Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen.
Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen. (Bild: Josh Landis/National Science Foundation, Public Domain)

UEFI Secure Boot in Linux ohne Hibernation

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Anzeige

Der Hibernation-Ruhezustand und das Kexec-Kommando zum Starten eines Kernels könnten genutzt werden, um Secure-Boot unter Linux zu umgehen, etwa mit dem Ziel, Schadcode in einen Rechner einzuschleusen. Deshalb stellt der Entwickler Matthew Garrett nun zwei Patches bereit, welche die genannten Funktionen bei aktiviertem Secure-Boot verhindern.

Garrett weiß, dass viele Linux-Nutzer auf diese Funktionen angewiesen sind, weshalb die Patches auch nicht direkt in den Hauptzweig eingepflegt werden sollen. Vielmehr sollen zunächst Alternativen entwickelt werden, die es ermöglichen, auch unter Secure-Boot Hibernation und Kexec zu verwenden.

So muss der Kernel künftig in der Lage dazu sein, das im Swap gelagerte Hibernation-Abbild vor dem Starten zu verifizieren. Gleiches gilt für einen per Kexec gestarteten Kernel. Wann diese Funktionen bereitstehen werden, ist jedoch noch ungewiss. Verschiedene Ideen dazu werden aber bereits diskutiert.

In der Spezifikation des Bios-Nachfolgers UEFI ist das sogenannte Secure-Boot vorgesehen. Dies sieht einen durch Schlüssel verifizierten und abgesicherten Boot-Vorgang eines Betriebssystems vor. Neben Problemen der Implementierungen wie dem nun von Garrett geschilderten verursachte vor allem Microsoft Unruhe unter Linux-Nutzern. Denn für die Zertifizierung von Windows 8 müssen die Geräte der Hardwarehersteller zwingend Secure-Boot unterstützen.

Es wurde befürchtet, dass dadurch die Installation von Linux auf jenen Geräten effektiv verhindert werden könnte. Insbesondere durch die Arbeit von Matthew Garrett und einiger weiterer Kernel-Entwickler können Linux-Nutzer nun nicht nur Secure-Boot unter Linux einsetzen. Dank der von Microsoft signierten Bootloader lässt sich darüber hinaus auch die Installation einer Distribution vergleichsweise einfach bewältigen.


Crass Spektakel 08. Feb 2013

wenn ich einen Rechner aus der Ferne angreife hilft Secure Boot aber auch gerade garnichts.

Tuxianer 31. Jan 2013

Es ist immer dasselbe mit Leuten, die einen Mangel an inhaltlicher Kompetenz dadurch zu...

Thaodan 31. Jan 2013

Genauso was ähnliches dachte ich mir, also das nicht alle nötigen Treiber enthalten sind etc.

Zwangsangemeldet 30. Jan 2013

Genau das ist das Problem mit diesen relativ neuen Gerätekategorien (Smartphone/Tablet...

Kommentieren



Anzeige

  1. Ingenieur (m/w) Funktionsabsicherung für Airbagelektronik
    Automotive Safety Technologies GmbH, Ingolstadt, Gaimersheim
  2. Software-Entwickler/-in für Bildverarbeitung und sensorbasierte Sortieranlagen
    TOMRA Sorting Solutions über GiPsy® Beratungsgesellschaft für Personal und Organisation mbH, Mülheim-Kärlich
  3. Multi-Cloud Senior Consultant / Architect (m/w)
    T-Systems on site services GmbH, Leinfelden-Echterdingen, Hamburg
  4. Senior Consultant SAP BI (m/w)
    INTENSE AG, Würzburg und Köln

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: The Expendables Trilogy - Steelbook/Uncut [Blu-ray] [Limited Edition] FSK 18
    37,47€ (Vorbesteller-Preisgarantie)
  2. TIPP: 10 Blu-rays für 50 EUR (nur 5€ pro Film!)
    (u. a. Watchmen, Hulk, Ohne Limit, Iron Man 3, RED 2, Mission Impossible Phantom Protokoll, Hänsel...
  3. VORBESTELLBAR: Uncharted: The Nathan Drake Collection - Special Edition [PlayStation 4]
    79,95€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Millionen Tonnen

    Große Mengen Elektronikschrott verschwinden aus Europa

  2. Autosteuerung

    Uber heuert die Jeep-Hacker an

  3. Contributor Conference

    Owncloud führt Programm für Bug-Bounties ein

  4. Flexible Electronics

    Pentagon forscht mit Apple und Boeing an Wearables

  5. Private Cloud

    Proxy für Owncloud soll Heimnutzung erleichtern

  6. Geheimdienste

    NSA kann weiter US-Telefondaten sammeln

  7. Die Woche im Video

    Diskettenhaufen und heiße Teilchen

  8. Frankfurt

    Betreiber modernisieren Mobilfunknetz der U-Bahn

  9. 3D-Varius

    Pauline, die Geige aus dem 3D-Drucker

  10. Vectoring

    Telekom zählt eigenes 50 MBit/s nicht als 50 MBit/s



Haben wir etwas übersehen?

E-Mail an news@golem.de



Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. München CSU-Stadträte wettern über Limux
  2. Guadec15 "Beiträge zu freier Software sind zu schwer"
  3. Guadec15 "Open-Source-Software braucht Markenrechte"

Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. Swapster Deutsche Börse plant Handelsplattform für Spieler
  2. Ninja Theory Hellblade und eine Heldin mit Trauma
  3. Unterwasser Aquanox sucht Community

Uberchord ausprobiert: Besser spielen statt Highscore jagen
Uberchord ausprobiert
Besser spielen statt Highscore jagen
  1. Play Music Googles Musikdienst bekommt kuratierte Playlisten
  2. GTA 5 Rockstar-Editor bald für PS4 und Xbox One
  3. DAB+ WDR schaltet seine Mittelwellensender ab

  1. Re: Wette abschließen: In wieviel Jahren ist FB weg?

    decembersoul | 09:29

  2. Re: Zählt da auch Whatsapp rein? Kann mir sonst...

    decembersoul | 09:28

  3. Re: Arroganz deutscher Autobauer

    HansHorstensen | 09:21

  4. Also sowas wie Synology anbietet

    Unwichtig | 08:57

  5. Re: Denkfehler: eSport ist nicht Sport, sondern...

    Itchy | 08:49


  1. 09:35

  2. 12:46

  3. 11:30

  4. 11:21

  5. 11:00

  6. 10:21

  7. 09:02

  8. 19:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel