UEFI: Secure Boot in Linux ohne Hibernation

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Artikel veröffentlicht am ,
Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen.
Linux hat im Umgang mit Secure-Boot noch einige Schwachstellen. (Bild: Josh Landis/National Science Foundation, Public Domain)

Der Hibernation-Ruhezustand und das Kexec-Kommando zum Starten eines Kernels könnten genutzt werden, um Secure-Boot unter Linux zu umgehen, etwa mit dem Ziel, Schadcode in einen Rechner einzuschleusen. Deshalb stellt der Entwickler Matthew Garrett nun zwei Patches bereit, welche die genannten Funktionen bei aktiviertem Secure-Boot verhindern.

Stellenmarkt
  1. Application Manager (m/w/d)
    Intrum Deutschland GmbH, Heppenheim
  2. Inhouse Berater SAP (m/w/d)
    über Hays AG, Giengen an der Brenz
Detailsuche

Garrett weiß, dass viele Linux-Nutzer auf diese Funktionen angewiesen sind, weshalb die Patches auch nicht direkt in den Hauptzweig eingepflegt werden sollen. Vielmehr sollen zunächst Alternativen entwickelt werden, die es ermöglichen, auch unter Secure-Boot Hibernation und Kexec zu verwenden.

So muss der Kernel künftig in der Lage dazu sein, das im Swap gelagerte Hibernation-Abbild vor dem Starten zu verifizieren. Gleiches gilt für einen per Kexec gestarteten Kernel. Wann diese Funktionen bereitstehen werden, ist jedoch noch ungewiss. Verschiedene Ideen dazu werden aber bereits diskutiert.

In der Spezifikation des Bios-Nachfolgers UEFI ist das sogenannte Secure-Boot vorgesehen. Dies sieht einen durch Schlüssel verifizierten und abgesicherten Boot-Vorgang eines Betriebssystems vor. Neben Problemen der Implementierungen wie dem nun von Garrett geschilderten verursachte vor allem Microsoft Unruhe unter Linux-Nutzern. Denn für die Zertifizierung von Windows 8 müssen die Geräte der Hardwarehersteller zwingend Secure-Boot unterstützen.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Es wurde befürchtet, dass dadurch die Installation von Linux auf jenen Geräten effektiv verhindert werden könnte. Insbesondere durch die Arbeit von Matthew Garrett und einiger weiterer Kernel-Entwickler können Linux-Nutzer nun nicht nur Secure-Boot unter Linux einsetzen. Dank der von Microsoft signierten Bootloader lässt sich darüber hinaus auch die Installation einer Distribution vergleichsweise einfach bewältigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Crass Spektakel 08. Feb 2013

wenn ich einen Rechner aus der Ferne angreife hilft Secure Boot aber auch gerade garnichts.

Tuxianer 31. Jan 2013

Es ist immer dasselbe mit Leuten, die einen Mangel an inhaltlicher Kompetenz dadurch zu...

Thaodan 31. Jan 2013

Genauso was ähnliches dachte ich mir, also das nicht alle nötigen Treiber enthalten sind etc.

Zwangsangemeldet 30. Jan 2013

Genau das ist das Problem mit diesen relativ neuen Gerätekategorien (Smartphone/Tablet...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
Von Friedhelm Greis

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /