Secure-Boot-Loader für Linux

Linux-Entwickler Matthew Garrett hat eine Version seines Secure-Boot-Loaders Shim veröffentlicht, mit dem sich alle Linux-Distributionen auf Secure-Boot-Systemen starten lassen, ohne dass UEFI Secure Boot deaktiviert werden muss. Garretts Shim-Binary ist von Microsoft signiert, sodass jede nahezu jede UEFI-Firmware den Secure-Boot-Loader ausführt.

Shim fragt beim Start den Anwender nach einem Schlüssel und startet anschließend jeden Bootloader, der mit diesem Schlüssel signiert ist. Wie Garrett in seinem Blog erläutert, müssen Linux-Distributoren lediglich ihren UEFI-Bootloader ( grubx64.efi) mit einem eigenen Schlüssel signieren, diesen Schlüssel auf ihr UEFI-Installationsmedium packen und dem Anwender erklären, wie er den Schlüssel findet, wenn Shim danach fragt. Alles Weitere bleibt dem Distributor überlassen; so lässt sich über signierte Kernel-Images und -Module eine Chain of Trust für den ganzen Startprozess implementieren. Der von Microsoft signierte Shim erspart Linux-Distributionen den Aufwand, ihren Boot-Loader selbst von Microsoft signieren zu lassen.

Garrett hatte bereits vor über einem Jahr auf mögliche Secure-Boot-Probleme mit Linux hingewiesen und arbeitet seitdem an einer Lösung für eine möglichst komfortable Linux-Installation auf Secure-Boot-Systemen. Die Linux Foundation, die einen ähnlichen Weg verfolgt, hat derzeit Probleme mit Microsofts Secure-Boot-Signierservice. Shim 0.2 steht im Quelltext und als signiertes Binary zum Download bereit. (odi)