Secure-Boot-Loader für Linux
Linux-Entwickler Matthew Garrett hat eine von Microsoft signierte Version seines Secure-Boot-Loaders Shim veröffentlicht, mit dem sich alle Linux-Distributionen auf Secure-Boot-Systemen starten lassen, ohne dass UEFI Secure Boot deaktiviert werden muss.
Linux-Entwickler Matthew Garrett hat eine Version seines Secure-Boot-Loaders Shim [1] veröffentlicht, mit dem sich alle Linux-Distributionen auf Secure-Boot-Systemen starten lassen, ohne dass UEFI Secure Boot deaktiviert werden muss. Garretts Shim-Binary ist von Microsoft signiert, sodass jede nahezu jede UEFI-Firmware den Secure-Boot-Loader ausführt.
Shim fragt beim Start den Anwender nach einem Schlüssel und startet anschließend jeden Bootloader, der mit diesem Schlüssel signiert ist. Wie Garrett in seinem Blog erläutert [2], müssen Linux-Distributoren lediglich ihren UEFI-Bootloader ( grubx64.efi) mit einem eigenen Schlüssel signieren, diesen Schlüssel auf ihr UEFI-Installationsmedium packen und dem Anwender erklären, wie er den Schlüssel findet, wenn Shim danach fragt. Alles Weitere bleibt dem Distributor überlassen; so lässt sich über signierte Kernel-Images und -Module eine Chain of Trust für den ganzen Startprozess implementieren. Der von Microsoft signierte Shim erspart Linux-Distributionen den Aufwand, ihren Boot-Loader selbst von Microsoft signieren zu lassen.
Garrett hatte bereits vor über einem Jahr auf mögliche Secure-Boot-Probleme [3] mit Linux hingewiesen und arbeitet seitdem an einer Lösung für eine möglichst komfortable Linux-Installation auf Secure-Boot-Systemen. Die Linux Foundation, die einen ähnlichen Weg verfolgt [4], hat derzeit Probleme mit Microsofts Secure-Boot-Signierservice [5]. Shim 0.2 steht im Quelltext und als signiertes Binary zum Download [6] bereit. (odi [7])
URL dieses Artikels:
https://www.heise.de/-1760997
Links in diesem Artikel:
[1] https://www.heise.de/news/Secure-Boot-und-Linux-1741723.html
[2] http://mjg59.dreamwidth.org/20303.html
[3] https://www.heise.de/news/Linux-Community-fuerchtet-Windows-Verdongelung-1347168.html
[4] https://www.heise.de/news/Secure-Boot-Weg-von-der-Linux-Foundation-1727468.html
[5] https://www.heise.de/news/Linux-Foundation-kaempft-mit-Microsofts-Secure-Boot-Signierservice-1753937.html
[6] http://www.codon.org.uk/~mjg59/shim-signed/
[7] mailto:odi@ix.de
Copyright © 2012 Heise Medien