UEFI Secure Boot: Eigene Schlüssel unter Linux hinzufügen

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Artikel veröffentlicht am ,
Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

  • Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Stellenmarkt
  1. Cloud-Integrationsspezialist / Systemadministrator (m/w/d)
    Harzwasserwerke GmbH, Hildesheim
  2. Software Verification Engineer (m/w/d)
    Tecan Software Competence Center GmbH, Mainz-Kastel
Detailsuche

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
Weitere IT-Trainings

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


zilti 09. Okt 2012

Der Witz an der Sache ist ja, dass es nicht Opt-In ist, sondern wohl manchmal nicht...

evilchen 09. Okt 2012

Na UEFI wird doch als Sicherheitsfeature FÜR den User verkauft. Damit werden ja gar keine...

robinx999 09. Okt 2012

Wirklich effektiv verstecken kann sich ein echtes Rootkit nur wenn es vor dem Kernel...

Anonymer Nutzer 08. Okt 2012

. . . mit UEFI jeder Nutzer dann registriert ist, mit dem System das er anwendet - durch...

satriani 08. Okt 2012

unterschrieben :)



Aktuell auf der Startseite von Golem.de
TTDSG
Neue Cookie-Regelung in Kraft getreten

Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

TTDSG: Neue Cookie-Regelung in Kraft getreten
Artikel
  1. Snapdragon 8 Gen1: Der erste ARMv9-Snapdragon ist da
    Snapdragon 8 Gen1
    Der erste ARMv9-Snapdragon ist da

    Neuer Name, neue Kerne: Der Snapdragon 8 Gen1 nutzt ARMv9-Technik. Auch das 5G-Modem und die künstliche Intelligenz sind viel besser.

  2. Diem: Entwickler von Facebooks Digitalwährung geht
    Diem
    Entwickler von Facebooks Digitalwährung geht

    Der frühere Paypal-Chef David Marcus will nach der Zeit bei Facebook ab 2022 wieder als Unternehmer aktiv sein.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /