Original-URL des Artikels: http://www.golem.de/news/uefi-secure-boot-eigene-schluessel-unter-linux-hinzufuegen-1210-94963.html    Veröffentlicht: 08.10.2012 17:21

UEFI Secure Boot

Eigene Schlüssel unter Linux hinzufügen

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.  (sg)


Verwandte Artikel:
Canonical: Ubuntu wechselt zurück zu Grub 2   
(21.09.2012 16:12, http://www.golem.de/news/canonical-ubuntu-wechselt-zurueck-zu-grub-2-1209-94713.html)
Linux-Distributionen: Alpha von Fedora 18 veröffentlicht   
(19.09.2012 12:02, http://www.golem.de/news/linux-distributionen-alpha-von-fedora-18-veroeffentlicht-1209-94657.html)
Spielebranche: Unity eröffnet Niederlassung in Berlin   
(26.09.2012 12:24, http://www.golem.de/news/spielebranche-unity-eroeffnet-niederlassung-in-berlin-1209-94773.html)
Canonical: Ubuntu mit eigener UEFI-Strategie   
(20.06.2012 12:07, http://www.golem.de/news/canonical-ubuntu-mit-eigener-uefi-strategie-1206-92647.html)
Linux-Distributionen: Fedora 18 verspätet sich   
(23.08.2012 15:06, http://www.golem.de/news/linux-distributionen-fedora-18-verspaetet-sich-1208-94048.html)

© 2014 by Golem.de