[Allgemein] Secure Boot für kleine Distributionen

  • Matthew Garrett hat in seinem Blog beschrieben, wie Distributionen durch
    die Arbeit von Fedora und openSUSE das Secure-Boot-Problem lösen
    können.


    »UEFI Secure Boot« ist eine Funktion kommender PCs, die von
    Microsoft von den Herstellern gefordert wird, die das Windows-8-Logo erhalten
    wollen. Ist sie eingeschaltet, so lädt das BIOS nur Komponenten, die
    eine gültige kryptografische Signatur tragen. Dazu müssen im BIOS
    Schlüssel hinterlegt sein. Auf PCs wird Secure Boot über das BIOS
    abschaltbar sein, auch die Schlüssel sind änderbar. Dennoch ist es das
    Ziel der meisten Linux-Distributionen, auf allen Rechnern lauffähig zu
    sein, ohne dass BIOS-Einstellungen geändert werden müssen.Matthew Garrett von Fedora hatte schon Anfang Juni beschrieben, wie Fedora die Situation handhaben will. Laut seinem aktuellen Blog-Eintrag
    hat der Plan immer noch weitgehend Bestand. Dieser Plan besteht darin,
    einen kleinen Bootloader namens Shim einzusetzen, der den
    Fedora-Schlüssel enthält. Dieser Bootloader soll von Microsoft signiert
    werden, was die Bootfähigkeit in allen PCs sicherstellt, die den
    Microsoft-Schlüssel im BIOS enthalten - das werden voraussichtlich so
    gut wie alle sein.
    Das Signieren des Bootloaders schlägt einmalig
    mit knapp 100 US-Dollar zu Buche und stellt damit für Fedora kein
    Problem dar. Für kleinere Distributionen ist es hingegen keine Lösung.
    Diese Distributionen haben nach Garrett mehrere Optionen. Sie können von
    den Benutzern verlangen, Secure Boot zu deaktivieren, was nicht ideal
    und wegen der nicht standardisierten Oberfläche auch nicht für jeden
    einfach ist. Sie könnten die Benutzer auch auffordern, die Schlüssel aus
    dem BIOS zu löschen, womit der Rechner in den Setup-Modus gebracht
    wird, und dann neue Schlüssel anlegen. Auch das ist nicht einfach.
    Die
    beste Alternative scheint die Verwendung eines signierten Bootloaders
    zu sein, der eine eigene Schlüsseldatenbank verwaltet, eine Idee, die
    von Opensuse
    entwickelt wurde. Der Bootloader kann seine Schlüsselverwaltung frei
    implementieren, auch das Laden von Schlüsseln vom Dateisystem
    ermöglichen und vieles mehr. Zudem wäre die Oberfläche für die
    Schlüsselverwaltung einheitlich im Gegensatz zu den Implementierungen im
    UEFI-BIOS.
    Garrett hat jetzt den Code von Opensuse in seinen eigenen Bootloader Shim
    integriert, wobei er noch kleinere Änderungen vornahm. Die wichtigste
    davon betrifft das Verhalten, wenn er einen nachgeordneten Bootloader
    findet, dessen Schlüssel er nicht kennt. Statt einfach den Ladevorgang
    abzubrechen, erscheint eine Oberfläche, die es ermöglicht, eine
    Schlüsseldatei zu laden. Der Nachteil dieses Verfahrens besteht für
    andere Distributionen lediglich darin, dass sie die unmodifizierte
    Binärdatei des Fedora-Bootloaders übernehmen müssen. Dies könnte für
    einige Distributionen wie Debian aus prinzipiellen Gründen unakzeptabel
    sein, für einige andere jedoch eine willkommene Verbesserung.


    Aus: Pro-Linux

    ___________________________________________________________________________________
    Zypper Befehlsreferenz

    Für den Inhalt des Beitrages 47022 haftet ausdrücklich der jeweilige Autor: lush