ubuntuusers.de

UEFI, Secure Boot und die Ubuntu-Strategie

ubuntu_logo.png

Microsofts Forderung an Hardware-Hersteller, künftig Secure Boot standardmäßig zu aktivieren, hat in der Linux-Community vergangenes Jahr einen lauten Aufschrei ausgelöst. Nachdem Fedora einen Weg gefunden hat, damit umzugehen, hat nun auch Canonical eine Strategie parat.

Das Problem mit Secure Boot liegt darin, dass nur Betriebssysteme, die digital signiert wurden und deren Schlüssel im jeweiligen UEFI hinterlegt ist, gestartet werden. Die Anforderung von Microsoft bezieht sich auf Hersteller, die für ihre Systeme eine Windows-8-Zertifizierung erhalten möchten und könnte bedeuten, dass der Start von Linux auf solchen Geräten unmöglich oder zumindest erschwert wird, da hierfür Secure Boot abgeschaltet werden muss.

Fedora sieht für sich einen Weg darin, den eigenen Bootloader von Microsoft zertifizieren zu lassen, sodass dieser auf jeder Hardware gestartet werden kann, die über den Microsoft-Schlüssel verfügt – was für alle Windows-8-zertifizierten Systeme zutreffen wird.

Canonical 🇬🇧 nun möchte einen anderen Weg gehen, wie aus dem Dokument Ubuntu BIOS/UEFI Requirements (PDF) ⮷ hervorgeht: Man möchte eigene Schlüssel bereitstellen und die eigene Software selbst signieren. Hardware-Hersteller sollen die Schlüssel in ihre Systeme integrieren und damit die von Canonical signierten Bootloader ohne Eingriffe starten können. Weiterhin sollen die Hersteller die Aufnahme weiterer Schlüssel erlauben, um Anwendern die Möglichkeit zu geben, selbst angepasste Systeme zu starten.

Damit verfolgt Canonical einen ähnlichen Ansatz wie Microsoft. Da allerdings bislang kein Indiz dafür besteht, dass Canonical auch Bootloader anderer Hersteller signieren wird, könnte ein Ubuntu-zertifiziertes System grundsätzlich weniger offen sein, als ein Windows-8-zertifiziertes, wie der Red-Hat-Mitarbeiter Matthew Garrett ausführt 🇬🇧.

Insgesamt gibt es sowohl im Windows- als auch im Linux-Umfeld wenig Erfahrung mit Secure Boot. Die Ansätze reichen nun vom Abschalten der Funktion über die Nutzung von Microsofts Signier-Dienst bis zur Bereitstellung eigener Schlüssel, die in Rechner-Systeme integriert werden sollen. Wie der Start eines Linux-Systems mit Secure Boot in einem Jahr aussieht, bleibt abzuwarten. Wenn Secure Boot ausgeschaltet wird, gibt es hingegen keine gravierenden Änderungen.

Quelle: Golem.de