Abo
  • Services:
Anzeige
Matthew Garrett spricht über UEFI, Secure Boot.
Matthew Garrett spricht über UEFI, Secure Boot. (Bild: Daniel Pook/Golem.de)

Freiheit heißt, selbst zu entscheiden

In der Podiumsdiskussion bekräftigte Garrett, dass genau dieser Punkt ganz im Sinne der Nutzerfreiheit sei - ein ihm sehr wichtiges Ziel. Jeder könne mit Secure Boot selbst bestimmen, welcher Code auf dem eigenen Rechner ausgeführt wird und welcher nicht.

Diese Art der Freiheit ist gleichzeitig ein Sicherheitsgewinn. Denn Malware wie Keylogger und Bootkits könnten sich nicht mehr ohne weiteres auf Computern einbringen lassen. Das schützt wiederum die Privatsphäre jedes Einzelnen vor Bespitzelungen.

Anzeige

Voraussetzung für diese Freiheit und Sicherheit ist jedoch, dass die Hardware-Hersteller Secure Boot und die UEFI-Firmware in einer Weise implementierten, die es ermöglicht, eigene Schlüssel zu hinterlegen und ein anderes Betriebssystem zu installieren. In der Zeit, in der sich Garrett mit der Thematik befasst hat, hat das nicht immer geklappt.

UEFI-Implementierungen mit Fehlern

Der Grund dafür sei aber nicht etwa die Böswilligkeit der Hardware-Hersteller gewesen, sondern schlicht Fehler in der UEFI-Implementierung, sagte er. Garret berichtete von Toshiba-Laptops, die keinen korrekten Signaturschlüssel enthielten und dadurch den Start einer Linux-Distribution verwehrten. Auch auf einigen Geräten von Lenovo sei eine Parallelinstallation von Windows und Linux nicht möglich.

Außerdem bauten die Hersteller selbst Fehler in UEFI ein, zum Beispiel Samsung in Laptops, die unter bestimmten Umständen nicht mehr benutzbar waren, da die Firmware nicht startete. Der Fehler fiel zunächst nur Linux-Nutzern auf. Garrett fand jedoch heraus, dass sich der Bug in Samsungs Firmware auch unter Windows 7 ohne Secure Boot auslösen ließ. Ähnliches entdeckte Garrett auch auf Hauptplatinen von Intel.

Secure-Boot-Probleme noch nicht völlig ausgeräumt

"Alle Fehler, die uns bekannt sind, haben wir bereits behoben", sagte Garrett, bezog sich damit aber leider nur auf die Kernel-Entwickler. Diese haben einige Workarounds in den Quellcode eingebaut, um die Fehler der Hardware-Hersteller auszubügeln. Teilweise müssen Funktionen im Kernel ausgeschaltet werden, damit sie die Fehler in UEFI nicht auslösen.

In einem Fall verhindere der bestehende Workaround für ein System sogar effektiv die Installation von Linux auf einem anderen System, sagte Garrett. "Man kann es zwar nicht beschädigen, aber auch kein Linux darauf installieren." Für Linux-Nutzer heißt das, beim Kauf aktueller Geräte darauf zu vertrauen, dass die Firmware einigermaßen fehlerfrei ist. Bei etwas älteren Modellen ist sehr oft ein Firmware-Update angebracht.

Secure Boot im Server

Für Unternehmen, die großen Wert auf die Sicherheit und Integrität ihrer Server legen, könnte Secure Boot ebenfalls von Nutzen sein, sagte Garrett Golem.de. Denn auch hier gelte, dass mit Secure Boot letztlich der Administrator entscheide, welche Software ausgeführt wird.

Doch neben der noch fehlenden Unterstützung von einigen Kernel-Funktionen wie Kexec sprach Garrett ein Detail an, das in der UEFI-Spezifikation nicht berücksichtigt wurde: Derzeit muss eine Person physisch am Rechner sitzen, die die Installation eines Schlüssels in die Firmware bestätigt. Diese Sicherheitsmaßnahme ist auf Desktop-Systemen durchaus sinnvoll. In einer Serverumgebung mit mehreren Rechnern müsste auf jedem Einzelnen eine Linux-Distribution installiert werden. Damit wäre eine automatisierte Installation über das Netzwerk nicht mehr möglich.

Viele Serverhersteller bieten bereits Hardware mit UEFI an. Ob künftig auch Secure Boot auf Server-Hardware Anwendung findet, regelt höchstwahrscheinlich die Nachfrage. Ein Kernel-Entwickler, der nicht genannt werden möchte, äußerte gegenüber Golem.de auf dem Linuxtag starke Zweifel, dass diese Nachfrage je bestehen wird. Garrett, der seit etwa einem halben Jahr für den Server- und Cloud-Hosting-Spezialisten Nebula arbeitet, ist davon nicht überzeugt. Immerhin ist die mit Secure Boot gewonnene Freiheit und Sicherheit ein starkes Argument.

 Matthew Garrett: "UEFI ist kein böser Plan von Microsoft"

eye home zur Startseite
Danse Macabre 02. Feb 2015

Linux sein Problem ... schon bei der Grammatik schüttelt es einen.

Ass Bestos 18. Jul 2013

was ist falsch an anarchos?

DAUVersteher 13. Jun 2013

Dank inzwischen mehrerer signierten Bootloader sind auch LiveCDs bei aktiviertem...

DAUVersteher 13. Jun 2013

Da die meisten Themen hier nur über UEFI bzw. Secrureboot meckern brech ich mal ne Lanze...

Baron Münchhausen. 31. Mai 2013

"Das Problem mit Zitaten im Internet ist, dass Sie behaupten, ich hätte etwas über eine...



Anzeige

Stellenmarkt
  1. STAHLGRUBER GmbH, Poing bei München
  2. Siemens Postal, Parcel & Airport Logistics GmbH, Düsseldorf
  3. über Duerenhoff GmbH, Raum Kamen
  4. über Duerenhoff GmbH, Raum Braunschweig


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Honor 7X

    Smartphone im 2:1-Format mit verbesserter Dual-Kamera

  2. Sofortbild

    Polaroid verklagt Fujifilm wegen quadratischer Fotos

  3. ARM-Server

    Cray und Microsoft nutzen Caviums Thunder X2

  4. Autonomes Fahren

    Großbritannien erlaubt ab 2019 fahrerlose Autos

  5. Zwei Verletzte

    Luftschiff Airlander am Boden havariert

  6. Smartphones

    Huawei installiert ungefragt Zusatz-App

  7. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  8. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  9. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  10. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. High Speed Rail Chinas Züge fahren bald wieder mit 350 km/h

  1. Re: Markenrecht oder Patentrecht?

    leMatin | 08:52

  2. Ordnetliche Preisersparnis auf 1.000.000km

    PatFoster | 08:52

  3. Der Anfang des Unfallhergangs ...

    Tremolino | 08:51

  4. Oneplus 5 und 5T erst später

    querschlaeger | 08:47

  5. Re: Die Akku Technik wird in den nächsten Jahren...

    Der Held vom... | 08:46


  1. 09:00

  2. 08:02

  3. 07:47

  4. 07:39

  5. 07:23

  6. 11:55

  7. 11:21

  8. 10:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel