UEFI Secure Boot: Signiervorgang wird Linux-Entwicklern erschwert
Die Linux Foundation hat Probleme, ihren Bootloader signieren zu lassen. (Bild: Microsoft)

UEFI Secure Boot Signiervorgang wird Linux-Entwicklern erschwert

Microsoft verursacht bei Linux-Nutzern einige Probleme bei Erlangen einer Secure-Boot-Signatur. Ein Entwickler berichtet von Hürden und Workarounds im Fall der Linux Foundation.

Anzeige

Vor etwa einem Monat gab die Linux Foundation bekannt, einen eigenen UEFI-Bootloader mit Microsoft-Signatur anbieten zu wollen. Damit soll sich ein Linux-System auch auf für Windows 8 zertifizierten Geräten mit Secure Boot starten lassen. Nicht-Windows-Nutzer hat das Unternehmen dabei offenbar nicht vorgesehen, wie James Bottomley in seinem Blog berichtet.

Verifizierte Entwickler

Nach dem Zahlen der Gebühr von 99-US-Dollar an Verisign wird ein Sysdev-Account benötigt. Um diesen jedoch zu aktivieren, muss eine Binärdatei zur Verifikation signiert und hochgeladen werden. Laut Microsoft muss dafür eine spezifische Windows-Version genutzt werden. Das lässt sich aber über die von Kernel-Entwickler Jeremy Kerr entwickelten Secure-Boot-Signing-Tools umgehen, die über Git verfügbar sind.

Zudem müssen die Entwickler schriftlich zustimmen, bestimmte Lizenzen nicht für ihre Projekte zu benutzen, insbesondere die GPLv3. Allerdings scheint es so, schreibt Bottomley, dass dieser Vertrag weit über den eigentlichen Signiervorgang hinausgeht, was zu Problemen bei Distributionen führen könnte. Matthew Garrett zufolge sei Microsoft aber bereit, die konkreten Bedingungen einzeln zu verhandeln.

Nur mit freier Software nicht machbar

"Man lädt aber nicht einfach sein UEFI-Binary hoch und bekommt es signiert zurück", schreibt Bottomley. Es muss in eine Cab-Datei gepackt und zur Verifikation signiert werden. Dafür stehen freie Anwendungen bereit, für den Upload muss aber Silverlight verwendet werden, was nicht für Linux verfügbar ist.

Die freie alternative Moonlight versagt unter Linux schlicht den Dienst. So müssen die Entwickler zwangsläufig auf Windows zurückgreifen. Abschließend weist Microsoft nochmals darauf hin, dass keine Software, die unter der GPLv3 steht, signiert werden darf. Microsoft fürchtet wahrscheinlich, ihren Schlüssel offenlegen zu müssen, auch wenn die FSF diese Bedenken nicht teilt.

Bootloader noch nicht verfügbar

Im Fall der Linux-Foundation funktionierte der Upload jedoch zunächst nicht. Laut Bottomley fragte der Microsoft-Support dann, ob es sich um eine Win32-Anwendung handele. "Natürlich nicht, es ist ein gültiges 64-Bit-UEFI-Binary", schreibt Bottomley.

Nach einem erneuten Versuch bekam er schließlich auch noch eine Datei zurück, die mit dem falschen Schlüssel signiert gewesen sei. Letztendlich wartet die Linux Foundation immer noch auf ein korrekt signiertes Exemplar ihres Bootloaders. Sobald dies bereitsteht, soll es auch zum Download angeboten werden, versichert Bottomley.


Satan 11. Feb 2013

Andere Frage.. wer hat sich diese Lizenz zum Geld drucken eigentlich ausgedacht? Ich...

Thaodan 21. Nov 2012

Coreboot tut das was ein BIOS heute tun soll: Booten und mehr nicht, UEFI ist das...

Thaodan 21. Nov 2012

Wie gesagt ein aktuelles Linux und ein veraltetes Windows wie XP sind nicht zu vergleichen.

nille02 21. Nov 2012

Für den Windows 8 Sticker muss man auf x86 Hardware Secure Boot ausschalten können. Auf...

the_doctor 20. Nov 2012

Microsoft macht der Konkurrenz Probleme. Also nein, sowas aber auch ;-). Wer hätte das im...

Kommentieren




Anzeige

  1. IT-Projektexperte (m/w)
    HIM GmbH, Bad Homburg vor der Höhe
  2. Kundenberater / Projektmanager (m/w) Vertriebssteuerung
    Magmapool AG, Montabaur (Raum Koblenz)
  3. Informatikerin / Informatiker
    Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin
  4. Inhouse Consultant BI / SAP-BW (m/w)
    Metabowerke GmbH, Nürtingen

 

Detailsuche


Folgen Sie uns
       


  1. Apple

    Golden Master von OS X 10.10 Yosemite ist da

  2. Microsofts neues Betriebssystem

    Auf Windows 8 folgt Windows 10 mit Startmenü

  3. Akamai

    Deutschlands Datenrate liegt bei 8,9 MBit/s durchschnittlich

  4. Niedriger Schmelzpunkt

    3D-Drucken mit metallischer Tinte

  5. Tiger and Dragon II

    Netflix bietet ersten Kinofilm gleichzeitig zur Premiere

  6. Darkfield VR

    Kickstart für Dogfights mit Oculus Rift

  7. Neue Red-Tarife

    Vodafone bucht Datenvolumen automatisch nach

  8. Freies Betriebssystem

    FreeBSD-Kernel könnte in Debian Jessie entfallen

  9. Kontonummerncheck

    Netflix akzeptiert Kunden einiger Sparkassen nicht

  10. Mittelerde Mordors Schatten

    6 GByte VRAM für scharfe Ultra-Texturen notwendig



Haben wir etwas übersehen?

E-Mail an news@golem.de



Bash-Lücke: Die Hintergründe zu Shellshock
Bash-Lücke
Die Hintergründe zu Shellshock
  1. Shellshock Immer mehr Lücken in Bash
  2. Linux-Shell Bash-Sicherheitslücke ermöglicht Codeausführung auf Servern

Trainingscamp NSA: Ex-Spione gründen High-Tech-Startups
Trainingscamp NSA
Ex-Spione gründen High-Tech-Startups
  1. Vorratsdatenspeicherung NSA darf weiter Telefondaten von US-Bürgern sammeln
  2. Prism-Programm US-Regierung drohte Yahoo mit täglich 250.000 Dollar Strafe
  3. NSA-Ausschuss Grüne "frustriert und deprimiert" über Schwärzung von Akten

Filmkritik Who Am I: Ritalin statt Mate
Filmkritik Who Am I
Ritalin statt Mate
  1. NSA-Affäre Staatsanwaltschaft ermittelt nach Cyberangriff auf Stellar
  2. Treasure Map Wie die NSA das Netz kartographiert
  3. Geheimdienste Wie ein Riesenkrake ins Weltall kam

    •  / 
    Zum Artikel