Secure-Boot-Loader der Linux Foundation umgebaut
James Bottomley hat den von der Linux Foundation vorangetriebenen Mini-Bootloader erheblich umgebaut, der den Start beliebiger Linux-Versionen auf PCs mit UEFI Secure Boot erlauben soll.
James Bottomley hat den von der Linux Foundation vorangetriebenen Mini-Bootloader erheblich umgebaut, der den Start beliebiger Linux-Versionen auf PCs mit UEFI Secure Boot erlauben soll. Die überarbeitete Fassung startet den nachgelagerten, komplexeren Bootloader über eine veränderte Methode und arbeitet dadurch auch mit dem im letzten Sommer vorgestellten Gummiboot zusammen. Der lädt und startet Linux nicht selbst, wie es bei Grub der Fall ist, sondern greift auf EFI-Mechanismen zurück; Gummitboot ist daher erheblich einfacher im Aufbau als Grub. Bei aktivem Secure Boot sind durch diesen Ansatz aber andere, die Firmware involvierende Mechanismen nötig, um den Linux-Kernel vor dem Start zu prüfen.
Bei aktivem Secure Boot funktioniert Gummiboot daher nicht mit Shim oder der ursprünglichen Version des Mini-Bootloaders der Linux Foundation, wie Bottomley in einem Blog-Eintrag schreibt. Weitere Details liefern die Präsentationsfolien eines Vortrags, den das Mitglied des Technical Advisory Board der Linux Foundation kürzlich auf der Linux.conf.au 2013 gehalten hat. Dort erläutert er unter anderem, dass die Prüfung von Kernel und Gummiboot-Versionen nicht anhand von Schlüsseln erfolgen soll, sondern über Hash-Werte, die der Anwender autorisieren muss. Dazu nutzt die neue Version Tricks, wie sie auch bei die von Suse-Entwicklern vorgestellte und in Shim 0.2 eingeflossene Erweiterung nutzt, durch die Shim Informationen zu vertrauenswürdigen Code in einer MOKs (Machine Owner Keys) genannten Datenbank ablegen kann.
Laut den Bottomleys Folien dauert es ungefähr ein bis zwei Wochen, bis Microsoft eingereichte Boot-Loader mit einer Signatur versieht, die Secure-Boot-PCs als vertrauenswürdig einstufen. Demnach scheinen die Schwierigkeiten ausgeräumt zu sein, die Bottomley im Herbst hatte, als er eine frühere Version seines Mini-Loaders signieren lassen wollte. Er hat eine Version mit dem neuen Ansatz am 21. Januar zur Signatur an Microsoft übermittelt; Bottomley hofft daher, in Kürze ein signierte Version zurück zu erhalten. Die plant die Linux Foundation zum kostenlosen Download anzubieten.
Auch Matthew Garrett, der Shim maßgeblich vorangetrieben hat, hat kürzlich zu UEFI und Secure Boot gebloggt. Dort liefert er einige Details zu den Störungen, durch die Samsung-Notebooks nach dem Booten von Linux gar nicht mehr starten. Zudem erwähnt er Fehler in der UEFI-Firmware einiger Toshiba-Notebooks, durch die das Secure-Boot-taugliche Fedora 18 nicht als Vertrauenswürdig erkannt wird und daher bei aktivem Secure Boot nicht startet. (thl)
