Matthew Garrett

Schon jetzt sei es aus der Sicherheitsperspektive immer besser, Container einzusetzen, als auf diese zu verzichten, sagt Linux-Entwickler Matthew Garrett. Für eine höhere Sicherheit müsse trotzdem noch viel Arbeit in vorhandene und neue Werkzeuge gesteckt werden.

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Container-Technologien unter Linux, vor allem das populäre Docker, müssen sicherer werden, meint Kernel-Hacker Matthew Garrett. Dazu brauche es aggressivere Tests und eine starke Code-Überprüfung.

Selbst erstellte oder verfügbare Android-ROMs lassen sich mit eigenen Schlüsseln signieren, was die Sicherheit deutlich erhöhen könnte. Den komplizierten Prozess erklärt Matthew Garrett, der die Schlüsselverwaltung für UEFI Secure Boot unter Linux erarbeitete.

Ein nur vergleichbares Nutzer-Erlebnis wie in Mac OS X reiche für Linux-Desktops nicht aus. Es brauche Alleinstellungsmerkmale, damit mehr Nutzer und Entwickler auf Linux wechseln, schreibt Kernel-Hacker Matthew Garrett.

Entwickler Matthew Garrett kommentiert die Rechtsstreitigkeiten zwischen Oracle und Google: Oracle umgehe Funktionen in Linux, die explizit als GPL-lizenziert markiert sind.

Der Linux-Kernel in Version 3.14 verwaltet Prozesse effizienter mit dem Deadline Scheduler, was vor allem Real-Time-Anwendungen zugutekommt. Mit Zram lässt sich der Arbeitsspeicher blockweise komprimieren, was für Linux auf TVs und mobilen Geräten von Vorteil ist.

Canonicals eigener Displayserver Mir wird vermutlich erst in Ubuntu 16.04 als Standard eingesetzt. Bereits im November 2013 hatte Canonical bekanntgegeben, dass der Displayserver nicht stabil genug sei, um in Ubuntu 14.04 eingesetzt zu werden.

Die wohl älteste noch aktiv entwickelte Linux-Distribution Slackware startet in der neuen Version auf Uefi-Systemen. Secure Boot wird noch nicht von Hause aus unterstützt, lässt sich aber selbst einrichten.

Sollte Canonical die Mir-Entwicklung weiter mit dem Fokus auf Ubuntu for Phones voranbringen, wird XMir immer problematisch bleiben, meint der Kernel-Entwickler Matthew Garrett. Das Unternehmen könnte XMir aber auch gleich einstellen.

Dem Entwickler Matthew Garrett zufolge wird Linux wohl auch künftig kein 32-Bit-UEFI unterstützen. Denn die damit verbundenen Firmware-Fehler seien zu gravierend und eine Implementierung sehr langwierig.

Zwar veröffentlicht Canonical Ubuntu Touch und seinen Displayserver Mir unter der GPLv3. In Kombination mit den CLA könnte der Ubuntu-Hersteller seine Komponenten des mobilen Betriebssystems jedoch problemlos unter eine proprietären Lizenz stellen, befürchtet Matthew Garrett.

Linuxtag 2013 Kritiker behaupten, nur technisch versierte Nutzer könnten Chromebooks verwenden, wie sie wollen. Befürworter sagen, es sei einfacher als gedacht, eigene Software zu nutzen. Golem.de hat darüber mit Kernel-Programmierer Matthew Garrett und Coreboot-Entwicklern gesprochen.

Linuxtag 2013 UEFI ist in der Linux-Community unbeliebt - zu unrecht, findet der Kernel-Entwickler Matthew Garrett. Es müsse nur garantiert sein, dass der Anwender selbst entscheiden kann, was er auf UEFI-Rechnern installiert, sagte er im Interview mit Golem.de. Dafür wolle er sorgen.

Die Beschwerde einer spanischen Linux-Gruppe gegen Microsoft bei der EU wegen Secure Boot schade der Open-Source-Community mehr als sie nütze, schreibt Secure-Boot-Experte Matthew Garrett. Denn sie lenke vom eigentlichen Problem ab: den vollkommen geschlossenen Systemen.

Bislang seien UEFI und Secure Boot als Herausforderung aufgenommen worden, sie könnten aber auch für Linux nützlich sein, sagte Shim-Entwickler Matthew Garrett.

Nach dem Samsung-ARM-Chromebook und dem Acer C7 unterstützt Google nun auch Coreboot für das HP Pavilion 14. Kritiker bemängeln an den Chromebooks jedoch ein noch verschlosseneres System als bei Secure-Boot.

Der Secure-Boot-Loader der Linux Foundation ist nun fast komplett verfügbar. Einen letzten Teil der Software wollte Microsoft aus Sicherheitsgründen noch nicht signieren.

Ein Fehler, der die Firmware einiger Samsung-Laptops zerstört, kann nicht nur unter Linux herbeigeführt werden. Auch unter Windows lässt sich der UEFI-Bug auslösen.

Damit das Secure-Boot-Modell mit dem Linux-Kernel funktioniert, müssten Hibernation und Kexec abgeschaltet werden. Patches dafür gibt es bereits, diese sollen aber noch nicht eingepflegt werden.

Damit die Linux-Bootloader nicht auf Microsofts schwarzer Liste landen, müssen spezielle Funktionen des Linux-Kernels besonders abgesichert werden, darunter Kexec. Das wollen Entwickler mit signierten ELF-Dateien umsetzen.

Der Shim-Bootloader mit dem Signaturschlüssel von Microsoft ist für alle verfügbar. Damit lassen sich fast alle Linux-Distributionen ohne großen Aufwand auch auf Systemen mit UEFIs Secure Boot starten, die nur für Windows signiert sind.

Microsoft verursacht bei Linux-Nutzern einige Probleme bei Erlangen einer Secure-Boot-Signatur. Ein Entwickler berichtet von Hürden und Workarounds im Fall der Linux Foundation.

Ubuntu macht einige UEFI-Rechner unbrauchbar, berichten Nutzer. Lenovos UEFI-Implementierung untersucht vermeintlich Booteinträge, was den Start fast aller Linux-Systeme verhindert.

Probleme mit dem Installationstool Anaconda verzögern die Beta von Fedora 18 erneut. Der finale Termin im Dezember soll aber gehalten werden können.

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Mit einiger Verspätung ist die erste Alpha von Fedora 18 erschienen. Anwender können damit den neuen Installer oder die Unterstützung für UEFI-Systeme testen.

Die technische Leitung von Fedora hat nun offiziell die Integration von Secure Boot beschlossen. Außerdem für Fedora 18 vorgesehen ist ein Netzwerk-Team-Treiber, und virtuelle Maschinen sollen Ruhezustände beherrschen.

Der UEFI-Bootloader Gummiboot ist als Referenzimplementierung gedacht. Er soll mehrere Linux-Kernel oder weitere Bootloader starten können.

In der Virtualisierungsumgebung Qemu und KVM lässt sich UEFIs Secure Boot nutzen. Der noch experimentelle Code stammt von Linux-Entwickler James Bottomley.

Statt wie Fedora auf eine Microsoft-Signatur für Secure-Boot zu setzen, definiert Canonical eigene Zertifizierungsrichtlinien. Das ähnelt dem Vorgehen von Microsoft, bis auf eine entscheidende Ausnahme.

Linux-Erfinder Linus Torvalds zeigt wenig Verständnis für die Kritik am Umgang von Fedora und Red Hat mit Secure Boot. Er könne sich sogar vorstellen, Secure Boot selbst zu nutzen.

Nachdem Red Hat und Fedora eine mögliche Lösung für die Verwendung von Linux mit UEFIs Secure Boot präsentiert haben, wächst die Kritik. Denn unabhängige Distributionen müssten den Bootloader ebenfalls von Microsoft signieren lassen.

Ein kleines Stück Software, das noch vor Grub geladen wird, soll von Microsoft signiert werden. Alles andere möchte das Fedora-Team selbst signieren und so Secure-Boot in Fedora 18 für alle nutzbar machen.

In einer gemeinsamen Aktion beauftragen Samba, Wine, Entwickler des Linux-Kernels und weitere Projekte die Software Freedom Conservancy mit der Durchsetzung der GPL für ihre Projekte.

Eigentlich ist die Unterstützung für ASPM noch in der Testphase für Kernel 3.3. Die Kernel-Entwickler wollen sie dennoch in den aktuellen Kernel 3.2 einbauen. Viele der Patches stammen von Fedora und Ubuntu.

Die technischen Hürden einer Linux-Installation auf UEFI-Geräten werden sich überwinden lassen. Nutzerfreundlich wird das wohl aber nicht, befürchtet Entwickler Matthew Garrett.

Red-Hat-Entwickler Matthew Garrett hat dem Linux-Kernel zahlreiche Patches spendiert, die die Leistungsaufnahme des Linux-Kernels auf zahlreichen Notebooks reduzieren soll. Sie übernehmen Informationen aus Windows-Treibern.

Die Linux Foundation und Canonical haben jeweils Vorschläge veröffentlicht, die das UEFI Secure Boot auch für offene Plattformen zugänglich machen soll. Mit Secure Boot soll die Startumgebung von Systemen mit Schlüsseln abgesichert werden.

Mit der Funktion Secure Boot, die Windows 8 voraussetzt, könnten freie Systeme ausgeschlossen werden. Dagegen macht die Free Software Foundation mobil.

Microsoft nutzt ab Windows 8 standardmäßig UEFI und installiert dort seinen Bootloader. Dieser soll signiert werden. Damit wird eine Dualboot-Installation mit Linux äußerst schwierig.

Eine Klausel in der GPLv2 könnte weitreichende Konsequenzen vor allem für Hersteller von Android-Geräten haben. Danach verfallen die Rechte eines Lizenznehmers, sobald er gegen die GPLv2 verstößt.

Nachdem sich Berichte über eine erhöhte Leistungsaufnahme auf einigen Rechnern beim Einsatz des Linux-Kernels 2.6.38 gehäuft hatten, wurde jetzt eine weitere Ursache dafür gefunden: Die Energiesparmethoden an der PCI-Express-Schnittstelle.