Linux Foundation präsentiert eigene Pläne für "Secure Boot"

Eigener Boot-Loader soll von Microsoft signiert werden - Kritik von Fedora-Entwickler

Nach Fedora, openSUSE und Ubuntu hat nun auch die Linux Foundation ihre Pläne für den Umgang mit dem Sicherheitsmechanismus "UEFI Secure Boot" bekannt gegeben - und diese unterscheiden sich in so manchen Details doch signifikant.

Gemeinsamkeiten

Zuerst mal zu den Gemeinsamkeiten: Wie bei den anderen auch soll hier dem eigentlichen Boot-Loader ein minimaler Pre-Boot-Loader vorangestellt werden, den man von Microsoft signieren lassen will, um die Checks von Secure Boot zufrieden zu stellen. Allerdings setzt die Linux Foundation hier auf die Eigenentwicklung "Loader" statt auf den von den anderen genutzten "Shim".

Vertrauensfrage

Viel wichtiger aber noch: Die Linux-Foundation will den danach startenden, vollwertigen Bootloader (typischerweise: Grub2) im Gegensatz zu Fedora und Co. nicht signieren. Stattdessen werden die NutzerInnen gefragt, ob sie den zweiten Bootloader als vertrauenswürdig einstufen - ist dies der Fall bootete das System künftig ohne weitere Nachfragen, der Eintrag wird im UEFI-Setup dauerhaft freigegeben. Alle anderen Pläne sehen bisher auch die Signatur des zweiten Bootloaders vor, bei Fedora und openSUSE will man zudem auch die nachfolgenden Kernel signieren.

Kritik

Die Herangehensweise der Linux Foundation stieß denn auch gleich umgehend auf Kritik: Solch ein Vertrauen auf die NutzerInnen könnte dazu genutzt werden, um diesen Schadsoftware unterzujubeln - und so die Vorteile von UEFI Secure Boot vollkommen zunichte zu machen, so Red-Hat-Entwickler Matthew Garrett. Würden die UserInnen nicht genau aufpassen und einen modifizierten Boot-Loader fälschlicherweise als "sicher" bestätigen, ließe sich so sogar einem Windows-System vorspiegeln, das alles abgesichert ist - während im Hintergrund Schadsoftware eingeschleust wurde.

Problematik

Und dies hätte auch sehr konkrete Auswirkungen für Linux-Systeme: In dem Moment in dem dies passiere, werde Microsoft den entsprechenden Boot-Loader nämlich schlicht auf die "Blacklist" von UEFI Secure Boot setzen, womit alle damit ausgestatteten Systeme nicht mehr booten würden.

Disclaimer

All die aktuellen Pläne sind derzeit natürlich noch nicht in Stein gemeißelt. Insofern bleibt abzuwarten, ob man hier in den kommenden Monaten noch zu einer gemeinsamen Lösung findet - oder doch tatsächlich unterschiedliche Wege beschritten werden. (apo, derStandard.at, 12.10.12)

Share if you care