Gebloggt: Systemd integriert Secure-Boot

Da sich systemd nicht nur bei Red Hat und Fedora, sondern inzwischen in vielen namhaften Distribution als Sys-V-Init-Ablöser etabliert hat  – in der Debian-Gemeinde hat der Disput über systemd sogar zu einem Fork geführt und sogar Canonical will sein eigenes upstart künftig zugunsten von systemd fallen lassen –  ist die Nachricht durchaus bedeutsam für die Linux-Welt. Insbesondere im Lichte der NSA-Enthüllungen.

Poettering  und Sievers sind sich angesichts der Snowden-Enthüllungen einig, dass Rechner und Rechenzentren sicherer werden müssten. Angesichts der Verbreitung von Linux in Rechenzentren der Welt kann Secure Boot laut Poettering einen wichtigen Beitrag dazu leisten, was die anwesenden Zuhörer allerdings offenbar mit einem Murren quittierten. Lennart Poettering ist der Initiator und treibende Kraft hinter sytemd,  Kay Sievers der Hauptentwickler des  UEFI-Bootloader Gummiboot.

UEFI-Secure-Boot ist unerlässlich und keine MS-Schikane

Mit dem Schritt wollen die beiden Entwickler künftig sicherstellen, die vollständige für Secure Boot erforderliche Sicherheitskette umsetzen zu können. Laut Poettering sei Secure Boot entgegen der mehrheitlichen Meinung der Linux-Community keine Microsoft-Erfindung zur Behinderung von Linux, sondern eigne sich tatsächlich gut, den eigenen Rechner mit eigenen Schlüsseln abzusichern. Nur Sercure-Boot-Schlüssel könnten sicherstellen, dass ausschließlich selbst signierte Treiber geladen und gestartet würden. Poettering schob auch gleich ein Beispiel nach. So könnte beispielsweise wirkungsvoll verhindert werden, dass etwa der Treiber eines Keylogger geladen wird.

Wie Gummiboot und systemd kommunizieren

Die beiden Entwickler erläuterten in Ihrem Vortrag von vergangenen Wochenende auch, wie das Integrieren von  Gummiboot in die  systemd-Werkzeugsammlung funktionieren soll. Demnach soll das Verwenden von Gummiboot eine Option bleiben, damit Anwender bei Bedarf auch andere Lösungen integrieren könnten. Allerdings unterstütze momentan nur Gummiboot die Spezifikationen der Systemd-Schnittstelle.

Laut Poettering müssten dazu aber auch die Userspace-Programme von systemd mit Gummiboot kommunizieren müssten, damit die Sicherheitskette von Secure Boot aufrecht erhalten werden kann. Mit Bootctl gäbe es bereits ein Tool, das verschiedene Informationen wie zum Beispiel den Secure Boot Status anzeige könne.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.