade auf Systemd

  5. Crowdfunding

    Kickstarter startet offiziell in Deutschland

  6. Dragon Age Inquisition

    200 Stunden, 15.840 Handlungspfade und Zehntausende von Bugs

  7. Exacto

    Selbstlenkende Gewehrmunition wird Realität

  8. Steam

    Valve stoppt den Verkauf von Mods

  9. Auto

    Programmierte Scheinwerfer leuchten nur Wichtiges aus

  10. Smartwatch-Probleme

    Apple Watch saugt iPhone-Akkus leer und lädt nicht



Haben wir etwas übersehen?

E-Mail an news@golem.de



Nexus Player im Test: Zu wenige Apps, zu viele Probleme
Nexus Player im Test
Zu wenige Apps, zu viele Probleme
  1. Update Android 5.1.1 für das erste Gerät veröffentlicht
  2. Fire-TV-Konkurrenz Googles Nexus Player kostet 100 Euro
  3. Landesanstalt für Kommunikation TV-Werbezeitbeschränkung ist wegen Amazon & Co. überholt

Schützen, laden, stylen: Interessantes Zubehör für die Apple Watch
Schützen, laden, stylen
Interessantes Zubehör für die Apple Watch
  1. iFixit-Teardown Herz der Apple Watch lässt sich nicht wechseln
  2. Smartwatch So funktioniert der Pulssensor der Apple Watch
  3. Smartwatch Apple Watch wird frühestens im Juni im Laden verkauft

The Ocean Cleanup: Ein Müllfänger für die Meere
The Ocean Cleanup
Ein Müllfänger für die Meere
  1. Vorbild Tintenfisch Tarnmaterial ändert seine Farbe
  2. Keine Science-Fiction Mit dem Laser gegen Weltraumschrott
  3. Maglev Magnetschwebebahn erreicht in Japan 590 km/h

  1. Re: Bye bye, Golem

    Evron | 13:54

  2. Re: IMHO: Nett anzusehen und bestimmt auch nett...

    Dwalinn | 13:54

  3. Zu blöd Deutsch zu sprechen?

    tooom | 13:53

  4. Re: Kommentare über Apple

    nykiel.marek | 13:53

  5. Re: Patch angesehen

    Xiut | 13:53


  1. 13:17

  2. 13:00

  3. 12:21

  4. 12:03

  5. 11:00

  6. 10:22

  7. 09:04

  8. 08:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel