• IT-Karriere:
  • Services:

UEFI Secure Boot: Sicher starten in Qemu-KVM

In der Virtualisierungsumgebung Qemu und KVM lässt sich UEFIs Secure Boot nutzen. Der noch experimentelle Code stammt von Linux-Entwickler James Bottomley.

Artikel veröffentlicht am ,
Mit Secure Boot lässt sich jetzt in Qemu und KVM experimentieren.
Mit Secure Boot lässt sich jetzt in Qemu und KVM experimentieren. (Bild: Microsoft)

Eine erste experimentelle Umsetzung von UEFIs Secure Boot für die Virtualisierungsumgebung KVM und Qemu steht bereit. Die Umsetzung von UEFI Secure Boot für die Kernel Virtual Machine soll zunächst vor allem für Experimente im Umgang mit der unter Linux unliebsamen Technik dienen, schreibt dessen Entwickler James Bottomley. Das hatte unter anderem das Linux Foundation Technical Advisory Board gefordert. Denn noch gebe es wenig Hardware, die UEFI Secure Boot mitbringt.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Landeshauptstadt München, München

Der Kernelhacker Bottomley hat für die Umsetzung das freie Tianocore von Intel erweitert, einen quelloffenen Nachbau des UEFI, das zusammen mit Coreboot genutzt werden kann. Das erweiterte Tianocore hat er als RPM-Paket in das Opensuse Build System (OBS) eingepflegt.

Es sei aber distributionsunabhängig, schreibt Bottomley, und lasse sich mit Alien auch in ein DEB-Paket verwandeln. Im gleichen Repository liegen die entsprechenden Signierwerkzeuge Sbsigntools von Entwickler Jeremy Kerr, die allerdings nur in einer 64-Bit-Version vorliegen.

Experimentierwiese

Mit seiner Umsetzung konnte er seinen eigenen Schlüssel importieren und EFI-Binärdateien damit signieren. Anschließend starteten die signierten Dateien, während sich unsignierte EFI-Dateien nicht einsetzen ließen. Er startete auch einen unsignierten Linux-Kernel über den signierten Bootloader Elilo.efi.

Bottomley warnt aber, dass sich die Software in einer frühen Alphaphase befindet. Tianocore mit UEFI und Secure Boot sei erst wenige Wochen alt und die Signierwerkzeuge funktionieren erst seit wenigen Tagen. Wer den Quellcode mit "make" aufruft, erhält eigene PK- und KEK-Schlüssel, mit denen auch gleich die neu generierte UEFI-Umgebung signiert wird.

Der Quellcode steht in einem Github-Repository zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,26€
  3. (-28%) 17,99€
  4. 2,99€

PG 28. Jun 2012

Es gibt Code, um Tianocore mit coreboot (kleines 'c') zu kreuzen, aber der ist alles...


Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
Red Dead Redemption 2 für PC angespielt: Schusswechsel mit Startschwierigkeiten
Red Dead Redemption 2 für PC angespielt
Schusswechsel mit Startschwierigkeiten

Die PC-Version von Red Dead Redemption 2 bietet schönere Grafik als die Konsolenfassung - aber nach der Installation dauert es ganz schön lange bis zum ersten Feuergefecht in den Weiten des Wilden Westens.

  1. Rockstar Games Red Dead Redemption 2 belegt 150 GByte auf PC-Festplatte
  2. Rockstar Games Red Dead Redemption 2 erscheint für Windows-PC und Stadia
  3. Rockstar Games Red Dead Online wird zum Rollenspiel

DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Datenschmuggel US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
  2. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  3. Datenschutz Zahl der Behördenzugriffe auf Konten steigt

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

    •  /