Abo
  • Services:

Secure Boot: Linux-Community streitet über Kernel-Lockdown

Mit einer Reihe von Patches soll ein laufender Linux-Kernel vor Veränderungen geschützt werden. Die Verknüpfung dieses sogenannten Kernel-Lockdown erregt Chefentwickler Torvalds, der diese Funktion so nicht möchte. Red-Hat- und Google-Entwickler versuchen zu intervenieren.

Artikel veröffentlicht am ,
In der Linux-Community gibt Linus Torvalds den Ton an.
In der Linux-Community gibt Linus Torvalds den Ton an. (Bild: Christopher Michel/CC-BY 2.0)

Nach einem Jahr Arbeit und einigen Runden an Überarbeitungen wird neuer Code für eine Sicherheitsfunktion des Linux-Kernel vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichung eingepflegt. Dieser Zweig landet früher oder später bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Dieser eigentlich übliche Ablauf wird nun aber von Torvalds selbst durchbrochen, der bei den Patches zum sogenannten Kernel-Lockdown massiv interveniert und wie bereits in anderen Fällen zuvor damit droht, den Code schlicht nicht aufzunehmen.

Stellenmarkt
  1. Dataport, Altenholz bei Kiel, Hamburg
  2. ETAS GmbH, Stuttgart

Die unter Leitung von Red-Hat-Entwickler David Howells von mehreren beteiligten Entwicklern erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Der Google-Angestellte Kees Cook, der verschiedene Sicherheitsfunktionen in Linux umsetzt, beschreibt sogar, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Die Patches sollen hier die bekannten Pfade zu Rechte-Erweiterungen "stopfen", schreibt Cook außerdem.

Lockdown bei Secure Boot

Die aktuelle Serie der Patches aktiviert den Kernel Lockdown automatisch, falls das System mit aktiviertem UEFI Secure Boot gestartet wurde. Der langjährige Linux-Entwickler Andy Lutomirski kritisiert in einer E-Mail aber nicht nur die Patches selbst, sondern eben auch diese Verknüpfung zu Secure Boot. Er verstehe nicht, warum Secure Boot zwingend zu dem Lockdown führen solle. Torvalds schreibt daraufhin: "Hier stimme ich heftig mit Andy überein".

Der Linux-Chefentwickler führt seine Kritik weiter aus und schreibt, dass zwar der Lockdown im Allgemeinen vielleicht eine gute Sache sei, dies aber eben nichts mit Secure Boot zu tun habe. Die zwei Techniken passten schlicht nicht zueinander und hätten keine Überschneidungen, schreibt Torvalds.

Diese Einschätzungen basieren wohl aber auf einigen Missverständnissen in Bezug auf Secure Boot, dessen prinzipielle Einsatzmöglichkeiten sowie die bereits umgesetzte praktische Verwendung der UEFI-Funktion. Das legen zumindest die Erläuterungsversuche verschiedener Entwickler nahe, allen voran der Google-Angestellte Matthew Garrett, der einer der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux war.

Auf die Erklärungsversuche scheinen sowohl Lutomirski als auch Torvalds aber nicht recht eingehen zu wollen. Beide vermuten vielmehr, dass mit den Patches eine nicht genannte Agenda umgesetzt werden solle und die beteiligten Entwickler zumindest einen Teil ihrer Beweggründe für die Patches absichtlich verschweigen.

Sollte sich nichts Grundlegendes an den Konfigurationsoptionen für die Lockdown-Funktion ändern, wird Torvalds in seiner Position als Hauptverantwortlicher für den Kernel den Code nicht einpflegen. Das hat er zumindest schon angekündigt.



Anzeige
Spiele-Angebote
  1. 1,29€
  2. 16,99€
  3. 9,99€
  4. 179€

lahmbi5678 09. Apr 2018

Aber irgendwann wird halt der Schalter umgelegt, dann gibt es neue Hardware nur noch mit...

vergeben 05. Apr 2018

nur so nebenbei, weil es wunderschön paßt: siehe systemd Was ursprünglich als Ersatz für...

a user 05. Apr 2018

Ne Menge. Aber, der Hauptgrund der Performanceunterschiede ist nicht darauf...

jose.ramirez 05. Apr 2018

Es war anfangs nicht vorgesehen. Secure Boot ist de facto kaputt.

pythoneer 05. Apr 2018

Mir scheint, du hast nicht ganz verstanden auf was ich hinaus wollte. Der Artikel...


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

    •  /