Auflagen für Secured-Core-PC verhindern Linux-Boot
Dass Linux-Systeme nicht auf Lenovo-Rechnern starten, liegt wohl an Bedingungen von Microsoft. Die sind aber weder öffentlich noch abgestimmt.
Mit der Initiative der Secured-Core-PCs und dem speziell dafür erstellten Security-Chip Pluton will Windows-Hersteller Microsoft die Sicherheitsarchitektur der Rechner auf Jahre verändern. Im Fall eines Thinkpad z13 von Lenovo führt dies aber dazu, dass Linux-Systeme offenbar nicht standardmäßig booten. Linux-Entwickler Matthew Garrett schreibt nun unter Berufung auf Lenovo in seinem Blog, das liege an bestimmten Bedingungen der Secured-Core-PCs-Initiative von Microsoft.
Der Grund dafür, dass die Linux-Systeme standardmäßig nicht booten, ist technisch der, dass der von Microsoft für Secure Boot erstellte CA-Schlüssel für Dritte nicht von der Firmware akzeptiert wird. Damit signierten Systemen wie Linux-Distributionen wird somit der Start verweigert. Microsoft forciert dies offenbar bei seinen Partnern der Secured-Core-PCs.
Diese Bedingungen sind laut Garrett außer durch das eine Dokument von Lenovo aber nicht öffentlich bekannt und wohl auch nicht mit der Linux-Community abgestimmt, obwohl Microsoft und die Linux-Distributoren seit Jahren zu Fragen rund um die Technik UEFI-Secure-Boot zusammenarbeiten. Immerhin signiert Microsoft die Bootloader der Distributionen, nachdem der Hersteller im Jahr 2012 die Unterstützung von Secure Boot als Voraussetzung für seine OEM-Partner einführte. Und die Community habe für diese Zusammenarbeit zahlreiche Anstrengungen unternommen, so Garrett.
Der Entwickler kommentiert die aktuelle Situation so: “Wenn also Microsoft, der selbsternannte Verwalter des UEFI-Secure Boot-Ökosystems, eine Kehrtwende macht und sagt, dass ein Haufen Binärdateien (…), die von Microsoft signiert wurden, jetzt von Microsoft als unsicher angesehen werden, ist das, ähm, irgendwie unhöflich? Vor allem, wenn ungeprüfte herstellersignierte Binärdateien immer noch als vertrauenswürdig gelten, obwohl überhaupt keine externe Überprüfung durchgeführt wird.”
Diese für die Linux-Community und -Nutzer eher unschöne Situation könne leicht durch Microsoft gelöst werden, indem das Unternehmen klare Regeln aufstelle, die auch von der der Community eingehalten und umgesetzt werden könnten. Dazu könnten auch zusätzliche Überprüfungen gehören, schlägt Garrett vor. Doch die bisherigen Entscheidungen seien ohne jede Rücksprache mit wichtigen Beteiligten umgesetzt worden, so Garrett.
Der Beitrag Auflagen für Secured-Core-PC verhindern Linux-Boot erschien zuerst auf Linux-Magazin.