Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen.
Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen. (Bild: Josh Landis/National Science Foundation, Public Domain)

UEFI Secure Boot in Linux ohne Hibernation

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Anzeige

Der Hibernation-Ruhezustand und das Kexec-Kommando zum Starten eines Kernels könnten genutzt werden, um Secure-Boot unter Linux zu umgehen, etwa mit dem Ziel, Schadcode in einen Rechner einzuschleusen. Deshalb stellt der Entwickler Matthew Garrett nun zwei Patches bereit, welche die genannten Funktionen bei aktiviertem Secure-Boot verhindern.

Garrett weiß, dass viele Linux-Nutzer auf diese Funktionen angewiesen sind, weshalb die Patches auch nicht direkt in den Hauptzweig eingepflegt werden sollen. Vielmehr sollen zunächst Alternativen entwickelt werden, die es ermöglichen, auch unter Secure-Boot Hibernation und Kexec zu verwenden.

So muss der Kernel künftig in der Lage dazu sein, das im Swap gelagerte Hibernation-Abbild vor dem Starten zu verifizieren. Gleiches gilt für einen per Kexec gestarteten Kernel. Wann diese Funktionen bereitstehen werden, ist jedoch noch ungewiss. Verschiedene Ideen dazu werden aber bereits diskutiert.

In der Spezifikation des Bios-Nachfolgers UEFI ist das sogenannte Secure-Boot vorgesehen. Dies sieht einen durch Schlüssel verifizierten und abgesicherten Boot-Vorgang eines Betriebssystems vor. Neben Problemen der Implementierungen wie dem nun von Garrett geschilderten verursachte vor allem Microsoft Unruhe unter Linux-Nutzern. Denn für die Zertifizierung von Windows 8 müssen die Geräte der Hardwarehersteller zwingend Secure-Boot unterstützen.

Es wurde befürchtet, dass dadurch die Installation von Linux auf jenen Geräten effektiv verhindert werden könnte. Insbesondere durch die Arbeit von Matthew Garrett und einiger weiterer Kernel-Entwickler können Linux-Nutzer nun nicht nur Secure-Boot unter Linux einsetzen. Dank der von Microsoft signierten Bootloader lässt sich darüber hinaus auch die Installation einer Distribution vergleichsweise einfach bewältigen.


Crass Spektakel 08. Feb 2013

wenn ich einen Rechner aus der Ferne angreife hilft Secure Boot aber auch gerade garnichts.

Tuxianer 31. Jan 2013

Es ist immer dasselbe mit Leuten, die einen Mangel an inhaltlicher Kompetenz dadurch zu...

Thaodan 31. Jan 2013

Genauso was ähnliches dachte ich mir, also das nicht alle nötigen Treiber enthalten sind etc.

Zwangsangemeldet 30. Jan 2013

Genau das ist das Problem mit diesen relativ neuen Gerätekategorien (Smartphone/Tablet...

Kommentieren



Anzeige

  1. Mitarbeiter E-Business Systeme / SAP-Basis (m/w)
    Uvex Winter Holding GmbH & Co. KG, Fürth
  2. SAP-FI/CO-Inhouse-Berater (m/w)
    Zott SE & Co. KG, Mertingen Raum Augsburg
  3. IT System- und Anwendungsbetreuer (m/w)
    PETER HAHN GmbH, Winterbach bei Stuttgart
  4. Softwareentwickler (m/w) Basisentwicklung / Kompetenz-Center
    WITRON Gruppe, Parkstein Raum Weiden / Oberpfalz

 

Detailsuche


Hardware-Angebote
  1. PREISSTURZ: Gainward GeForce GTX Titan X
    999,00€
  2. Patuoxun Dragons Wireless Gaming Maus 4000 DPI [800/1600/2400/4000] mit 500 Hz Return-Rate
    29,99€
  3. PCGH-PCs mit GTX 970/980 inkl. Batman Arkham Knight + The Witcher 3

 

Weitere Angebote


Folgen Sie uns
       


  1. Tropico 5

    Espionage mit El Presidente

  2. Tessel

    Offenes Entwicklerboard soll wie Io.js verwaltet werden

  3. Hack auf Datingplattform

    Sexuelle Vorlieben von Millionen Menschen veröffentlicht

  4. Angriff auf kritische Infrastrukturen

    Bundestag, bitte melden!

  5. Mark Shuttleworth

    Canonical erwägt offenbar Börsengang

  6. Amazon

    Fire TV Stick für 29 Euro

  7. Umfrage

    US-Bürger misstrauen Regierung beim Umgang mit Daten

  8. Mozilla

    Firefox personalisiert Werbung mit Browserverlauf

  9. Tracking auf Unternehmensseiten

    Verbraucherschützern gefällt der Gefällt-mir-Knopf nicht

  10. Kursk

    U-Boot-Drama als Computerspiel



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

BND-Selektorenaffäre: Die stille Löschaktion des W. O.
BND-Selektorenaffäre
Die stille Löschaktion des W. O.
  1. BND-Chef Schindler "Wir sind abhängig von der NSA"
  2. BND-Metadatensuche "Die Nadel im Heuhaufen ist zerbrochen"
  3. NSA Streit um Selektoren-Liste zwischen Gabriel und Steinmeier

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

  1. Re: Politische Inhalte von Star Trek

    SchreibenderLeser | 18:00

  2. Re: Funktioniert eh nicht.

    spantherix | 17:56

  3. Re: Wen interessierts?

    Axido | 17:55

  4. Eiskalt! xD

    spantherix | 17:55

  5. Re: "Analyse" des britischen Senders?

    spantherix | 17:51


  1. 15:32

  2. 15:26

  3. 15:09

  4. 14:21

  5. 14:08

  6. 13:54

  7. 13:44

  8. 12:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel