Mit Matthew Garretts Vorschlag wird sich Secure-Boot mit Fedora einfach nutzten lassen.
Mit Matthew Garretts Vorschlag wird sich Secure-Boot mit Fedora einfach nutzten lassen. (Bild: Microsoft)

UEFI Secure Boot Fedora 18 mit Microsoft-Signatur

Ein kleines Stück Software, das noch vor Grub geladen wird, soll von Microsoft signiert werden. Alles andere möchte das Fedora-Team selbst signieren und so Secure-Boot in Fedora 18 für alle nutzbar machen.

Anzeige

Auch wenn es nicht unbedingt die attraktivste Lösung sei, wird das Fedora-Team den Secure-Boot-Signierdienst von Microsoft in Anspruch nehmen, schreibt Matthew Garrett in seinem Blog. So soll sich Fedora 18 leicht auf Hardware installieren lassen, die für Windows 8 zertifiziert ist und entsprechend Secure-Boot einsetzt.

Zwar gäbe es Alternativen, etwa die Möglichkeit, Fedora-Schlüssel an Hardwarehersteller zu verteilen oder einen Schlüssel für alle Linux-Distributionen zu erzeugen, diese seien Garrett zufolge jedoch wenig praktikabel. Außerdem führe das Signieren von Microsoft dazu, dass Fedora "auf einer möglichst großen Anzahl von Hardware läuft".

Bootloader zwischen UEFI und Grub

Geplant ist ein minimaler Bootloader, der von Microsoft signiert werden soll. Einziger Zweck dieser Software ist es, den eigentlichen Bootloader, Grub2, zu starten. Außerdem soll die Software die Grub2-Signatur überprüfen, welche von Fedora zur Verfügung gestellt wird.

Dadurch kann das Team einerseits einfach Grub2 aktualisieren, da es mit dem Fedora-eigenen Schlüssel signiert ist. Andererseits sollte das Release-Team keine Probleme haben, den zwischengelagerten Bootloader signieren zu lassen. Garrett geht davon aus, dass dieser höchstens einmal pro Release-Zyklus aktualisiert werden muss.

Secure-Boot in Fedora

Damit die Kette von signiertem Code beim Boot bis zur grafischen Oberfläche nicht unterbrochen werden kann, müssen die Entwickler jedoch noch einige Funktionen beschränken. So sollen Nutzer künftig etwa keine Module mehr in Grub2 laden können und die Kommandozeile für den Kernel soll keine Befehle mehr entgegennehmen können, die Angreifer ausnutzen könnten.

Auch werde der Linux-Kernel selbst eingeschränkt, schreibt Garrett. So müssen etwa sämtliche verwendeten Treiber signiert sein und in den Kernel geladen werden. Der Umgang mit Modulen, die das Fedora-Team nicht selbst anbietet, wird also schwieriger.

Selbst signieren oder ausschalten

Anwender, die einen selbst gebauten Kernel oder spezielle Module, etwa binäre Grafikkartentreiber, nutzen möchten, haben hauptsächlich zwei Optionen: Zum einen könnten sie gänzlich auf Secure-Boot verzichten, indem die Funktion in der Firmware abgeschaltet wird.

Die zweite Möglichkeit ist, einen eigenen Schlüssel zu erzeugen. Garrett schreibt, das Fedora-Team wird "sämtliche Werkzeuge zum Signieren von Binärdateien" zur Verfügung stellen. Die Schlüssel können in der Firmware hinterlegt werden, und Fedora wird diese akzeptieren.

Die nun von Garrett vorgestellte Strategie ist allerdings noch nicht endgültig. Garrett schreibt, "es gibt immer die Möglichkeit, dass wir etwas übersehen haben oder eine neue Idee aufkommt". Die angestrebte Lösung scheint jedoch die einfachste für alle Beteiligten und Nutzer zu sein.

Eine erste Version des zwischengelagerten Bootloaders ist bereits bei Github im Quellcode verfügbar.


robinx999 02. Jun 2012

Aber Firmware klingt nach dem Bios Nachfolger UEFI, oder verstehe ich das Falsch? Und ist...

Ampel 01. Jun 2012

Secure Boot ist nicht wichtig und kein wesendlicher Bestandteil zur funktionalität eines...

bstea 31. Mai 2012

Dann signierst du selbst. Entscheidend ist, dass Board muss dich kennen.

robinx999 31. Mai 2012

Im Artikel steht ja "[..]Garrett schreibt, das Fedora-Team wird "sämtliche Werkzeuge zum...

malachi54 31. Mai 2012

ich glaube nicht, dass redhat dafür etwas zahlt. die entfernen doch nicht aus jux und...

Kommentieren



Anzeige

  1. Mitarbeiter/-in IT-Support
    Lechler GmbH, Metzingen
  2. Anwendungsbetreuer (m/w) Softwarebetreuung und Softwareverteilung
    Obermeyer Planen + Beraten GmbH, München
  3. Mitarbeiter Business Intelligence (m/w)
    Parfümerie Douglas GmbH, Hagen
  4. Spezialist (m/w) Datenbanken
    NÜRNBERGER Allgemeine Versicherungs-AG, Nürnberg

Detailsuche


Hardware-Angebote
  1. TIPP: Logitech G710+ Mechanical Gaming Keyboard
    mit Gutschein GC15G710 nur 77€ statt 99€ (Preisvergleich ab 104,95€)
  2. NEU: Sandisk 16-GB-USB-3.0-Stick
    9,19€
  3. Metal Gear Solid V: The Phantom Pain gratis bei PCGH-PCs mit GTX 970/980 (Ti)

Weitere Angebote


Folgen Sie uns
       


  1. Microsoft

    Neuer Insider-Build von Windows 10

  2. Illegaler Onlinemarktplatz

    Agora setzt wegen Sicherheitsbedenken aus

  3. Rassismus

    Facebook sucht nicht nach Hetze gegen Flüchtlinge

  4. Project Rigel

    Neuer Photoshop für Smartphones und Tablets angekündigt

  5. IDC

    Apple soll 3,6 Millionen Apple Watches im Quartal verkauft haben

  6. Präsentation

    Apples iPhone-Event findet am 9. September 2015 statt

  7. Vectoring

    Landkreise wollen Glasfaser statt Dobrindts Breitband

  8. Swisscom

    Mobilfunkbetreiber startet Wifi-Calling in Gebäuden

  9. Honor 7 im Hands on

    Neues Honor-Smartphone kommt für 350 Euro nach Deutschland

  10. Radeon R9 Nano

    AMDs winzige Grafikkarte läuft theoretisch mit 1 GHz



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 10 im Upgrade-Test: Der Umstieg von Windows 7 auf 10 lohnt sich!
Windows 10 im Upgrade-Test
Der Umstieg von Windows 7 auf 10 lohnt sich!
  1. Windows 10 Updates lassen sich unter Umständen 12 Monate aufschieben
  2. Windows-10-Updates Microsoft intensiviert die Geheimniskrämerei
  3. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10

Until Dawn im Test: Ich weiß, was du diesen Sommer spielen solltest
Until Dawn im Test
Ich weiß, was du diesen Sommer spielen solltest
  1. Everybody's Gone to the Rapture im Test Spaziergang am Rande der Apokalypse
  2. Submerged im Test Einschläferndes Abenteuer
  3. Tembo the Badass Elephant im Test Elefant im Elite-Einsatz

Helium-3: Kommt der Energieträger der Zukunft vom Mond?
Helium-3
Kommt der Energieträger der Zukunft vom Mond?
  1. Stratolaunch Carrier Größtes Flugzeug der Welt soll 2016 erstmals starten
  2. Escape Dynamics Mikrowellen sollen Raumgleiter von der Erde aus antreiben
  3. Raumfahrt Transformer sollen den Mond beleuchten

  1. Re: Wie auch?

    Himmerlarschund... | 09:20

  2. Re: Die ganze Aktion ergibt Sinn...

    gaym0r | 09:20

  3. Re: Und dann gefühlt nur 5 unterschiedlichen...

    Esquilax | 09:20

  4. Re: Kein Cyanogenmod, kein Kauf

    TrudleR | 09:20

  5. Re: 10mb/s für einen Familienhaushalt nicht zumutbar

    zipper5004 | 09:20


  1. 09:26

  2. 09:17

  3. 09:03

  4. 07:42

  5. 07:32

  6. 21:06

  7. 20:53

  8. 20:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel