UEFI Secure Boot: Eigene Schlüssel unter Linux hinzufügen

Über den Bootloader Shim sollen sich eigene Secure-Boot-Schlüssel für Linux in einer Datenbank hinterlegen lassen. Andere Linux-Distributionen benötigen dann nur noch den signierten Shim-Loader von Fedora.

Artikel veröffentlicht am ,
Eigene Schlüssel können zu Shim hinzugefügt werden.
Eigene Schlüssel können zu Shim hinzugefügt werden. (Bild: Suse)

Angeregt durch einen Vorschlag von Suse-Mitarbeitern hat Matthew Garrett eine Funktion in den Bootloader Shim eingebaut, die es ermöglicht, eigene Secure-Boot-Schlüssel zu nutzen. Diese werden statt in der Firmware einfach in einer Schlüsseldatenbank innerhalb von Shim abgelegt. So ist es theoretisch für alle Distributionen ausreichend, den für Fedora signierten Shim-Loader in das Installationsmedium zu übernehmen.

  • Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)
Illustration von Secure-Boot mit Shim und eigener Schlüssel-Datenbank (Bild: Suse)

Shim selbst wird wie vorgesehen den von Microsoft bereitgestellten Schlüssel zur Verifikation nutzen. Auf Shim folgende Bootloader wie Grub2 können mit einem distributionseigenen Schlüssel gestartet werden, sofern sich dieser in der Shim-Datenbank befindet.

Sollte ein Schlüssel, zum Beispiel bei einer Installation, noch nicht in der Datenbank vorhanden sein, erscheint ein von Garrett implementiertes GUI. Dieses ermöglicht es, neue Schlüssel in der Datenbank zu hinterlegen. Nach einem Neustart soll sich der neue Schlüssel dann nutzen lassen.

Ein Shim für alle - oder nicht?

Garrett zufolge hat die neue Funktion in Shim den Vorteil, dass auch kleine Distributionen Secure-Boot verwenden können, ohne sich bei Microsoft um eine Signatur bemühen zu müssen. Die einzigen Alternativen wären, auf Secure-Boot zu verzichten oder den Platform-Key in der Firmware durch einen eigenen zu ersetzen. Beides habe klare Nachteile, so Garrett.

Sollten sich Distributionen für diesen Weg entscheiden, könnten sie jedoch Shim nicht selbst kompilieren. Stattdessen muss der signierte Binärcode von Fedora verwendet werden. Garrett ist klar, dass das "inakzeptabel für Distributionen wie Debian sein wird", es sei aber eine Hilfe für andere Distributionen, vor allem für kleine Projekte.

Der Quellcode von Shim mit den Änderungen ist auf Github hinterlegt. Der Bootloader wird standardmäßig in Fedora 18 integriert werden. Ob und welche Distributionen künftig den Shim-Loader von Fedora verwenden werden, ist noch offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Canonical
Ubuntu wechselt zurück zu Grub 2
artikel-bild
Linuxboot
Google und Facebook ersetzen Server-UEFI mit Linux
artikel-bild
Spielebranche
Unity eröffnet Niederlassung in Berlin
Meistgelesen
artikel-bild
Rebel Moon - Teil 2
Sternenkrieg um einen Bauernhof
artikel-bild
Ghost Shark
Australien zeigt Prototyp einer riesigen Unterwasserdrohne
artikel-bild
Altstore für iPhones ausprobiert
So wenig Spaß macht die Installation alternativer Appstores
Kommentarübersicht
Re: Woran erkennt man einen PC mit SecureBoot?
zilti 09. Okt 2012

Der Witz an der Sache ist ja, dass es nicht Opt-In ist, sondern wohl manchmal nicht...

Re: "nakzeptabel für Distributionen wie Debian"
evilchen 09. Okt 2012

Na UEFI wird doch als Sicherheitsfeature FÜR den User verkauft. Damit werden ja gar keine...

Re: Secure Boot = null Sicherheitsgewinn?
robinx999 09. Okt 2012

Wirklich effektiv verstecken kann sich ein echtes Rootkit nur wenn es vor dem Kernel...

heisst das jetzt, dass . . .
Anonymer Nutzer 08. Okt 2012

. . . mit UEFI jeder Nutzer dann registriert ist, mit dem System das er anwendet - durch...

Aktuell auf der Startseite von Golem.de
Rebel Moon - Teil 2
Sternenkrieg um einen Bauernhof

Rebel Moon: Teil 2 trägt den Untertitel Die Narbenmacherin, hat in unserer Erinnerung aber keinerlei Spuren hinterlassen.
Eine Rezension von Daniel Pook

Rebel Moon - Teil 2: Sternenkrieg um einen Bauernhof
Artikel
  1. Momentum Sport im Test: Das wichtigste Versprechen löst Sennheiser nicht ein
    Momentum Sport im Test
    Das wichtigste Versprechen löst Sennheiser nicht ein

    Was bringen Fitnessfunktionen in einem Hörstöpsel? Diese Frage klären wir in diesem Test und lenken unseren Blick darauf, ob Sennheiser die Momentum Sport für den sportlichen Einsatz optimiert hat.
    Ein Test von Ingo Pakalski und Peter Steinlechner

  2. Ghost Shark: Australien zeigt Prototyp einer riesigen Unterwasserdrohne
    Ghost Shark
    Australien zeigt Prototyp einer riesigen Unterwasserdrohne

    Die Royal Australian Navy hat zusammen mit Anduril Ghost Shark vorgestellt, eine U-Boot-Drohne, die Aufklärungs-, Überwachungs- und Erkundungsmissionen durchführen soll.

  3. Delta im Alt Store: Endlich lässt sich Zelda auf dem iPhone spielen - per Umweg
    Delta im Alt Store
    Endlich lässt sich Zelda auf dem iPhone spielen - per Umweg

    Emulatoren für Retrogames waren auf iOS lange nicht erwünscht. Nun lassen sich erstmals ROMs mit Apples Erlaubnis auf das iPhone laden.
    Ein Hands-on von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • BenQ Mobiuz 27" WQHD/165 Hz 229€ • Spring Sale bei Gamesplanet • Neuer MediaMarkt-Flyer • MindStar: AMD Ryzen 5 5600 99€ und Ryzen 7 7800X3D 339€ • Samsung Galaxy S23 -37% • Alternate: Patriot Viper Venom 64-GB-Kit DDR5-6000 206,89€ • PS5-Spiele -75% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /