Secure-Boot-Loader der Linux-Foundation erhältlich

Der von der Linux Foundation vorangetriebene Mini-Bootloader zum Start von Linux auf Secure-Boot-PCs ist nun in einer abgespeckten Version verfügbar. Möglicherweise wird er mit dem Mini-Bootloader Shim zusammengelegt.

In Pocket speichern vorlesen Druckansicht 74 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Thorsten Leemhuis

Der Kernel-Entwickler James Bottomley hat im Auftrag der Linux Foundation einen von Microsoft signierten Mini-Bootloader veröffentlicht, den typische Windows-8-PCs durch die Signatur als vertrauenswürdig einstufen und daher auch bei aktivem Secure Boot starten. Matthew Garrett, der Hauptentwickler des schon länger erhältlichen Secure-Boot-Loaders Shim hat zur Vorstellung angekündigt, einige der im Mini-Bootloader der Linux Foundation enthaltene Funktionen in Shim integrieren zu wollen.

Der Mini-Bootloader von der Linux Foundation startet Linux nicht selbst, sondern ruft normalerweise andere Boot-Loader auf, die wiederum Linux in Gang bringen; der Anwender muss dabei bestätigen, dass er dem zweiten Bootloader und dem Kernel vertraut. Die Hash-Werte der beiden kann der Mini-Bootloader bei der Firmware hinterlegen und sich so merken, welche Kernel und Bootloader der Anwender bereits autorisiert hat; das vermeidet wiederholte Abfragen.

Wie Bottomley in der Ankündigung des signierten Boot-Loader erläutert, hat er allerdings das Modul KeyTool.efi außen vor lassen müssen, mit dem sich Verifikationsschlüssel der Firmware nachrüsten lassen sollten. Microsoft hatte im Rahmen der Prüfung zum Signieren festgestellt, dass sich über dieses Modul ein Fehler in der UEFI-Firmware eines Hardware-Herstellers ausnutzen lässt, mit dem man Secure Boot hätte aushebeln können; bis zu einer Lösung des Problems soll dieses Modul daher außen vor bleiben. Bottomley hat auch ein Image zum Transfer auf USB-Sticks veröffentlicht, mit dem man seinen Mini-Bootloader ausprobieren kann.

Bottomley, der Mitglied des Technical Advisory Board der Linux Foundation ist, hatte den im Oktober angekündigten Secure-Boot-Loader in den vergangenen zwei Monaten erheblich umgebaut, damit er auch Boot-Loader wie den im vorigen Sommer vorgestellten Gummiboot unterstützt. Details zu der neuen Arbeitsweise liefert Bottomley in den Präsentationsfolien eines Vortrags, den er kürzlich auf der linux.conf.au gehalten hat; ein Video des Vortrags ist über die Webseite der Konferenz als MP4 oder OGV abrufbar.

Shim-Hauptentwickler Matthew Garrett erläutert in einem Blog-Eintrag, wie sich Shim und der Mini-Bootloader der Linux Foundation seiner Ansicht nach unterscheiden. Letzterer habe an einer Stelle ein besseres Benutzerinterface und nutze zum Start von Bootloadern und Kernel UEFI-Techniken, um Gummiboot und Co. unterstützen zu können. Garrett erwähnt, diese Funktionen auch in Shim integrieren zu wollen. Wie Bottomley in einem Blog-Kommentar erklärt, überlegen die zwei Entwickler zudem, ob sie die beiden Mini-Bootloader für Secure Boot zusammenlegen.

Zum Einsatz von Linux auf PCs mit Secure Boot siehe auch:

(thl)