Im Gummiboot gegen den Mainstream

Gebloggt: Systemd integriert Secure-Boot

| Autor / Redakteur: Thomas Drilling / Thomas Drilling

Drillings Open-Source-Eck
Drillings Open-Source-Eck (Bild: Thomas Drilling)

Am Wochenende ging in Belgien die Fosdem, eine der inzwischen wichtigsten Open-Source-Veranstaltungen über die Bühne. Unter den zahlreichen Vorträgen stach besonders jener der beiden bei Red Hat beschäftigten deutschen Programmierer Lennart Poettering und Kay Sievers hervor. Demnach plant das systemd-Projekt, den UEFI-Bootloader Gummiboot zu integrieren.

Da sich systemd nicht nur bei Red Hat und Fedora, sondern inzwischen in vielen namhaften Distribution als Sys-V-Init-Ablöser etabliert hat  - in der Debian-Gemeinde hat der Disput über systemd sogar zu einem Fork geführt und sogar Canonical will sein eigenes upstart künftig zugunsten von systemd fallen lassen -  ist die Nachricht durchaus bedeutsam für die Linux-Welt. Insbesondere im Lichte der NSA-Enthüllungen.

Poettering  und Sievers sind sich angesichts der Snowden-Enthüllungen einig, dass Rechner und Rechenzentren sicherer werden müssten. Angesichts der Verbreitung von Linux in Rechenzentren der Welt kann Secure Boot laut Poettering einen wichtigen Beitrag dazu leisten, was die anwesenden Zuhörer allerdings offenbar mit einem Murren quittierten. Lennart Poettering ist der Initiator und treibende Kraft hinter sytemd,  Kay Sievers der Hauptentwickler des  UEFI-Bootloader Gummiboot.

UEFI-Secure-Boot ist unerlässlich und keine MS-Schikane

Mit dem Schritt wollen die beiden Entwickler künftig sicherstellen, die vollständige für Secure Boot erforderliche Sicherheitskette umsetzen zu können. Laut Poettering sei Secure Boot entgegen der mehrheitlichen Meinung der Linux-Community keine Microsoft-Erfindung zur Behinderung von Linux, sondern eigne sich tatsächlich gut, den eigenen Rechner mit eigenen Schlüsseln abzusichern. Nur Sercure-Boot-Schlüssel könnten sicherstellen, dass ausschließlich selbst signierte Treiber geladen und gestartet würden. Poettering schob auch gleich ein Beispiel nach. So könnte beispielsweise wirkungsvoll verhindert werden, dass etwa der Treiber eines Keylogger geladen wird.

Wie Gummiboot und systemd kommunizieren

Die beiden Entwickler erläuterten in Ihrem Vortrag von vergangenen Wochenende auch, wie das Integrieren von  Gummiboot in die  systemd-Werkzeugsammlung funktionieren soll. Demnach soll das Verwenden von Gummiboot eine Option bleiben, damit Anwender bei Bedarf auch andere Lösungen integrieren könnten. Allerdings unterstütze momentan nur Gummiboot die Spezifikationen der Systemd-Schnittstelle.

Laut Poettering müssten dazu aber auch die Userspace-Programme von systemd mit Gummiboot kommunizieren müssten, damit die Sicherheitskette von Secure Boot aufrecht erhalten werden kann. Mit Bootctl gäbe es bereits ein Tool, das verschiedene Informationen wie zum Beispiel den Secure Boot Status anzeige könne.