Abo
  • Services:
Anzeige
Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

UEFI Secure Boot: Eigene Schlüssel unter Linux hinzufügen

Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

Anzeige
  • Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.


eye home zur Startseite
zilti 09. Okt 2012

Der Witz an der Sache ist ja, dass es nicht Opt-In ist, sondern wohl manchmal nicht...

evilchen 09. Okt 2012

Na UEFI wird doch als Sicherheitsfeature FÜR den User verkauft. Damit werden ja gar keine...

robinx999 09. Okt 2012

Wirklich effektiv verstecken kann sich ein echtes Rootkit nur wenn es vor dem Kernel...

Anonymer Nutzer 08. Okt 2012

. . . mit UEFI jeder Nutzer dann registriert ist, mit dem System das er anwendet - durch...

satriani 08. Okt 2012

unterschrieben :)



Anzeige

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Darmstadt
  2. Continental AG, Regensburg
  3. über Personalstrategie GmbH, München
  4. diconium digital solutions GmbH, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Wolfenstein II: The New Colossus PC 29,97€, Call of Duty: WWII PC 36,97€, FIFA 18 PC 34...

Folgen Sie uns
       


  1. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  2. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  3. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  4. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  5. The Update Aquatic

    Minecraft bekommt Klötzchendelfine

  6. Elektroauto

    Fährt der E-Golf auch bei Gewitter?

  7. Prozessoren

    Neues Werk dürfte Coffee-Lake-Verfügbarkeit verbessern

  8. Apple

    Hinweise deuten auf einen A10-ARM-SoC im neuen iMac Pro

  9. Sega

    Valkyria Chronicles 4 setzt erneut auf Kitsch im Krieg

  10. Drohnenhersteller

    DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: Falsch bzgl der Wahlgänge

    Abdiel | 14:59

  2. ich hab auch noch eine frage

    johnDOE123 | 14:59

  3. Re: Was war der Knackpunkt?

    MrAnderson | 14:58

  4. Re: Position Akku

    pumok | 14:58

  5. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    der_wahre_hannes | 14:56


  1. 15:00

  2. 13:46

  3. 12:50

  4. 12:35

  5. 12:20

  6. 12:07

  7. 11:22

  8. 11:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel