Ubuntu: UEFI Secure Boot mit Grub 2
Beim Start per UEFI Secure Boot will Canonical nun doch nicht Efilinux, sondern Grub 2 nutzen. Damit gleichen sich die Pläne zur Unterstützung von UEFI Secure Boot bei Fedora, Suse und Ubuntu weiter an.
Canonical-Mitarbeiter Jon Melamut hat in einem Blog-Eintrag erklärt, dass Ubuntu 12.10 den standardmäßig genutzten Boot-Loader Grub 2 auch beim Systemstart per UEFI Secure Boot nutzen soll. Ursprünglich hatte das Unternehmen den Einsatz von Efilinux vorgesehen, da das Unternehmen bedenken hatte, die von Grub 2 genutzten Verbreitungslizenz GPLv3 könnte Canonical unter gewissen Bedingungen zur Veröffentlichung des Signaturschlüssels zwingen. In Diskussionen mit der Free Software Foundation (FSF), die das Copyright an Grub 2 hält, habe Canonical aber erfahren, dass diese Gefahr nicht besteht.
Damit gleichen sich die Pläne zur Unterstützung von UEFI Secure Boot bei Fedora, Suse und Ubuntu weiter an: Alle Distributionen werden auf Systemen den Mini-Boot-Loader Shim nutzen, der einen selbst signierten Grub 2 lädt, der dann wiederum den Linux-Kernel startet. Shim soll dabei mit einem Schlüssel von Microsoft signiert werden, sodass die UEFI-Firmware diese Distributionen auch im Secure-Boot-Modus startet.
Den Kernel und die Kernel-Module will Ubuntu allerdings – anders als Fedora und Suse – nicht signieren. Zumindest bei Fedora sollen zudem einige Kernel-Änderungen sicherstellen, dass der Kernel auch keine unsignierten Module laden und kein anderes Betriebssystem (etwa per Kexec) starten kann; einem so gestarteten Windows ließe sich sonst vorspielen, es sei per UEFI Secure Boot gestartet worden, während im Hintergrund Schadsoftware arbeitet. Ohne eine solche weitergehende Absicherung des Systems, so die Befürchtung, könnte Micosoft den verwendeten Bootloader auf eine Blacklist setzen, den die Firmware dann bei aktivem Secure Boot nicht mehr starten würde. (thl)
