Matthew Garrett hat in seinem Blog beschrieben, wie Distributionen durch
die Arbeit von Fedora und openSUSE das Secure-Boot-Problem lösen
können.
»UEFI Secure Boot« ist eine Funktion kommender PCs, die von
Microsoft von den Herstellern gefordert wird, die das Windows-8-Logo erhalten
wollen. Ist sie eingeschaltet, so lädt das BIOS nur Komponenten, die
eine gültige kryptografische Signatur tragen. Dazu müssen im BIOS
Schlüssel hinterlegt sein. Auf PCs wird Secure Boot über das BIOS
abschaltbar sein, auch die Schlüssel sind änderbar. Dennoch ist es das
Ziel der meisten Linux-Distributionen, auf allen Rechnern lauffähig zu
sein, ohne dass BIOS-Einstellungen geändert werden müssen.Matthew Garrett von Fedora hatte schon Anfang Juni beschrieben, wie Fedora die Situation handhaben will. Laut seinem aktuellen Blog-Eintrag
hat der Plan immer noch weitgehend Bestand. Dieser Plan besteht darin,
einen kleinen Bootloader namens Shim einzusetzen, der den
Fedora-Schlüssel enthält. Dieser Bootloader soll von Microsoft signiert
werden, was die Bootfähigkeit in allen PCs sicherstellt, die den
Microsoft-Schlüssel im BIOS enthalten - das werden voraussichtlich so
gut wie alle sein.
Das Signieren des Bootloaders schlägt einmalig
mit knapp 100 US-Dollar zu Buche und stellt damit für Fedora kein
Problem dar. Für kleinere Distributionen ist es hingegen keine Lösung.
Diese Distributionen haben nach Garrett mehrere Optionen. Sie können von
den Benutzern verlangen, Secure Boot zu deaktivieren, was nicht ideal
und wegen der nicht standardisierten Oberfläche auch nicht für jeden
einfach ist. Sie könnten die Benutzer auch auffordern, die Schlüssel aus
dem BIOS zu löschen, womit der Rechner in den Setup-Modus gebracht
wird, und dann neue Schlüssel anlegen. Auch das ist nicht einfach.
Die
beste Alternative scheint die Verwendung eines signierten Bootloaders
zu sein, der eine eigene Schlüsseldatenbank verwaltet, eine Idee, die
von Opensuse
entwickelt wurde. Der Bootloader kann seine Schlüsselverwaltung frei
implementieren, auch das Laden von Schlüsseln vom Dateisystem
ermöglichen und vieles mehr. Zudem wäre die Oberfläche für die
Schlüsselverwaltung einheitlich im Gegensatz zu den Implementierungen im
UEFI-BIOS.
Garrett hat jetzt den Code von Opensuse in seinen eigenen Bootloader Shim
integriert, wobei er noch kleinere Änderungen vornahm. Die wichtigste
davon betrifft das Verhalten, wenn er einen nachgeordneten Bootloader
findet, dessen Schlüssel er nicht kennt. Statt einfach den Ladevorgang
abzubrechen, erscheint eine Oberfläche, die es ermöglicht, eine
Schlüsseldatei zu laden. Der Nachteil dieses Verfahrens besteht für
andere Distributionen lediglich darin, dass sie die unmodifizierte
Binärdatei des Fedora-Bootloaders übernehmen müssen. Dies könnte für
einige Distributionen wie Debian aus prinzipiellen Gründen unakzeptabel
sein, für einige andere jedoch eine willkommene Verbesserung.