Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen.
Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen. (Bild: Josh Landis/National Science Foundation, Public Domain)

UEFI Secure Boot in Linux ohne Hibernation

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Anzeige

Der Hibernation-Ruhezustand und das Kexec-Kommando zum Starten eines Kernels könnten genutzt werden, um Secure-Boot unter Linux zu umgehen, etwa mit dem Ziel, Schadcode in einen Rechner einzuschleusen. Deshalb stellt der Entwickler Matthew Garrett nun zwei Patches bereit, welche die genannten Funktionen bei aktiviertem Secure-Boot verhindern.

Garrett weiß, dass viele Linux-Nutzer auf diese Funktionen angewiesen sind, weshalb die Patches auch nicht direkt in den Hauptzweig eingepflegt werden sollen. Vielmehr sollen zunächst Alternativen entwickelt werden, die es ermöglichen, auch unter Secure-Boot Hibernation und Kexec zu verwenden.

So muss der Kernel künftig in der Lage dazu sein, das im Swap gelagerte Hibernation-Abbild vor dem Starten zu verifizieren. Gleiches gilt für einen per Kexec gestarteten Kernel. Wann diese Funktionen bereitstehen werden, ist jedoch noch ungewiss. Verschiedene Ideen dazu werden aber bereits diskutiert.

In der Spezifikation des Bios-Nachfolgers UEFI ist das sogenannte Secure-Boot vorgesehen. Dies sieht einen durch Schlüssel verifizierten und abgesicherten Boot-Vorgang eines Betriebssystems vor. Neben Problemen der Implementierungen wie dem nun von Garrett geschilderten verursachte vor allem Microsoft Unruhe unter Linux-Nutzern. Denn für die Zertifizierung von Windows 8 müssen die Geräte der Hardwarehersteller zwingend Secure-Boot unterstützen.

Es wurde befürchtet, dass dadurch die Installation von Linux auf jenen Geräten effektiv verhindert werden könnte. Insbesondere durch die Arbeit von Matthew Garrett und einiger weiterer Kernel-Entwickler können Linux-Nutzer nun nicht nur Secure-Boot unter Linux einsetzen. Dank der von Microsoft signierten Bootloader lässt sich darüber hinaus auch die Installation einer Distribution vergleichsweise einfach bewältigen.


Crass Spektakel 08. Feb 2013

wenn ich einen Rechner aus der Ferne angreife hilft Secure Boot aber auch gerade garnichts.

Tuxianer 31. Jan 2013

Es ist immer dasselbe mit Leuten, die einen Mangel an inhaltlicher Kompetenz dadurch zu...

Thaodan 31. Jan 2013

Genauso was ähnliches dachte ich mir, also das nicht alle nötigen Treiber enthalten sind etc.

Zwangsangemeldet 30. Jan 2013

Genau das ist das Problem mit diesen relativ neuen Gerätekategorien (Smartphone/Tablet...

Kommentieren



Anzeige

  1. Sachbearbeiterin / Sachbearbeiter für die IT-technische Unterstützung der Haushaltsabteilung im Referat II A 7
    Bundesministerium der Finanzen, Berlin
  2. Scientific Employees (m/w) for the division Audio & Multimedia
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  3. IT-Spezialist (m/w)
    über Hanseatisches Personalkontor Bremen, Großraum Bremen
  4. (Junior) PHP- / Webentwickler (m/w)
    über ACADEMIC WORK, München

Detailsuche


Spiele-Angebote
  1. Life is Strange Complete Season (Episodes 1-5) [PC Code - Steam]
    19,99€
  2. VORBESTELLBAR: Uncharted: The Nathan Drake Collection - Special Edition [PlayStation 4]
    79,95€ (Vorbesteller-Preisgarantie)
  3. Xbox One Limited Edition Halo 5: Guardians Bundle
    499,00€

Weitere Angebote


Folgen Sie uns
       


  1. Set-Top-Box

    Neues Apple TV soll teurer werden, aber Sprachsuche bieten

  2. Kickstarter

    Kultkamera Holga soll digital werden

  3. Elektroauto

    Tesla Model X wird teuer

  4. Lenovo Yoga Tab 3 Pro

    10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor

  5. Smartwatches

    Motorola stellt neue Moto 360 und Moto 360 Sport vor

  6. Umfrage

    Jeder vierte Nutzer hat Probleme beim Streaming

  7. Asus GX700

    Übertakter-Notebook läuft mit WaKü und geheimer Nvidia-GPU

  8. Testlauf

    Techniker Krankenkasse zahlt Ärzten Online-Videosprechstunde

  9. Mate S im Hands On

    Huawei präsentiert Smartphone mit Force-Touch-Display

  10. Smartwatch

    Huawei Watch kostet so viel wie Apple Watch



Haben wir etwas übersehen?

E-Mail an news@golem.de



20 Jahre im Einsatz: Lebenserhaltende Maßnahmen bei Windows 95
20 Jahre im Einsatz
Lebenserhaltende Maßnahmen bei Windows 95
  1. Windows 10 Kommunikation mit Microsoft lässt sich nicht ganz abschalten
  2. Erste Probleme mit Zwangsupdates Windows-10-Patch bockt
  3. Toshiba Satellite Click Mini im Test Kein Convertible für jeden Tag

Windows 10 IoT ausprobiert: Finales Windows auf dem Raspberry Pi 2
Windows 10 IoT ausprobiert
Finales Windows auf dem Raspberry Pi 2
  1. Orange Pi PC Bastelrechner für 15 US-Dollar
  2. Odroid C1+ Ausnahmsweise teurer, dafür praktischer und mit mehr Sound
  3. PiUSV+ angetestet Überarbeitete USV für das Raspberry Pi

Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. AOMedia Webfirmen wollen einheitlichen und lizenzfreien Videocodec
  2. München CSU-Stadträte wettern über Limux
  3. Guadec15 "Beiträge zu freier Software sind zu schwer"

  1. Re: 15 minutes of fame...

    divStar | 08:46

  2. Re: Teurer, geringere Reichweite, geringere...

    psi_2k | 08:45

  3. Re: mit HTML5 hörten die Probleme auf

    bofhl | 08:45

  4. Noch mehr Hardware-Schrott

    LCO | 08:44

  5. Re: Erfahrung mit full hd auf 5 Zoll (nexus5)

    WolleVanillebär... | 08:44


  1. 08:38

  2. 08:24

  3. 08:18

  4. 22:20

  5. 21:45

  6. 21:17

  7. 18:20

  8. 17:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel