Linux Foundation veröffentlicht eigenen Bootloader

UEFI Secure Boot hat jetzt zwei Bootloader

PC-Hersteller, die eine Zertifizierung für Windows 8 in Form eines Aufklebers haben möchten, müssen der UEFI-Spezifikation inklusive Secure Boot entsprechen. Linux-Distributoren müssen sich auf diese neue Sicherheitsvorgabe einstellen, um ihren Nutzern weiterhin neben Windows auch die Installation von Linux zu ermöglichen.

Matthew Garrett, der sich bereits von Beginn an mit UEFI und Secure Boot beschäftigt, hatte Anfang Dezember seinen Pre-Loader Shim für Secure Boot vorgestellt, den er von Microsoft hatte signieren lassen. Die Aufgabe des kleinen Programms ist es, beim Start des Rechners mittels des signierten Schlüssels, der im System abgelegt ist, den eigentlichen Bootloader – heute findet meist GRUB 2 Verwendung – zu verifizieren. Shim wird mittlerweile von OpenSuse, Fedora, Ubuntu und einigen kleineren Distributionen eingesetzt.

Vor einigen Tagen hat jetzt die Linux Foundation mit dem LF-Loader ihren eigenen Pre-Loader veröffentlicht. Auch dieser, von James Bottomley, Kernel-Entwickler und Mitglied des Technical Advisory Board der Linux Foundation, geschriebene Pre-Loader ist von Microsoft signiert. Zur Verifizierung des eigentlichen Bootloaders und zusätzlich des Kernels setzt der LF-Loader aber nicht auf signierte Schlüssel sondern auf kryptografische Hashes. Hier liegt auch laut Garrett der größte Nachteil des LF Loader, denn wenn eine Distribution ihren primären Bootloader oder den Kernel aktualisiert, muss ein neuer Hashwert eingetragen werden, wozu der Anwender physisch anwesend sein muss. Solche Aktualisierungen können, je nach Distribution, relativ häufig vorkommen.

Aber auch Shim hat potenzielle Nachteile, wie Garrett selbst erläutert. Da die UEFI-Spezifikation keine Möglichkeit vorsieht, zusätzliche Authentifikationsmechanismen hinzuzufügen, werden bei Shim große Teile des UEFI-Firmware-Codes zwangsweise dupliziert. Garrett wird nun versuchen, die Vorteile des LF-Loaders, wie etwa die bessere grafische Integration in das UEFI-Design und die Sicherheitsfunktionen, in Shim einzubauen, um so das Beste beider Lösungen zu erhalten.

Mehr zum Thema