Abo
  • Services:

Freiheit heißt, selbst zu entscheiden

In der Podiumsdiskussion bekräftigte Garrett, dass genau dieser Punkt ganz im Sinne der Nutzerfreiheit sei - ein ihm sehr wichtiges Ziel. Jeder könne mit Secure Boot selbst bestimmen, welcher Code auf dem eigenen Rechner ausgeführt wird und welcher nicht.

Stellenmarkt
  1. BEUMER Group, Beckum (Raum Münster, Dortmund, Bielefeld)
  2. Rundfunk Berlin-Brandenburg (rbb), Potsdam, Köln

Diese Art der Freiheit ist gleichzeitig ein Sicherheitsgewinn. Denn Malware wie Keylogger und Bootkits könnten sich nicht mehr ohne weiteres auf Computern einbringen lassen. Das schützt wiederum die Privatsphäre jedes Einzelnen vor Bespitzelungen.

Voraussetzung für diese Freiheit und Sicherheit ist jedoch, dass die Hardware-Hersteller Secure Boot und die UEFI-Firmware in einer Weise implementierten, die es ermöglicht, eigene Schlüssel zu hinterlegen und ein anderes Betriebssystem zu installieren. In der Zeit, in der sich Garrett mit der Thematik befasst hat, hat das nicht immer geklappt.

UEFI-Implementierungen mit Fehlern

Der Grund dafür sei aber nicht etwa die Böswilligkeit der Hardware-Hersteller gewesen, sondern schlicht Fehler in der UEFI-Implementierung, sagte er. Garret berichtete von Toshiba-Laptops, die keinen korrekten Signaturschlüssel enthielten und dadurch den Start einer Linux-Distribution verwehrten. Auch auf einigen Geräten von Lenovo sei eine Parallelinstallation von Windows und Linux nicht möglich.

Außerdem bauten die Hersteller selbst Fehler in UEFI ein, zum Beispiel Samsung in Laptops, die unter bestimmten Umständen nicht mehr benutzbar waren, da die Firmware nicht startete. Der Fehler fiel zunächst nur Linux-Nutzern auf. Garrett fand jedoch heraus, dass sich der Bug in Samsungs Firmware auch unter Windows 7 ohne Secure Boot auslösen ließ. Ähnliches entdeckte Garrett auch auf Hauptplatinen von Intel.

Secure-Boot-Probleme noch nicht völlig ausgeräumt

"Alle Fehler, die uns bekannt sind, haben wir bereits behoben", sagte Garrett, bezog sich damit aber leider nur auf die Kernel-Entwickler. Diese haben einige Workarounds in den Quellcode eingebaut, um die Fehler der Hardware-Hersteller auszubügeln. Teilweise müssen Funktionen im Kernel ausgeschaltet werden, damit sie die Fehler in UEFI nicht auslösen.

In einem Fall verhindere der bestehende Workaround für ein System sogar effektiv die Installation von Linux auf einem anderen System, sagte Garrett. "Man kann es zwar nicht beschädigen, aber auch kein Linux darauf installieren." Für Linux-Nutzer heißt das, beim Kauf aktueller Geräte darauf zu vertrauen, dass die Firmware einigermaßen fehlerfrei ist. Bei etwas älteren Modellen ist sehr oft ein Firmware-Update angebracht.

Secure Boot im Server

Für Unternehmen, die großen Wert auf die Sicherheit und Integrität ihrer Server legen, könnte Secure Boot ebenfalls von Nutzen sein, sagte Garrett Golem.de. Denn auch hier gelte, dass mit Secure Boot letztlich der Administrator entscheide, welche Software ausgeführt wird.

Doch neben der noch fehlenden Unterstützung von einigen Kernel-Funktionen wie Kexec sprach Garrett ein Detail an, das in der UEFI-Spezifikation nicht berücksichtigt wurde: Derzeit muss eine Person physisch am Rechner sitzen, die die Installation eines Schlüssels in die Firmware bestätigt. Diese Sicherheitsmaßnahme ist auf Desktop-Systemen durchaus sinnvoll. In einer Serverumgebung mit mehreren Rechnern müsste auf jedem Einzelnen eine Linux-Distribution installiert werden. Damit wäre eine automatisierte Installation über das Netzwerk nicht mehr möglich.

Viele Serverhersteller bieten bereits Hardware mit UEFI an. Ob künftig auch Secure Boot auf Server-Hardware Anwendung findet, regelt höchstwahrscheinlich die Nachfrage. Ein Kernel-Entwickler, der nicht genannt werden möchte, äußerte gegenüber Golem.de auf dem Linuxtag starke Zweifel, dass diese Nachfrage je bestehen wird. Garrett, der seit etwa einem halben Jahr für den Server- und Cloud-Hosting-Spezialisten Nebula arbeitet, ist davon nicht überzeugt. Immerhin ist die mit Secure Boot gewonnene Freiheit und Sicherheit ein starkes Argument.

 Matthew Garrett: "UEFI ist kein böser Plan von Microsoft"
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 79,99€ (erscheint am 10. April)
  2. (pay what you want ab 0,88€)
  3. 99,99€ (versandkostenfrei)
  4. (u. a. 32 GB 6,98€, 128 GB 23,58€)

Danse Macabre 02. Feb 2015

Linux sein Problem ... schon bei der Grammatik schüttelt es einen.

Ass Bestos 18. Jul 2013

was ist falsch an anarchos?

Anonymer Nutzer 13. Jun 2013

Dank inzwischen mehrerer signierten Bootloader sind auch LiveCDs bei aktiviertem...

Anonymer Nutzer 13. Jun 2013

Da die meisten Themen hier nur über UEFI bzw. Secrureboot meckern brech ich mal ne Lanze...

Baron Münchhausen. 31. Mai 2013

"Das Problem mit Zitaten im Internet ist, dass Sie behaupten, ich hätte etwas über eine...


Folgen Sie uns
       


Energizer Power Max P18K Pop - Hands on (MWC 2019)

Ein Smartphone wie ein Ziegelstein: das Energizer Power Max P18K Pop hat einen 18.000 mAh starken Akku.

Energizer Power Max P18K Pop - Hands on (MWC 2019) Video aufrufen
Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    •  /