Anzeige
Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

UEFI Secure Boot Eigene Schlüssel unter Linux hinzufügen

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Anzeige

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

  • Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.


eye home zur Startseite
zilti 09. Okt 2012

Der Witz an der Sache ist ja, dass es nicht Opt-In ist, sondern wohl manchmal nicht...

evilchen 09. Okt 2012

Na UEFI wird doch als Sicherheitsfeature FÜR den User verkauft. Damit werden ja gar keine...

robinx999 09. Okt 2012

Wirklich effektiv verstecken kann sich ein echtes Rootkit nur wenn es vor dem Kernel...

Anonymer Nutzer 08. Okt 2012

. . . mit UEFI jeder Nutzer dann registriert ist, mit dem System das er anwendet - durch...

satriani 08. Okt 2012

unterschrieben :)

Kommentieren



Anzeige

  1. Online Manager (m/w)
    BavariaDirekt, München
  2. Projektingenieur MES (m/w)
    Roche Diagnostics GmbH, Mannheim
  3. (Junior) Technical Consultant Automotive Vernetzte Dienste (m/w)
    T-Systems on site services GmbH, München, Gaimersheim oder Leinfelden-Echterdingen
  4. Managementberater (m/w) im Bereich Business Intelligence - Senior Professional
    Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München oder Stuttgart

Detailsuche



Anzeige
Top-Angebote
  1. NUR FÜR KURZE ZEIT: LG 27MU67-B UHD-Monitor + The Division
    403,95€ inkl. Versand (Vergleichspreise ab ca. 457€ - Solange der Vorrat reicht)
  2. NUR FÜR KURZE ZEIT: Corsair CML16GX3M2A1600C9 16-GB-DDR3-Kit
    59,90€ inkl. Versand (Vergleichspreise ab ca. 67€ - Solange der Vorrat reicht)
  3. NUR BIS SONNTAG: 10 Blu-rays für 50 EUR
    (u. a. Indiana Jones, Lucy, Jack Reacher, Cooties, Airport, Big Jake)

Weitere Angebote


Folgen Sie uns
       


  1. White-Label-Produkte

    USB-Typ-C-Zubehör ist kein Problem mehr

  2. Amazon

    Blu-ray oder DVD kaufen und digitale Kopie gratis erhalten

  3. Vanmoof Smartbike

    GSM-Modul im Fahrrad trickst Diebe aus

  4. Mophie Juice Pack Wireless

    Drahtloses Laden für aktuelle iPhones

  5. Prozessor

    AMD zeigt Zen-Chip für Sockel AM4

  6. Radeon RX 480

    AMDs 200-Dollar-Polaris-Grafikkarte liefert über 5 Teraflops

  7. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  8. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  9. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  10. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security-Studie Mit Schokolade zum Passwort
  2. Ransomware Teslacrypt-Macher sagen Sorry und veröffentlichen Masterkey
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Gran Turismo Sport Ein Bündnis mit der Realität
  2. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xperia X im Hands on: Sonys vorgetäuschte Oberklasse
Xperia X im Hands on
Sonys vorgetäuschte Oberklasse
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Android 6.0 Ein großer Haufen Marshmallow für Samsung und Co.
  3. Google Android N erscheint auch für Nicht-Nexus-Smartphones

  1. Re: Analog abschalten ist dumm

    Spaghetticode | 09:06

  2. Re: 8 Kerne 250¤

    xenofit | 09:06

  3. Re: ja die gtx

    Icestorm | 09:06

  4. Re: Ich bin froh über jeden Blitzer

    Clown | 09:05

  5. Re: Es beginnt...

    aPollO2k | 09:05


  1. 09:15

  2. 08:55

  3. 08:32

  4. 08:10

  5. 06:25

  6. 04:23

  7. 19:26

  8. 18:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel