Home / LinuxUser / 2012 / 07 / Editorial 07/2012

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

Nicht schon wieder

Editorial 07/2012

26.06.2012

Sehr geehrte Leserinnen und Leser,

Sie erinnern sich bestimmt: Ende letzten Jahres schlug die Diskussion um Microsofts Hardware-Vorgaben zu Windows 8 hohe Wellen. Um das Windows-8-Pickerl auf ihre Geräte kleben zu können, sollten die PC-Hersteller zwingend UEFI Secure Boot implementieren und die Rechner entsprechend voreingestellt ausliefern [1]. Dies hätte ohne weitere klare Vorgaben schlicht bedeutet, dass jedes andere Betriebssystem als Windows 8 auf einem neuen PC sich nicht mehr hätte starten lassen.

Inzwischen hat Microsoft auf die massive Kritik an diesen Vorgaben reagiert und die Vorgaben für die Windows-8-Zertifizierung modifiziert – und das sogar in einer Art und Weise, die jeden Ansatzpunkt zur Kritik von vorne herein ausräumt. So fordert die gültige Spezifikation anders als frühere Versionen [2] explizit, dass der Benutzer sowohl die Option haben muss, UEFI Secure Boot zu deaktivieren, als auch – im sogenannten Setup Mode – eigene Schlüssel einzuspielen [1]. Microsoft schreibt den Hardware-Herstellern also jetzt zwingend vor, dass sie ihre System auch für andere Betriebssysteme in jeder Weise offen zu halten haben. Den Linux-Endanwender entlastet dieses Prozedere von allen Sorgen: Im Zweifelsfall deaktiviert er einfach Secure Boot und startet, was immer er will.

Freilich lässt sich weiterhin trefflich darüber streiten, ob es sich bei UEFI Secure Boot speziell bei Windows nicht nur um ein Security-Placebo handelt: Der Angriffsvektor über den Bootvorgang spielt in der aktuellen Windows-Malware-Landschaft kaum noch ein Rolle, und das Ökosystem des Microsoft-Betriebssystems ist mittlerweile derart löchrig, dass Angreifer ihren Schadcode inzwischen sogar schon per Windows-Update automatisch verteilen [3] – ein ideales Einfallstor auf einem Betriebssystem, das in der Voreinstellung Updates automatisch einspielt, ohne das dem Benutzer auch nur mitzuteilen oder gar ihn um Erlaubnis zu fragen.

Fraglos ist UEFI Secure Boot aber generell eine gute Idee, riegelt das Verfahren doch ein potenzielles Einfallstor ab, das anderenfalls weiter offen stünde – auch unter Linux. Allerdings müssen die Spielregeln beim sicheren Booten für alle Wettbewerber die gleichen sein, und freie Software darf sich in dieser lebenswichtigen Hinsicht keinesfalls vom kommerziellen Quasimonopolisten Microsoft abhängig machen. In dieser Frage fällt jetzt eine Organisation der Linux-Gemeinschaft in den Rücken, von der man das wohl am allerwenigsten erwartet hätte: das Fedora-Projekt. Der Red-Hat-Entwickler Matt Garrett schlägt namens Fedora allen Ernstes vor, Fedora ab dem Release 18 mit einem ausgerechnet von Microsoft signierten Bootloader auszustatten ([4],[5]).

Das begründet Garrett letztlich damit, dass es organisatorisch praktisch unmöglich und zu teuer sei, einen einheitlichen Schlüssel für Linux zu verwalten. Sich von Microsoft die Dateien über deren Sysdev-Portal signieren zu lassen, sei mit einem Kostenpunkt von 99 US-Dollar die günstigste Lösung, und das könnten ja auch die anderen Distributionen so handhaben. Selbst Nutzern, die den Kernel selbst kompilieren wollen, stehe dieser Weg offen. Einmal davon abgesehen, dass es sich bei den 99 Dollar (die übrigens Verisign als Schlüsselverwalter kassiert, nicht Microsoft) laut Angabe der Sysdev-Website um ein "zeitlich beschränktes Angebot" handelt und die Signierung eigentlich 499 Dollar kostet: Garretts Behauptung, es gäbe in der Linux-Welt niemanden, der die Verwaltung eines globalen Schlüssels für Linux übernehmen und finanzieren könne, ist geradezu haarsträubend.

Es existiert bereits seit langem eine zentrale, weltweite Linux-Organisation, die als zwei ihrer Kernziele "Protecting and Supporting Linux Development" und "Improving Linux as a Technical Platform" nennt und damit ideal für diese Aufgabe prädestiniert erscheint. Zudem nimmt die selbe Organisation allein von ihren sieben Hauptsponsoren jährlich 3,5 Millionen US-Dollar ein, dutzende weitere namhafte Technologiefirmen zahlen ebenfalls ein. Die Rede ist – sie haben es sicher schon erraten – von der Linux Foundation [6], in der neben den großen Linux-Distributoren Canonical, Suse und Red Hat unter anderem auch die Industriegrößen Dell, Fujitsu, IBM, HP, NEC, Samsung, Toshiba Mitglied sind. Hier sitzt also alles unter einem Dach, was man braucht, um einen für die Linux-Welt einheitlichen Boot-Schlüssel zu erstellen, zu verwalten und sogar direkt – wie das Microsoft-Pendant – in die Firmware der Rechner bereits gebrauchsfertig integriert auszuliefern.

Eine einheitliche, von der Linux Foundation bereitgestellte Zertifizierungsstelle würde nicht nur mit einem Schlag eine ganze Reihe technischer Probleme beseitigen, sondern gleichzeitig auch vermeiden, dass Linux künftig nur noch von Microsofts Gnaden bootet – und auf Letzteres wollen wir uns doch wohl kaum verlassen, oder? 

Infos

[1] Microsoft-Vorgaben: http://msdn.microsoft.com/en-us/library/windows/hardware/jj128256

[2] Editorial 12/2011: Jörg Luther, "Schlüssel-Frage", LU 12/2011, S. 3, http://www.linux-community.de/24547

[3] "Flame" kam per Windows-Update: http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-man-middle

[4] Fedora 18 und UEFI Secure Boot: http://www.linux-magazin.de/NEWS/So-soll-Fedora-18-Secure-Boot-und-UEFI-meistern

[5] Blogeintrag von Matt Garrett: http://mjg59.dreamwidth.org/12368.html

[6] Linux Foundation: http://www.linuxfoundation.org

Tip a friend    Druckansicht Bookmark and Share
Kommentare

599 Hits
Wertung: 143 Punkte (5 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...