Abo
  • Services:

Secure Boot: Linux-Community streitet über Kernel-Lockdown

Mit einer Reihe von Patches soll ein laufender Linux-Kernel vor Veränderungen geschützt werden. Die Verknüpfung dieses sogenannten Kernel-Lockdown erregt Chefentwickler Torvalds, der diese Funktion so nicht möchte. Red-Hat- und Google-Entwickler versuchen zu intervenieren.

Artikel veröffentlicht am ,
In der Linux-Community gibt Linus Torvalds den Ton an.
In der Linux-Community gibt Linus Torvalds den Ton an. (Bild: Christopher Michel/CC-BY 2.0)

Nach einem Jahr Arbeit und einigen Runden an Überarbeitungen wird neuer Code für eine Sicherheitsfunktion des Linux-Kernel vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichung eingepflegt. Dieser Zweig landet früher oder später bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Dieser eigentlich übliche Ablauf wird nun aber von Torvalds selbst durchbrochen, der bei den Patches zum sogenannten Kernel-Lockdown massiv interveniert und wie bereits in anderen Fällen zuvor damit droht, den Code schlicht nicht aufzunehmen.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. CSP GmbH und Co. KG, Deutschland

Die unter Leitung von Red-Hat-Entwickler David Howells von mehreren beteiligten Entwicklern erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Der Google-Angestellte Kees Cook, der verschiedene Sicherheitsfunktionen in Linux umsetzt, beschreibt sogar, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Die Patches sollen hier die bekannten Pfade zu Rechte-Erweiterungen "stopfen", schreibt Cook außerdem.

Lockdown bei Secure Boot

Die aktuelle Serie der Patches aktiviert den Kernel Lockdown automatisch, falls das System mit aktiviertem UEFI Secure Boot gestartet wurde. Der langjährige Linux-Entwickler Andy Lutomirski kritisiert in einer E-Mail aber nicht nur die Patches selbst, sondern eben auch diese Verknüpfung zu Secure Boot. Er verstehe nicht, warum Secure Boot zwingend zu dem Lockdown führen solle. Torvalds schreibt daraufhin: "Hier stimme ich heftig mit Andy überein".

Der Linux-Chefentwickler führt seine Kritik weiter aus und schreibt, dass zwar der Lockdown im Allgemeinen vielleicht eine gute Sache sei, dies aber eben nichts mit Secure Boot zu tun habe. Die zwei Techniken passten schlicht nicht zueinander und hätten keine Überschneidungen, schreibt Torvalds.

Diese Einschätzungen basieren wohl aber auf einigen Missverständnissen in Bezug auf Secure Boot, dessen prinzipielle Einsatzmöglichkeiten sowie die bereits umgesetzte praktische Verwendung der UEFI-Funktion. Das legen zumindest die Erläuterungsversuche verschiedener Entwickler nahe, allen voran der Google-Angestellte Matthew Garrett, der einer der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux war.

Auf die Erklärungsversuche scheinen sowohl Lutomirski als auch Torvalds aber nicht recht eingehen zu wollen. Beide vermuten vielmehr, dass mit den Patches eine nicht genannte Agenda umgesetzt werden solle und die beteiligten Entwickler zumindest einen Teil ihrer Beweggründe für die Patches absichtlich verschweigen.

Sollte sich nichts Grundlegendes an den Konfigurationsoptionen für die Lockdown-Funktion ändern, wird Torvalds in seiner Position als Hauptverantwortlicher für den Kernel den Code nicht einpflegen. Das hat er zumindest schon angekündigt.



Anzeige
Spiele-Angebote
  1. 33,99€
  2. 14,02€
  3. 12,99€
  4. 45,99€ (Release 12.10.)

lahmbi5678 09. Apr 2018

Aber irgendwann wird halt der Schalter umgelegt, dann gibt es neue Hardware nur noch mit...

vergeben 05. Apr 2018

nur so nebenbei, weil es wunderschön paßt: siehe systemd Was ursprünglich als Ersatz für...

a user 05. Apr 2018

Ne Menge. Aber, der Hauptgrund der Performanceunterschiede ist nicht darauf...

jose.ramirez 05. Apr 2018

Es war anfangs nicht vorgesehen. Secure Boot ist de facto kaputt.

pythoneer 05. Apr 2018

Mir scheint, du hast nicht ganz verstanden auf was ich hinaus wollte. Der Artikel...


Folgen Sie uns
       


Lenovo Thinkpad T480s - Test

Wir halten das Thinkpad T480s für eines der besten Business-Notebooks am Markt: Der 14-Zöller ist kompakt und recht leicht und weist dennoch viele Anschlüsse auf, zudem sind Speicher, SSD, Wi-Fi und Modem aufrüstbar.

Lenovo Thinkpad T480s - Test Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

    •  /