Ubuntu bekommt von Microsoft signierten Loader für Secure-Boot-Systeme
Um Ubuntu auf Rechnern mit aktivem UEFI Secure Boot starten zu können, will Canonical künftig einen von Microsoft signierten Urloader und Intels Bootloader efilinux verwenden -- und auf signierte Kernel und Kernelmodule verzichten.
Nachdem sich Mark Shuttleworth am vergangenen Mittwoch gegen Fedoras Pläne zum Booten von Linux auf Rechnern mit aktiviertem UEFI Secure Boot ausgesprochen hat, veröffentlichte Canonical am heutigen Freitag Details zur Technik.
Ein Einsatz von Grub 2, wie ihn das Fedora-Projekt plant, kommt für Ubuntu aufgrund der Verbreitungslizenz GPLv3 nicht in Frage, da Canonical gezwungen wäre, auch den Signaturschlüssel zu veröffentlichen. Deshalb soll es künftig ein zweistufiges Bootkonzept geben, bei dem der Rechner zunächst einen einfachen, von Microsoft signierten Loader startet. Dieser prüft dann, ob der eigentliche Bootloader, efilinux von Intel, vom Ubuntu-Projekt signiert ist und startet ihn. Hier soll die Signaturkette dann auch enden, signierte Kernel-Images und -Module solles bei Ubuntu auch zukünftig nicht geben.
Hersteller, die ihre Rechner für Ubuntu zertifizieren wollen, werden den Ubuntu-Signaturschlüssel direkt in der UEFI-Firmware zusätzlich zum Microsoft-Key einspeichern müssen: Da Bootmedien nach der Ubuntu-Spezifikation lediglich mit einem Schlüssel signiert sein können, stellt Canonical so sicher, dass auch Ubuntu-zertifizierte Rechner weiterhin von den Ubuntu-Installationsmedien booten können. (mid)
