Fedora 18 soll UEFI Secure Boot unterstützen

Das Fedora-Projekt hat beschlossen, dien von Matthew Garrett vorgeschlagenen Ansatz zur Unterstützung von UEFI Secure Boot bei Fedora 18 umzusetzen.

In Pocket speichern vorlesen Druckansicht 134 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Thorsten Leemhuis

Mit zwei Gegenstimmen hat das neun Leute umfassende technische Leitungsgremium der Linux-Distribution Fedora einem Entwurf zugestimmt, der umreißt, wie das für November geplante Fedora 18 UEFI Secure Boot unterstützen soll.

Der von den Red-Hat-Mitarbeitern Matthew Garrett und Peter Jones eingebrachte Plan sieht eine Implementation vor, wie Garrett sie vor einigen Wochen zur Diskussion gestellt hatte: Der Mini-Boot-Loader Shim soll über den bei Microsoft betriebenen "Signing Service" signiert werden. Da die meisten UEFI-PCs demnächst den zugehörigen Public Key zum Verifizieren mitbringen dürften, damit Windows 8 per Secure Boot startet, sollte so auch Fedora auf diesen Systemen booten, ohne dass der Anwender Secure Boot deaktivieren muss. Alternativ können Anwender Shim auch mit einem eigenen Schlüssel signieren und den Public Key bei der UEFI-Firmware als vertrauenswürdig hinterlegen, damit diese dem so signierten Boot-Loader vertraut.

Sofern Shim mit aktivem Secure Boot geladen wurde, prüft er mit einem Fedora-eigenen Schlüssel, ob der Boot-Loader Grub 2 unversehrt und korrekt signiert ist, bevor er diesen ausführt. Grub wiederum prüft die Signatur des Linux-Kernels, der wiederum Signaturen aller Kernel-Module prüft, bevor er diese lädt. Standardmäßig verwendet Fedora zum Signieren und Prüfen der Signatur ein eigenes Schlüsselpaar; wer einen eigenen Schlüssel bei der UEFI-Firmware hinterlegt, soll zum Validieren von Grub, Linux-Kernel und Kernel-Modulen auch ein eigenes Schlüsselpaar verwenden können.

Grub soll bei so einem Systemstart eingeschränkt arbeiten, wie es derzeit ähnlich beim Einsatz mit Supervisor-Passwort der Fall ist. Der Kernel soll manche beim Booten übergebenen Parameter nicht zulassen und keine DMA-Zugriffe durch Userland-Software erlauben – Grafiktreiber für den X-Server können daher nur Hardware-Beschleunigung nutzen, wenn sie auf Kernel-Treiber zurückgreifen, die KMS (Kernel-based Mode-Setting) verwenden. Die proprietären Grafiktreiber von AMD und Nvidia würden daher beim Start mit aktiviertem Secure Boot nicht funktionieren; da Fedora die beiden Treiber nicht mitliefert, würde der Kernel deren Kernel-Module aber ohnehin nicht laden, da ihnen die Fedora-Signatur fehlt.

Zu UEFI Secure Boot siehe auch:

In seiner gestrigen IRC-Sitzung hat die technische Leitung des Fedora-Projekts noch fünfzehn weiteren Vorschlägen zur Umsetzung neuer Features in Fedora 18 zugestimmt. So will das Projekt auf die zweite Generation der Liberation-Schriftarten umsteigen und "automatic-hinting" in der Schrift-Bibliothek Freetype aktivieren, auf die viel Software zurückgreift. Die Zeroconf-Implementierung Avahi soll bei Desktop-Installationen standardmäßig laufen, um per mDNS/DNS-SD automatisch Netzwerkdrucker zu finden. Mit Hilfe der verbesserten Seccomp-Infrastruktur, die der am Sonntag freigegebene Linux-Kernel 3.5 enthält, wollen die Entwickler virtuelle Maschinen besser absichern.

Bislang haben die Fedora-Entwickler somit über fünfzig größere Neuerungen für Fedora 18 geplant. Die Frist zum Einreichen neuer Features läuft heute ab. Der Feature Freeze ist für den 7. August geplant; eine erste Alpha soll Ende August erscheinen. (thl)