Fedora 18 „umgeht“ Secure-Boot mithilfe von Microsoft-Signatur

UEFI mit Secure Boot, das für Windows 8 zur Voraussetzung für zahlreiche Hardware wird, zieht weitere Kreise um sich. Matthew Garrett hat sich zu der Problemlösung für Fedora 18 geäußert.

Nachdem Microsoft schon im Herbst letzten Jahres ankündigte, dass Secure Boot eine Voraussetzung für Windows 8 wird, hagelte es große Kritik und Bedenken durch die Open Source-Community. Dabei ging es vor allem um die Frage, ob man Linux noch auf Mainboards mit UEFI 2.3.1 installieren kann. Denn durch Secure Boot wird standardmäßig nur zertifizierte Software gestartet.

Fedoralogo

Matthew Garrett, Mitarbeiter von RedHat, hat sich jetzt in seinem Blog über eine Lösung des Problems in Fedora 18 geäußert 🇬🇧. Eines nimmt er gleich vorweg: x86 Hardware wird die Möglichkeit besitzen, Secure Boot zu deaktivieren beziehungsweise einen eigenen Schlüssel hinzuzufügen, aber beides will Garrett den Benutzern nicht zumuten.

Einerseits sei deshalb über Red Hat die Möglichkeit gegeben, einen eigenen generischen Schlüssel in die meiste Hardware zu integrieren. Das hätte zur Folge, dass nur Fedora davon profitiert. Alternativ bräuchte man eine eigene, dabei teure und aufwendige, Zertifizierungs-Infrastruktur für Linux-Distributionen.

Daher schlägt Garrett vor, den offiziellen „Zertifizierungsservice“ von VeriSign für ein Entgelt von 99 US-Dollar (umgerechnet circa 80 Euro) zu nutzen. Mit diesem Schlüssel ist es dann möglich, beliebig viel Software zu markieren. In Fedora 18 wird aber nur ein spezieller und kleiner Bootloader zertifiziert, der wiederum zum Beispiel GRUB 2 lädt. So will man mehr Unabhängigkeit erreichen, da ansonsten bei jedem Update von GRUB eine neue Zertifizierung nötig sei. Zusätzlich dazu müsse jegliche Möglichkeit, die es erlaubt „beliebige“ Software zu starten, deaktiviert werden. Beispielsweise soll GRUB in dem Maße verändert werden, dass man nur noch zertifizierte Kernel booten kann, wobei der Schlüssel natürlich auf Richtigkeit überprüft werden muss.

Darüber hinaus hat das auch Auswirkungen auf den Linux-Kernel an sich. Denn jeder Teil dessen, der vom User space direkt auf die Hardware zugreifen kann, muss dadurch entfernt werden. Resultierend wird es in Zukunft, so Garrett, zum Beispiel keine Graphikkartentreiber mehr geben, die im User space ausführbar sind. Als weiteres Szenario führt er einen signierten Kernel, der wiederum ein unsigniertes Modul lädt, auf. Dieses Modul täusche dann eine neue UEFI-Umgebung vor und bindet sich in den Bootloader ein. Danach würde man noch einen initramfs benötigen, das wiederum Malware in Form eines Moduls nachlädt. Das verzögere den Start zwar um ein paar Sekunden, sei aber prinzipiell möglich. Deshalb ergibt sich die Notwendigkeit, dass auch alle Kernelmodule zertifiziert werden müssen. Bei Modulen aus dem Fedora-Repository wird das passieren, problematisch könnte es hier wieder bei fremden Modulen werden – eine distributionsunabhängige Lösung steht noch aus. Ansonsten könnte es seiner Meinung nach zu einem „Treiber-Chaos“ zwischen den einzelnen Distributionen kommen. Aber auch hier weist er nochmals explizit darauf hin, dass diese Einschränkungen durch Deaktivieren von Secure Boot nicht mehr greifen.

Wenn dies alles nicht passiert, hätte man den Nutzen, also den Schutz vor Malware, von Secure Boot umgangen. Somit könnte man diese Funktion direkt vom Benutzer deaktivieren lassen, was, wie weiter oben bereits erwähnt, problematisch ist. Zusätzlich werfe dies kein gutes Licht auf Linux.

Für kleine Distributionen oder „Kernelkompilierer“ findet er die 99 US-Dollar für ein Zertifikat angemessen. Die weiteren Tools werden außerdem für jeden zugänglich und nutzbar sein. So gibt es den Quellcode des kleinen Bootloaders auf github 🇬🇧. Anderweitig weist er auf die Freiheit hin, die UEFI-Schlüssel beliebig anzupassen und zu erstellen. Man kann also bestimmen, welche Software man verwenden will, und so beispielsweise auch Windows „aussperren“.

Bei ARM-Hardware ist es komplizierter, weil Microsoft nicht die Möglichkeit vorsieht, Secure Boot zu deaktivieren oder die Schlüssel beliebig anzupassen. Fedora wird deshalb diese Geräte nicht unterstützen. Wobei das Problem seiner Ansicht nach nicht so groß sein wird, bedingt durch die geringere Verbreitung von Windows auf ARM-Hardware.

Matthew Garrett sieht dies als die momentan beste Lösung an, fügt gleichzeitig jedoch hinzu: „dies ist nicht in Stein gemeißelt“. In den Kommentaren wird aber wieder sehr deutlich klar: Das Thema wird weiterhin hitzig diskutiert und wird uns wohl noch einige Zeit beschäftigen – unabhängig von Fedora.

Quellen: Golem, heise, Pro-Linux, Matthew Garrett 🇬🇧 , PC World 🇬🇧

Veröffentlicht von chris34 | 5. Juni 2012 21:20 | Kategorie: Linux und Open Source | # Fehler im Artikel melden

Sanoij	1 5. Juni 2012 21:39 Verstehe nur ich die Überschrift falsch/anders, oder passt die Überschrift nicht zum Text? Bei der Überrschrift denke ich, dass Fedora die Signatur von MS/also von Windows benutzt, damit es mit Fedora keine Probleme gibt. In dem Artikel klingt es dann aber irgendwie doch ganz anders.
Sanoij	2 5. Juni 2012 21:40 sorry für den Doppelpost, aber es gibt keine Bearbeitenfunktion, oder? Jedenfalls stimmt mit dem Satz auch irgendwas nicht "Aber auch hier weißt er nochmals explizit darauf hin, diese Einschränkungen greifen durch Deaktivieren von Secure Boot nicht mehr."
chris34 Ikhaya- und Webteam	3 5. Juni 2012 21:46 @1: du verstehst die Überschrift schon richtig bis auf den kleinen Teil: „also von Windows“. Microsoft bietet auch die Möglichkeit sich einen eigenen Schlüssel erstellen zu lassen, der ist dann aber nicht identisch mit dem von Windows. @2: gut, da ist ein Fehler drinnen, gleich mal ausbessern… Nächstes mal bitte die Rechtschreibfehler melden-Funktion benutzen (unter dem Artikel, rechts)
DerHans	4 5. Juni 2012 21:49 Schutz vor Malware bracuht doch meist eh nur Windows!
Sanoij	5 5. Juni 2012 22:35 aber im Text steht auch nichts davon, dass Fedora den Schlüssel von Microsoft bekommt. Vielleicht verwirrt mich auch einfach das "umgeht" in der überrschrift. Ich dachte, dass fedora irgendeinen Trick anwendet.. Aber offenbar verwenden Sie einfach den von MS vorgesehen weg? Scheinbar verstehe ich zu wenig von der Materie, als dass ich die Informationen im Artikel verstehen und sinnvoll mit der Überschrift verknüpfen kann. Dachte die Rechtschreibfehler-Funktion ist nur für echte Rechtschreibfehler und nicht für verwurschtelte Sätze. Danke für die Info.
bt90	6 5. Juni 2012 22:48 Eines nimmt er gleich vorweg: x86 Hardware wird die Möglichkeit besitzen, Secure Boot zu deaktivieren beziehungsweise einen eigenen Schlüssel hinzuzufügen, aber beides will Garrett den Benutzern nicht zumuten. Aber dieser Signierwahnsinn ist dann keine Zumutung? Da bastelt man vielleicht etwas am System und nichts geht mehr,weil man ein unsigniertes Kernelmodul geladen hat oder ein Treiber nicht verwendet werden kann. Vor allem befürchte ich,dass es wie immer laufen wird: - die Hardwarehersteller kochen wie immer ihr eigenes Süppchen - das System wird irgendwann doch wieder anfällig - die Unterstützung für Linux wird die nächsten 3-5 Jahre maximal Beta Qualität haben
Developer92	7 5. Juni 2012 23:07 Also die Überschrift Fedora 18 „umgeht“ Secure-Boot mithilfe von Microsoft-Signatur irritiet wirklich ein wenig. Da klingt es so, als hätte man mithilfe der Microsoft-Signatur SecureBoot irgendwie umgangen. In Wirklichkeit nutzt man aber ein Zertifikat um Linux booten zu lassen. Nichts illegales, kein Hack, keine Schwachstelle im System. Eher der Zwang etwas für den normalen User vollig sinnfreies zu unterstützen. Ich hatte hier auf etwas gehofft, das (wiedermal) beweisen würde, wie leicht man SecureBoot bereits umgehen kann. Leider war dem nicht so ☹ mfg
Phantom1005	8 6. Juni 2012 00:32 Also für mich ist es immer noch ein Grund weswegen ichnicht ein neues Motherboard kaufe. Das ist nicht ausgegoren die sache, auch nicht von der Microssoft seite. Lasst einfach Zeit und schaut wie sich das Entwickelt! Vielleicht gibt es dann ebend Absatz einbrüche weil so schnell keiner Umsteigt womit man gezwungen wäre das noch mal zu über denken.Wer unbedingt so ein neues Motherboard brauch muss sich halt dann ebend gedanken machen das kein Linux drauf läuft. Hab mein Pc erst letztes Jahr aufgerüstet also werde ich es nicht so schnell nochmal machen.
Kristall	9 6. Juni 2012 06:25 Das habe ich jetzt nicht ganz verstanden: Also wofür genau soll man 99$ bezahlen? Und muss das dann jeder zahlen, der sich beispielsweise die neueste Ubuntu-Version herunterlädt oder nur der Anbieter der Distribution einmal? -Kristall
uschwarzweisu	10 6. Juni 2012 10:45 Ist das jetzt eigentlich nur für Desktop-Nutzer interessant oder wird das auf Server-Ebene auch noch spannend?
Linuxwilli	11 6. Juni 2012 11:15 @4: Nein, Schutz braucht grundsätzlich jedes Betriebssystem. Hier geht es darum, das Linux nicht als einfache "Brechstange" oder Einfallstor für eben diese Malware in ein Windows oder Linuxsystem missbraucht wird. Auch ein Linuxsystem kann Malware-verseucht sein. Es gibt keinen 100% Schutz.
Newubunti	12 6. Juni 2012 11:24 @1: & @7: +1! Die Überschrift ist IMO falsch. Fedora umgeht eben gerade Secure Boot nicht, sondern kauft sich ein Zertifikat bzw. lässt sich einen Schlüssel zertifizieren, so dass es sich auch auf Boards mit aktiviertem Secure Boot problemlos installieren lässt. Das ist schlicht und einfach die Nutzung des Weges, der momentan für die Nutzung eines Betriebssystems im Zusammenspiel mit Secure Boot vorgesehen ist. Gruß, Martin
lupopa	13 6. Juni 2012 11:31 Ich weiß nicht wieso, aber irgendwie klingt mir das dannach, das MS sich noch die Rechte an der Hardware sichert die überall hergestellt wird um so da auch das Monopol drauf zu bekommen... Klasse... wenn ich das so richtig verstanden habe... Dann fahre ich halt meine alte Kiste hier bis nix mehr geht, und dann is schluss mit der Computerei ☺ oder so...
ubukus	14 6. Juni 2012 13:27 Ich verstehe die Sache nicht so ganz. Lt. Heise wird die neue Hardware mit ausschaltbarem UEFI angeboten. Wozu muß man dann da noch was umgehen?
Newubunti	15 6. Juni 2012 14:30 @14: Ich denke mal, Du meinst abschaltbares Secure Boot im UEFI. Das soll es laut MS so geben. M. Garrett steht auf dem Standpunkt, dass es dem Nutzer aber nicht zuzumuten sei oder er es den Fedora-Nutzter nicht zumuten möchte, ins UEFI zu gehen und Secure Boot dort zu deaktivieren. Vielleicht befürchtet er auch, dass diese Abschalt-Option nicht oder nicht sauber von Hardwareherstellern implementiert werden wird. Und noch mal: Fedora umgeht nichts, sondern ordnet sich viel mehr den Vorgaben von Secure Boot unter. Secure Boot ist ja auch an sich nichts schlechtes. Problematisch ist halt nur die Art der Implementierung und wie die Vergabe der Schlüssel erfolgt. Gruß, Martin
Küchenschabe	16 6. Juni 2012 15:43 Die Überschrift ist mir egal. Ich habe eher angst vor dem Grundproblem das MS irgendwann die Hardwarehersteller soweit haben das man nur noch Windoof benutzen kann und ansonsten kein anderes OS mehr funktionieren würde.
micha141076	17 6. Juni 2012 16:20 @16: soweit wird es bestimmt nicht kommen. dafür haben wir auf der welt genug demokratie.
Bordi	18 6. Juni 2012 17:44 In meinen Augen schlägt Fedora einen komplet falschen weg ein. In tat und Wahrgeit ist es ebe nicht wie bt90 @6 meint. Nein die HW Hersteller kochen nicht ihr eigenes Süpchen, sie versuchen HW zu verkaufen, und sich von der Konkurenz abzuheben. Wen möglichst viel verkaufen will, muss auch Crossplatform entwickeln (auch das wissen die HW Herstller). Allerdings gibt es einen unterschied zwischen verkauften Mengen, und Geld verdienen. Das wiessen auch viele Politiker und CEO's. Daher werden Standards manchmal auch zu gunsten der Zahlungkräftigeren/Verkaufskräftigeren Gelgebern geändert. Der Handel mit Litzenzen und Patenthandel kommt da noch dazu. Fedora hätte besser gehandelt, zu versuchen einen Standard für Opensource Betriebsystem zu finden. Da alle Distro's zusammen eine gewisse Masse ergene, lässt sich dami bei den Herstellern wenigstens auch was anfangen. Bisher backt baer jede Distro ihr eigenes Brötchen. Das ist pures Gift für die Markstärke von Linux.
Barock	19 6. Juni 2012 18:32 Zum Thema eine Unterschriftensammlung der Free Software Foundation, die Computerhersteller dazu anhält, Secure Boot auf eine Weise zu implementieren, dass Freie Betriebssysteme trotzdem problemlos installiert werden können: http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/ Gruß
ubukus	20 6. Juni 2012 18:49 @15: Wie gesagt, gibt's einen bei Heise einen Artikel dazu. Wenn ich dessen Kernaussage richtig verstanden habe, ist es momentan schwieriger, UEFI ein - statt aus zu schalten. Davon mal ganz abgesehen. Wenn so ein Schlüssel tatsächlich 99 US Doller kostet, kann man Linux auch in einer VM auf einem Windows 8 Wirt betreiben, denke ich.
Hiswif	21 6. Juni 2012 19:23 Also ich sehe das ganze inzwischen eher als rechtliches Problem. Ich glaube nicht das eine Gängelung wie sie durch den secure Boot mechanismus in der Hardware bestehen wird, in Europa lange bestand haben wird. Zumindest die deaktivierung dieser Funktion sollte bei allen Hardwareherstellern in betracht gezogen werden. Erinnern wir uns ein paar jahre zurück, dann hat Microsoft schonmal eines Aufn Deckel bekommen wegen dem WMP und dem IE. Ich glaube schon das sich einige ihre Rechte auch einklagen werden und das im Endeffekt, wenn keine deaktivierung vom Secure Boot möglich ist, die Hardware für den europäischen Markt in geänderter Form vorliegen muss, eben mit deativierungsoption. Wenn ich es richtig verstehe soll die vergabe der Lizensschlüssel bei MS liegen? Bitte korrigiert mich wenn ich da falsch liege. Dies verstößt doch sicherlich gegen Wettbewerbsgesetze, da MS den kontrahenten die Lizens einfach verweigern könnte? aber des bleibt alles abzuwarten, ich glaube nicht das es zu der Umsetzung kommen wird, das auf Win8 Zertifizierten Rechner nur MS Systeme laufen, und wenn dann finden einige schon ne Lösung. Da vertaue ich ganz auf den freien Geist und die Intelligenz derer, die Systeme wie Ubuntu entwickeln. Was mir allerdings aufstößt ist die Behauptung das meine Daten dadurch sicherer werden. Das ist einfach nur Grütze. Wem ist nichtschonmal sein Windows abgeschmiert und lies sich nichtmehr starten. Wer war da nicht froh über ein linuxbasiertes Rettungssystem seine Daten zu sichern. Dies alles würde dann komplett wegfallen.
Newubunti	22 6. Juni 2012 19:50 @20: Dann hast Du wahrscheinlich nicht richtig verstanden, worum es geht: UEFI ist ungleich Secure Boot. Secure Boot ist eine Erweiterung von UEFI, die sich speziell um das sichere Booten des Bootloaders eines Betriebssystems kümmert. Das was Du meinst - so wie ich Dich verstehe - ist das Wechseln zwischen UEFI-Modus und dem BIOS-Kompatibilitäts-Modus. Da geht es grundlegend darum, ob ein System im UEFI-Modus oder im BIOS-Kompatibilitäts-Modus bootet. Dieses Problem hat mit Secure Boot erst mal nichts zu tun. Systeme bei denen im UEFI auch Secure Boot vorhanden ist, gibt es AFAIK im Moment noch gar nicht zu kaufen. Die werden erst mit Windows 8 auf den Markt kommen oder auch schon davor. Und die 99,- US Dollar zahlt nicht der Kunde, sondern einmalig der Betriebssystem- bzw. Distributions-Hersteller für die Zertifizierung seines Bootloaders für Secure Boot. Darüber hinaus soll man laut Microsoft aber Secure Boot auch komplett deaktivieren können und dann braucht der Hersteller des Betriebssystems auch nicht die 99,- Dollar für das Zertifikat zahlen. IMO muss man da also mal abwarten, was da letztendlich beim Kunden ankommt. @19: Wenn es so kommt, wie MS es in ihrem Whitepaper beschreiben, dann wird die Installation von anderen Betriebssystemen möglich sein, weil Secure Boot abschaltbar sein soll. Gruß, Martin
DPITTI	23 6. Juni 2012 22:35 Ich sage nur eins Hackintosh lässt grüßen 😉 Das ist doch alles nur Geld Schneiderei oder nicht?
Bordi	24 7. Juni 2012 08:08 @19 Das ist eine gute idee, aber der Brief solle an die Importeure & Verteiler. Die bestimmen wo es lang geht. Bedenke das deren Sortiment, und damit auch das der belieferten Endkundenlieferanten (Händler) zu 2/3 bis 3/4 aus Software und Lizenzen zu und für Windows besteht. Entgegen der Hardware ist Software sehr lukrativ. Microsoft und die HW Hersteller können und werden schön-reden, und auch versuchen das in den Griff zu bekommen, aber wen deren direkte Kundschaft (Importeure & Verteiler) druck macht, sieht es anders aus. Das chaos birgt immerhin gewinnbringende verteile, die opensource bei weitem nicht bieten kann.
kaputtnik	25 7. Juni 2012 15:11 Ich verstehe das ganze gezetere um Secure Boot nicht. Es soll doch ein Betriebssystem vor Malware schützen, oder? Wie viel Malware gibt es, die so tief ins BS eingreift? Schützt das vor irgendwelchen Viren und Würmern die im Userspace laufen? Und sicherlich ist es nur eine Frage der Zeit, bis Möglichkeiten gefunden werden, das ganze auszuhebeln. Das Geld wird für Linux-Systeme sicherlich auf die User umgelegt. Dann kostet ein Linux-System eben 50 Cent oder so...
neubuntuser	26 7. Juni 2012 22:26 @19: danke für den Link! Das ist das einzig sinnvolle, was man jetzt tun kann.
pol9pol8pol	27 9. Juni 2012 07:54 Die bauen auch immer mehr Scheiße. Warscheinlixh machen sie das, weil sie bemerkr haben das win8 nit soooooo gut angekommen ist und jetzt angst vor apple/linux haben. Und wer sich dann einen win8 kauft (man muss ja gar nix von der Scheiße wissen) und dann am ar*** ist , naja ... Hatte mich schon auf einen aufschwung gefreut, wenn steam für linx kommt und win8. (wer wissen will wieso steam, der liest die kommis unter dem uu Artikel. ... PS: wer was zum lachen braucht ( über windoof) sucht mal auf youtbe.com nach microsof bob (6 teile sind da on und sie sind von semper video). Ich lag mind. 5 min. Unterm Schreibtisch und hatte nen Lachflash 😉
pol9pol8pol	28 9. Juni 2012 07:59 @21 bei deinem letzten Satz komme auch ich ins grübeln. Da hätte ich ja gar keine Dateien mehr!!!
konstin	29 9. Juni 2012 19:57 Ich finde der Artikel sollte so verändert werden, dass er so verständlich wie @22 ist.