Secure Boot: Linux-Community streitet über Kernel-Lockdown

Mit einer Reihe von Patches soll ein laufender Linux-Kernel vor Veränderungen geschützt werden. Die Verknüpfung dieses sogenannten Kernel-Lockdown erregt Chefentwickler Torvalds, der diese Funktion so nicht möchte. Red-Hat- und Google-Entwickler versuchen zu intervenieren.

Artikel veröffentlicht am ,
In der Linux-Community gibt Linus Torvalds den Ton an.
In der Linux-Community gibt Linus Torvalds den Ton an. (Bild: Christopher Michel/CC-BY 2.0)

Nach einem Jahr Arbeit und einigen Runden an Überarbeitungen wird neuer Code für eine Sicherheitsfunktion des Linux-Kernel vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichung eingepflegt. Dieser Zweig landet früher oder später bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Dieser eigentlich übliche Ablauf wird nun aber von Torvalds selbst durchbrochen, der bei den Patches zum sogenannten Kernel-Lockdown massiv interveniert und wie bereits in anderen Fällen zuvor damit droht, den Code schlicht nicht aufzunehmen.

Stellenmarkt
  1. Mitarbeiter IT-Support (m/w/d)
    hagebau IT GmbH, Soltau, mobile Office, deutschlandweit
  2. Sachbearbeiter/in (m/w/d) im Prüfdienst Kranken- und Pflegeversicherung
    Bundesamt für Soziale Sicherung, Bonn
Detailsuche

Die unter Leitung von Red-Hat-Entwickler David Howells von mehreren beteiligten Entwicklern erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Der Google-Angestellte Kees Cook, der verschiedene Sicherheitsfunktionen in Linux umsetzt, beschreibt sogar, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Die Patches sollen hier die bekannten Pfade zu Rechte-Erweiterungen "stopfen", schreibt Cook außerdem.

Lockdown bei Secure Boot

Die aktuelle Serie der Patches aktiviert den Kernel Lockdown automatisch, falls das System mit aktiviertem UEFI Secure Boot gestartet wurde. Der langjährige Linux-Entwickler Andy Lutomirski kritisiert in einer E-Mail aber nicht nur die Patches selbst, sondern eben auch diese Verknüpfung zu Secure Boot. Er verstehe nicht, warum Secure Boot zwingend zu dem Lockdown führen solle. Torvalds schreibt daraufhin: "Hier stimme ich heftig mit Andy überein".

Der Linux-Chefentwickler führt seine Kritik weiter aus und schreibt, dass zwar der Lockdown im Allgemeinen vielleicht eine gute Sache sei, dies aber eben nichts mit Secure Boot zu tun habe. Die zwei Techniken passten schlicht nicht zueinander und hätten keine Überschneidungen, schreibt Torvalds.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    20.-23.03.2023, virtuell
  2. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    30.01.-02.02.2023, virtuell
Weitere IT-Trainings

Diese Einschätzungen basieren wohl aber auf einigen Missverständnissen in Bezug auf Secure Boot, dessen prinzipielle Einsatzmöglichkeiten sowie die bereits umgesetzte praktische Verwendung der UEFI-Funktion. Das legen zumindest die Erläuterungsversuche verschiedener Entwickler nahe, allen voran der Google-Angestellte Matthew Garrett, der einer der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux war.

Auf die Erklärungsversuche scheinen sowohl Lutomirski als auch Torvalds aber nicht recht eingehen zu wollen. Beide vermuten vielmehr, dass mit den Patches eine nicht genannte Agenda umgesetzt werden solle und die beteiligten Entwickler zumindest einen Teil ihrer Beweggründe für die Patches absichtlich verschweigen.

Sollte sich nichts Grundlegendes an den Konfigurationsoptionen für die Lockdown-Funktion ändern, wird Torvalds in seiner Position als Hauptverantwortlicher für den Kernel den Code nicht einpflegen. Das hat er zumindest schon angekündigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


lahmbi5678 09. Apr 2018

Aber irgendwann wird halt der Schalter umgelegt, dann gibt es neue Hardware nur noch mit...

vergeben 05. Apr 2018

nur so nebenbei, weil es wunderschön paßt: siehe systemd Was ursprünglich als Ersatz für...

a user 05. Apr 2018

Ne Menge. Aber, der Hauptgrund der Performanceunterschiede ist nicht darauf...

jose.ramirez 05. Apr 2018

Es war anfangs nicht vorgesehen. Secure Boot ist de facto kaputt.



Aktuell auf der Startseite von Golem.de
Nutzerfreundlichkeit und Datenschutz
Fünf All-in-One-Messenger im Vergleichstest

Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
Ein Test von Leo Dessani

Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
Artikel
  1. Wirtschaft: Halbleiter-Stopp für China durch westliche Allianz
    Wirtschaft
    Halbleiter-Stopp für China durch westliche Allianz

    Dank westlicher Technologien kann China die Produktion von Halbleitern ausbauen. Das will eine Staatenallianz verhindern.

  2. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  3. Liberty-Germany-Pleite: Glasfaserausbau trotz Zusage nicht mehr sicher
    Liberty-Germany-Pleite
    Glasfaserausbau trotz Zusage nicht mehr sicher

    "Hello Fiber bringt Glasfaser in deine Gemeinde", lautete der Werbespruch von Liberty. Kann man kleineren FTTH-Anbietern nach der Pleite noch trauen?
    Von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /