Abo
  • Services:

Secure Boot: Linux-Community streitet über Kernel-Lockdown

Mit einer Reihe von Patches soll ein laufender Linux-Kernel vor Veränderungen geschützt werden. Die Verknüpfung dieses sogenannten Kernel-Lockdown erregt Chefentwickler Torvalds, der diese Funktion so nicht möchte. Red-Hat- und Google-Entwickler versuchen zu intervenieren.

Artikel veröffentlicht am ,
In der Linux-Community gibt Linus Torvalds den Ton an.
In der Linux-Community gibt Linus Torvalds den Ton an. (Bild: Christopher Michel/CC-BY 2.0)

Nach einem Jahr Arbeit und einigen Runden an Überarbeitungen wird neuer Code für eine Sicherheitsfunktion des Linux-Kernel vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichung eingepflegt. Dieser Zweig landet früher oder später bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Dieser eigentlich übliche Ablauf wird nun aber von Torvalds selbst durchbrochen, der bei den Patches zum sogenannten Kernel-Lockdown massiv interveniert und wie bereits in anderen Fällen zuvor damit droht, den Code schlicht nicht aufzunehmen.

Stellenmarkt
  1. GK Software SE, Berlin, Köln
  2. Robert Bosch GmbH, Leonberg

Die unter Leitung von Red-Hat-Entwickler David Howells von mehreren beteiligten Entwicklern erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Der Google-Angestellte Kees Cook, der verschiedene Sicherheitsfunktionen in Linux umsetzt, beschreibt sogar, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Die Patches sollen hier die bekannten Pfade zu Rechte-Erweiterungen "stopfen", schreibt Cook außerdem.

Lockdown bei Secure Boot

Die aktuelle Serie der Patches aktiviert den Kernel Lockdown automatisch, falls das System mit aktiviertem UEFI Secure Boot gestartet wurde. Der langjährige Linux-Entwickler Andy Lutomirski kritisiert in einer E-Mail aber nicht nur die Patches selbst, sondern eben auch diese Verknüpfung zu Secure Boot. Er verstehe nicht, warum Secure Boot zwingend zu dem Lockdown führen solle. Torvalds schreibt daraufhin: "Hier stimme ich heftig mit Andy überein".

Der Linux-Chefentwickler führt seine Kritik weiter aus und schreibt, dass zwar der Lockdown im Allgemeinen vielleicht eine gute Sache sei, dies aber eben nichts mit Secure Boot zu tun habe. Die zwei Techniken passten schlicht nicht zueinander und hätten keine Überschneidungen, schreibt Torvalds.

Diese Einschätzungen basieren wohl aber auf einigen Missverständnissen in Bezug auf Secure Boot, dessen prinzipielle Einsatzmöglichkeiten sowie die bereits umgesetzte praktische Verwendung der UEFI-Funktion. Das legen zumindest die Erläuterungsversuche verschiedener Entwickler nahe, allen voran der Google-Angestellte Matthew Garrett, der einer der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux war.

Auf die Erklärungsversuche scheinen sowohl Lutomirski als auch Torvalds aber nicht recht eingehen zu wollen. Beide vermuten vielmehr, dass mit den Patches eine nicht genannte Agenda umgesetzt werden solle und die beteiligten Entwickler zumindest einen Teil ihrer Beweggründe für die Patches absichtlich verschweigen.

Sollte sich nichts Grundlegendes an den Konfigurationsoptionen für die Lockdown-Funktion ändern, wird Torvalds in seiner Position als Hauptverantwortlicher für den Kernel den Code nicht einpflegen. Das hat er zumindest schon angekündigt.



Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

lahmbi5678 09. Apr 2018 / Themenstart

Aber irgendwann wird halt der Schalter umgelegt, dann gibt es neue Hardware nur noch mit...

vergeben 05. Apr 2018 / Themenstart

nur so nebenbei, weil es wunderschön paßt: siehe systemd Was ursprünglich als Ersatz für...

a user 05. Apr 2018 / Themenstart

Ne Menge. Aber, der Hauptgrund der Performanceunterschiede ist nicht darauf...

jose.ramirez 05. Apr 2018 / Themenstart

Es war anfangs nicht vorgesehen. Secure Boot ist de facto kaputt.

pythoneer 05. Apr 2018 / Themenstart

Mir scheint, du hast nicht ganz verstanden auf was ich hinaus wollte. Der Artikel...

Kommentieren


Folgen Sie uns
       


HP Z2 Mini Workstation - Test

Die Z2 Mini Workstation G3 kann uns im Test überzeugen - und das nicht als sehr schnelle Maschine, sondern als gut durchdachtes Gesamtkonzept.

HP Z2 Mini Workstation - Test Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
    Adblock Plus
    Bundesgerichtshof erlaubt Einsatz von Werbeblockern

    Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

    1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

    Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
    Datenschutz
    Der Nutzer ist willig, doch die AGB sind schwach

    Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
    2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
    3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

      •  /