Linux Foundation umgeht UEFI auf Windows 8

Martin Schindler,

Es ist möglicherweise die Lösung für ein weitreichendes Problem. Über eine neue Software können auch kleinere Linux-Distributionen zusammen mit Windows 8 auf Geräten installiert werden.

Microsoft nennt die Technologie UEFI auch Secure Boot und die verhindert, dass Schadsoftware auf einem Rechner, auf dem Windows 8 installiert ist, gebootet werden kann. Leider fallen für das Unified Extensible Firmware Interface auch kleinere oder selbstgeschriebene Linux-Distributionen unter diese Kategorie, sofern diese nicht über bestimmte Schlüssel verfügen. Über Versign bietet Microsoft diese Keys für eine einmalige Gebühr von 50 Dollar an.

Damit will Microsoft in erster Linie Schadprogramme daran hindern, sich selbst auf den Geräten zu installieren. Gerade in der Open Source Szene war dieser Schritt Microsofts ein emotional diskutiertes Thema.

Jetzt hat die Linux Foundation möglicherweise eine Lösung für das Dilemma in Form einer kostenlosen Software vorgestellt. James Bottomley, Mitglied im Board der Foundation, hat jetzt eine kurze Beschreibung für diese Software geliefert.

Derzeit verfolgen die großen Distributionen wie Suse oder auch Red Hat mit Fedora eigene Wege, die eigenen Betriebssysteme auf die Windows-8-Rechner zu bringen. Sie verwenden dazu einige Kniffe, wie zum Beispiel signierte Kernel oder spezielle Workarounds. Für kleinere Hersteller jedoch stehen solche Möglichkeit außer Reichweite.

Derzeit beschränkt Microsoft UEFI auf ARM-Rechner und damit auf die Version RT. Doch werden möglicherweise auch größere Hardware-Hersteller dieses Feature installieren. Damit wären Linux-Distributionen auf Windows-8-Rechnern nicht mehr lauffähig.

Die zusammen mit dem Schlüssel kostenlos angebotene Lösung der Linux Foundation sieht nun folgendermaßen aus. Der von Microsoft zur Verfügung gestellte Key wird zusammen mit einem Pre-Boot-Loader gestartet, wenn der Rechner hochgefahren wird. Dieser Pre-Boot-Loader lädt wiederum einen weiteren Boot-Loader und dieser fährt dann schließlich die gewünschte Linux-Distribution hoch. Um Sicherheitsbedenken zu umgehen, muss der Nutzer eine Eingabe machen, um den Pre-Boot-Loader zu starten.

Allerdings weiß auch Bottomley, dass diese Technologie die Sicherheit nicht unbedingt steigert. “Der Pre-Bootloader in seiner derzeitigen Form, stellt keine Sicherheitsverbesserungen gegenüber einem Linux-Boot-Vorgang ohne UEFI-Secure-Boot. Er dient lediglich dem Ziel, Linux auch auf Plattformen zu booten, die Secure Boot aktiviert haben.”

Daher empfehle die Linux Foundation auch den größeren Distributoren, weiterhin UEFI im vollen Umfang zu nutzen, um einen Rechner zu schützen.