Die Sicherheitstechnologie UEFI verhindert, dass unsignierte Programme auf einem Rechner gestartet werden. Walware aber auch andere Programme, wie zum Beispiel Linux-Betriebssysteme können so nicht booten.

Jetzt haben Linux-Entwickler Technologien vorgestellt, wie Linux dennoch auf einem Windows-8-PC booten kann. Ein Ansatz kommt von der Linux Foundation (LF), ein weiterer von dem Entwickler Matthew Garrett. Letzterer weist in einem Blog auf die Gemeinsamkeiten hin: “Wir haben jetzt zwei verfügbare signierte Bootloader.” Seine eigene Methode sei es, den Linux-Starter unterzuschieben; sie werde aktuell von Fedora, Opensuse und Ubuntu genutzt. “Der LF Loader ist eine andere Lösung für das gleiche Problem.”

Den wichtigsten Unterschied sieht er darin, dass “der LF-Loader auf kryptografischen Hashes statt auf signierten Schlüsseln basiert. Dies bedeutet, dass der Nutzer jedesmal einen Hash zur Liste der zugelassenen Binärdateien hinzufügen muss, wenn der Bootloader oder Kernel aktualisiert wird.” Das könne nur direkt am jeweiligen Rechner durchgeführt werden und sei für den Anwender mühsam.

Allerdings habe die Methode auch Vorteile: “Wenn man auf Hashes setzt, braucht man keine Signaturen-Infrastruktur. Distributionen können also Secure Boot unterstützen, ohne ihren Build-Prozess zu modifizieren.” Diesen Fall deckt zwar auch Garretts “Shim”- oder Unterschieb-Methode ab, “aber der LF Loader hat eine schönere Oberfläche”.

An seinem eigenen Bootloader kritisiert Garrett, er dupliziere den kompletten Code der Firmware fürs Laden, Validieren, Verschieben und die Ausführung. “Das ist notwendig, weil die UEFI-Spezifikation keinen Mechanismus vorsieht, um zusätzliche Authentifizierung einzufügen. Der größte Nachteil besteht nun darin, dass die Standard-UEFI-Aufrufe LoadImage() und StartImage() unter Shim nicht funktionieren.” Der LF-Loader dagegen hänge sich auf der untersten Schicht der Sicherheitsarchitaktur ein und installiere seine eigenen Steuerprogramme, sodass Standard-UEFI-Schnittstellen weiter nutzbar seien. Deshalb könne man anwenderfreundliche Bootloader wie Gummiboot oder efilinux ohne Modifikation nutzen.

Garrett integriert nun nach eigenen Angaben die Oberfläche und den Security-Code des LF Loader in seine Shim-Lösung. Ziel ist es, “einen Loader zu erstellen, der den Anforderungen aller Anwendungsfälle genügt.” Dies begrüßt auch James Bottomley, der an der Lösung der Linux Foundation mitgearbeitet hat. “Wir befassen uns damit, ob eine Verschmelzung möglich ist. Der Knackpunkt dürfte die Sicherheitsüberprüfung sein.”

Keine der Lösungen funktioniert übrigens auf ARM-basierter Hardware wie dem Microsoft-Tablet Surface RT, bei dem erst ein Jailbreak nötig wäre, um Linux – etwa Android – zu installieren. Sowohl die Linux Foundation als auch Garrett konzentrieren sich ausschließlich auf die x86-Plattform. Sie hoffen, in wenigen Monaten eine einfache Linux-Installation beispielsweise von einem USB-Stick aus ermöglichen zu können.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

6 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

6 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago