• IT-Karriere:
  • Services:

Windows 8

Bootloader per Zertifikat gesperrt

Microsoft nutzt ab Windows 8 standardmäßig UEFI und installiert dort seinen Bootloader. Dieser soll signiert werden. Damit wird eine Dualboot-Installation mit Linux äußerst schwierig.

Artikel veröffentlicht am ,
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden.
Ab Windows 8 soll der UEFI-Bootloader mit Zertifikaten abgesichert werden. (Bild: Microsoft)

Rechner, die für Windows 8 zertifiziert werden, müssen statt mit einem herkömmlichen Bios mit UEFI-Firmware ausgestattet sein. Der dort abgelegte Bootloader für Windows soll signiert werden. Bei der Installation weiterer Betriebssysteme - etwa Linux - könnte Windows seinen Bootloader als kompromittiert erachten und den Windows-Start verweigern.

Stellenmarkt
  1. über duerenhoff GmbH, Raum München
  2. dSPACE GmbH, Paderborn

Laut Microsoft sollen ab Windows 8 sämtliche Firmware und Software, die für den Boot-Prozess verantwortlich sind, mitsigniert werden. Hardwareunterstützung etwa durch das Trusted Platform Modul (TPM) ist nicht grundsätzlich nötig. Gültige Signaturen hingegen sind für den Start von Windows-8-Clients zwingend. Selbst die UEFI-Firmware muss mit einer Signatur versehen werden, etwa um bei Updates den Bios-Nachfolger abzusichern.

Bitlocker beim Booten entschlüsseln

Mit der neuen Sicherheitsinfrastruktur soll es auch künftig möglich sein, per Bitlocker verschlüsselte Festplatten beim Systemstart einzubinden. Hier ist allerdings TPM notwendig. Zusätzlich sollen Rechner mit Bitlocker-Verschlüsselung von Administratoren ohne Eingriff des Benutzers über das Netzwerk gestartet werden können. Die Freigabe erfolgt über entsprechende Schlüssel.

Die neue Sicherheitsinfrastruktur erschwert aber die Parallelinstallation von Linux auf Windows-8-Rechnern. Laut Red-Hat-Entwickler Matthew Garrett kommt dabei nur ein von Microsoft mitgelieferter Schlüssel infrage, denn jedem Hardwarehersteller die Auslieferung eines individuellen Schlüssels zu überlassen, dürfte nicht umzusetzen sein. Außerdem wäre es nahezu unmöglich, Boxed-Versionen von Windows 8 zu installieren, denn diese müssten jeweils von OEMs signiert werden.

GPL und öffentliche Schlüssel

Golem Akademie
  1. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Nach Ansicht von Garrett wären Linux-Distributoren also darauf angewiesen, dass entsprechende Bootloader wie Grub ebenfalls mit entsprechenden Schlüsseln ausgestattet werden. Grub2 steht aber unter der GPLv3 und diese verlangt auch die Offenlegung von Schlüsseln. Die erste Grub-Version steht unter der GPLv2, die zwar die Veröffentlichung von Schlüsseln nicht verlangt, aber so ausgelegt werden kann, dass sie freigegeben werden müssen.

Sollte sich das Problem mit den öffentlichen Schlüsseln lösen lassen, etwa durch einen Bootloader, der nicht unter der GPL steht, dann müsste der entsprechende Schlüssel von sämtlichen Herstellern mitgeliefert werden. Außerdem sollen künftige Kernel-Versionen ohne Bootloader auskommen. Dann müsste der Kernel selbst mit einem Schlüssel signiert werden - und dieser steht unter der GPLv2.

Garrett hofft, dass Hersteller im UEFI eine entsprechende Option implementieren, mit der Secure Boot ausgeschaltet werden kann. Allerdings befürchtet er, dass Windows 8 nur dann gestartet werden kann, wenn die Option eingeschaltet ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 3.999€ (statt 4.699€)
  2. 74,99€ (Bestpreis)
  3. 249€ (Bestpreis)
  4. (u. a. HyperX Fury Black RGB DIMM 16GB DDR4-3200 Kit für 91,90€, Razer Naga Trinity Gaming-Maus...

yelda 30. Sep 2011

Langsam habe ich das Gefühl, das man von überall her mehr und mehr bevormundet wird...

Anonymer Nutzer 24. Sep 2011

Erkläre bitte hier und jetzt was Kinderpornographie und illegale Downloads mit der...

spanther 24. Sep 2011

Da fragt man sich echt, was bitte hat ein "Netzwerkstack" im EFI Bios zu suchen? Zugriff...

spanther 24. Sep 2011

Du wunderst dich dass dein Akku nach 2,5 Jahren Benutzung nur noch 65% der Kapazität...

spanther 24. Sep 2011

Für ein Serversystem löblich :) Ressourcen sollten nie in GUI verblasen werden! ^^ Aber...


Folgen Sie uns
       


Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte)

Intel leistete in den 70ern Pionierarbeit und wäre dennoch fast gescheitert. Denn ihren bahnbrechenden 4-Bit-Mikroprozessor wurden sie erst gar nicht los.

Warum Intels erste CPU nicht Intel gehörte - (Golem Geschichte) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /