UEFI Secure Boot: Signiervorgang wird Linux-Entwicklern erschwert

Vor etwa einem Monat gab die Linux Foundation bekannt, einen eigenen UEFI-Bootloader mit Microsoft-Signatur anbieten zu wollen. Damit soll sich ein Linux-System auch auf für Windows 8 zertifizierten Geräten mit Secure Boot starten lassen. Nicht-Windows-Nutzer hat das Unternehmen dabei offenbar nicht vorgesehen, wie James Bottomley in seinem Blog berichtet.

Verifizierte Entwickler

Nach dem Zahlen der Gebühr von 99-US-Dollar an Verisign wird ein Sysdev-Account benötigt. Um diesen jedoch zu aktivieren, muss eine Binärdatei zur Verifikation signiert und hochgeladen werden. Laut Microsoft muss dafür eine spezifische Windows-Version genutzt werden. Das lässt sich aber über die von Kernel-Entwickler Jeremy Kerr entwickelten Secure-Boot-Signing-Tools umgehen, die über Git verfügbar sind.

Zudem müssen die Entwickler schriftlich zustimmen, bestimmte Lizenzen nicht für ihre Projekte zu benutzen, insbesondere die GPLv3. Allerdings scheint es so, schreibt Bottomley, dass dieser Vertrag weit über den eigentlichen Signiervorgang hinausgeht, was zu Problemen bei Distributionen führen könnte. Matthew Garrett zufolge sei Microsoft aber bereit, die konkreten Bedingungen einzeln zu verhandeln.

Nur mit freier Software nicht machbar

"Man lädt aber nicht einfach sein UEFI-Binary hoch und bekommt es signiert zurück", schreibt Bottomley. Es muss in eine Cab-Datei gepackt und zur Verifikation signiert werden. Dafür stehen freie Anwendungen bereit, für den Upload muss aber Silverlight verwendet werden, was nicht für Linux verfügbar ist.

Die freie alternative Moonlight versagt unter Linux schlicht den Dienst. So müssen die Entwickler zwangsläufig auf Windows zurückgreifen. Abschließend weist Microsoft nochmals darauf hin, dass keine Software, die unter der GPLv3 steht, signiert werden darf. Microsoft fürchtet wahrscheinlich, ihren Schlüssel offenlegen zu müssen, auch wenn die FSF diese Bedenken nicht teilt.

Bootloader noch nicht verfügbar

Im Fall der Linux-Foundation funktionierte der Upload jedoch zunächst nicht. Laut Bottomley fragte der Microsoft-Support dann, ob es sich um eine Win32-Anwendung handele. "Natürlich nicht, es ist ein gültiges 64-Bit-UEFI-Binary", schreibt Bottomley.

Nach einem erneuten Versuch bekam er schließlich auch noch eine Datei zurück, die mit dem falschen Schlüssel signiert gewesen sei. Letztendlich wartet die Linux Foundation immer noch auf ein korrekt signiertes Exemplar ihres Bootloaders. Sobald dies bereitsteht, soll es auch zum Download angeboten werden, versichert Bottomley.