Canonical: Ubuntu mit eigener UEFI-Strategie

Statt wie Fedora auf eine Microsoft-Signatur für Secure-Boot zu setzen, definiert Canonical eigene Zertifizierungsrichtlinien. Das ähnelt dem Vorgehen von Microsoft, bis auf eine entscheidende Ausnahme.

Artikel veröffentlicht am ,
Canonical macht eigene Vorgaben zur Verwendung von Secure-Boot in Ubuntu.
Canonical macht eigene Vorgaben zur Verwendung von Secure-Boot in Ubuntu. (Bild: Canonical)

In einem Dokument (PDF) fordert Canonical von Hardwareherstellern, Ubuntus Secure-Boot-Schlüssel in der UEFI-Firmware mitzuliefern. Zudem müssten Nutzer mit physischem Zugang eigene Schlüssel hinzufügen und letztlich auch Secure-Boot abschalten können.

Stellenmarkt
  1. Softwareentwickler (m/w/d) PHP / Java im Bereich eCommerce
    SECOMP GmbH, Ettlingen
  2. Softwareentwickler (m/w/d) Automatisierungstechnik
    Dürr Systems AG, Goldkronach
Detailsuche

Diese Richtlinien für Ubuntu entsprechen ungefähr den von Microsoft gemachten Vorgaben zur Zertifizierung von Windows 8. Nutzer sollten also problemlos Ubuntu auch mit Secure-Boot nutzen können, vorausgesetzt, sie verwenden ein Gerät mit vorinstalliertem Ubuntu.

Kein Signierdienst von Canonical

Der Entwickler Matthew Garrett stellt in seinem Blog aber einen entscheidenden Unterschied zwischen dem Vorgehen Microsofts und Canonicals fest: Der Linux-Distributor biete anders als Microsoft keinen Signierdienst an. Dies könnte dazu führen, dass die Installation einer Linux-Distribution und die Nutzung von Secure-Boot auf einem Gerät mit Windows einfacher hinzubekommen sei als mit Ubuntu-Hardware, befürchtet Garrett.

Linux-Distributoren wie Fedora könnten ihr System oder Teile davon von Microsoft signieren lassen. Der Start und die Installation liefen dann, ohne die Secure-Boot-Option in der Firmware abschalten zu müssen, falls auf dem Gerät der Microsoft-Schlüssel vorhanden ist. Dies dürfte bei fast allen Geräten der Fall sein, die nach der Veröffentlichung von Windows 8 verkauft werden.

Nur eine Signatur erlaubt

Golem Akademie
  1. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Doch selbst wenn Canonical diesem Beispiel folge und einen eigenen Signierdienst anbiete, schreibt Garrett, müssten Distributoren wie Fedora zwei Installationsmedien bereitstellen. Je eines mit Windows- und eines mit Ubuntu-Signatur, da laut UEFI-Spezifikation nur Medien mit einem Schlüssel überprüft werden.

Die einfachste Lösung wäre Garrett zufolge, dass Canonical auch die Präsenz des Windows-Schlüssels auf der Hardware fordert. Das ist jedoch sehr unwahrscheinlich.

Der Red-Hat-Angestellte Matthew Garrett ist seit einiger Zeit mit Secure-Boot befasst und stellte zuletzt die Strategie des Fedora-Projekts zum Umgang mit der Secure-Boot-Funktion vor. Fedora wird künftig einen minimalen Bootloader von Microsoft signieren lassen, damit Fedora auf jeder Hardware gestartet werden kann, die für Windows 8 zertifiziert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Linux: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Secure Boot
Linus Torvalds sieht keine Probleme mit UEFI
artikel-bild
Linuxboot
Google und Facebook ersetzen Server-UEFI mit Linux
artikel-bild
UEFI
Zweifel an Secure-Boot-Lösung von Red Hat wachsen
artikel-bild
UEFI Secure Boot
Fedora 18 mit Microsoft-Signatur
artikel-bild
Raven Ridge
AMD verschickt CPUs für UEFI-Update
Meistgelesen
artikel-bild
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig
artikel-bild
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?
artikel-bild
Elektroauto
VW e-Up ab Mitte Februar wieder bestellbar
artikel-bild
Bitcoin, Ethereum
Was steuerlich bei Kryptowährungen gilt
artikel-bild
Medion Engineer P20
Aldi-PC mit 12600K und RTX 3060 Ti für 1.600 Euro
Kommentarübersicht
Re: Hauptsache es scheitert
joseejd 24. Jun 2012

Da stimme ich zu, dieser Secure scheiß muss weg. Mich wundert das Microsoft da soviel...

Re: Eigentlich sollte man
SSD 21. Jun 2012

Dass kein UEFI-Key vorinstalliert sein soll, ist schon mal eine gute Idee. Aber es...

Re: WTF
tangonuevo 21. Jun 2012

Ich sehe das so: Garrett fürchtet, daß es PCs geben könnte, die entweder nur den MS-key...

Re: Wäre es besser, Schlüssel-Prüfsummen über's...
Moe479 21. Jun 2012

tja ... das ginge dann doch ohne dritte ... währe doch kein geschäft ... damit zwar...

Re: Wie weit reicht das Verständnis?
mnementh 20. Jun 2012

Ich sehe auch ein riesiges Problem darin. Daher bin ich umso mehr überrascht, wie sehr...

Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  2. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  3. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB bei Mindfactory • MindStar (u.a. GTX 1660 6GB 499€) • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Gaming-Notebook 17“ R9 RTX3060 • 1.599€ Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.499€ • Samsung QLED-TVs günstiger [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /