Original-URL des Artikels: http://www.golem.de/news/uefi-secure-boot-in-linux-ohne-hibernation-1301-97237.html    Veröffentlicht: 29.01.2013 17:29

UEFI

Secure Boot in Linux ohne Hibernation

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Der Hibernation-Ruhezustand und das Kexec-Kommando zum Starten eines Kernels könnten genutzt werden, um Secure-Boot unter Linux zu umgehen, etwa mit dem Ziel, Schadcode in einen Rechner einzuschleusen. Deshalb stellt der Entwickler Matthew Garrett nun zwei Patches bereit, welche die genannten Funktionen bei aktiviertem Secure-Boot verhindern.

Garrett weiß, dass viele Linux-Nutzer auf diese Funktionen angewiesen sind, weshalb die Patches auch nicht direkt in den Hauptzweig eingepflegt werden sollen. Vielmehr sollen zunächst Alternativen entwickelt werden, die es ermöglichen, auch unter Secure-Boot Hibernation und Kexec zu verwenden.

So muss der Kernel künftig in der Lage dazu sein, das im Swap gelagerte Hibernation-Abbild vor dem Starten zu verifizieren. Gleiches gilt für einen per Kexec gestarteten Kernel. Wann diese Funktionen bereitstehen werden, ist jedoch noch ungewiss. Verschiedene Ideen dazu werden aber bereits diskutiert.

In der Spezifikation des Bios-Nachfolgers UEFI ist das sogenannte Secure-Boot vorgesehen. Dies sieht einen durch Schlüssel verifizierten und abgesicherten Boot-Vorgang eines Betriebssystems vor. Neben Problemen der Implementierungen wie dem nun von Garrett geschilderten verursachte vor allem Microsoft Unruhe unter Linux-Nutzern. Denn für die Zertifizierung von Windows 8 müssen die Geräte der Hardwarehersteller zwingend Secure-Boot unterstützen.

Es wurde befürchtet, dass dadurch die Installation von Linux auf jenen Geräten effektiv verhindert werden könnte. Insbesondere durch die Arbeit von Matthew Garrett und einiger weiterer Kernel-Entwickler können Linux-Nutzer nun nicht nur Secure-Boot unter Linux einsetzen. Dank der von Microsoft signierten Bootloader lässt sich darüber hinaus auch die Installation einer Distribution vergleichsweise einfach bewältigen.  (sg)


Verwandte Artikel:
Secure Boot: Signierte ELF-Dateien sollen Linux absichern   
(17.01.2013 09:57, http://www.golem.de/news/secure-boot-signierte-elf-dateien-sollen-linux-absichern-1301-96971.html)
Fedora 18 angesehen: Was lange währt, wird so lala   
(15.01.2013 17:40, http://www.golem.de/news/fedora-18-angesehen-was-lange-waehrt-wird-so-lala-1301-96927.html)
Betriebssysteme: Linux 3.7 erhält AArch64 und NAT für IPv6   
(11.12.2012 06:33, http://www.golem.de/news/betriebssysteme-linux-3-7-erhaelt-aarch64-und-nat-fuer-ipv6-1212-96239.html)
Linux: Kernel-Hacker Alan Cox nimmt eine Auszeit   
(25.01.2013 18:52, http://www.golem.de/news/linux-kernel-hacker-alan-cox-nimmt-eine-auszeit-1301-97166.html)
Linux: Open-Source-Treiber für Exfat erhältlich   
(22.01.2013 11:41, http://www.golem.de/news/linux-open-source-treiber-fuer-exfat-erhaeltlich-1301-97064.html)

© 2014 by Golem.de