Seit Monaten schwelt eine netzpolitisch durchaus brisanten Diskussion in der Online-Community: Mit Windows 8 soll es für die Hardwarehersteller möglich werden - von Haus aus - nur mehr mit einem offiziellen Schlüssel gezeichnete Systemimages zum Boot zuzulassen. Das Ganze nennt sich UEFI Secure Boot und hat wenig überraschend gerade im Open-Source-Bereich für einige Aufregung gesorgt. Denn während etwa einem vorinstallierten Windows durch diesen Schutzmechanismus unleugbare Vorteile entstehen, ist es für alternative Betriebssysteme aufgrund ihrer hohen Diversität nicht so einfach diesen Mechanismus zu nutzen.

Boot

Fedora-Entwickler Matthew Garrett, der sich diesem Thema in den letzten Monaten in aller Ausführlichkeit gewidmet hat, schlägt in einem aktuellen Blog-Eintrag nun zumindest für die eigene Distribution eine Lösung vor: So soll für Fedora 18 ein eigener, minimaler Boot-Loader entwickelt werden, den man sich dann von Microsoft signieren lässt. Dieser hat einzig die Aufgabe die Autorisierung gegenüber UEFI Secure Boot zu übernehmen und leitet dann gleich an den eigentlichen Linux-Bootloader - also Grub2 - weiter.

Einschränkungen

Um die Vorteile von UEFI Secure Boot nicht zu untergraben, will man dafür Grub2 in einigen Punkten beschränken. So sollen etwa künftig keine Grub-Module mehr nachgeladen werden können, auch der Zugriff auf die Kommandozeile des Bootloaders soll beschränkt werden. Außerdem müssten alle Module des Kernels signiert werden, was natürlich für externe Software problematisch werden könnte.

Auswege

Für solche Fälle will man Tools anbieten, um Kernel-Module selbst signieren zu können. Alternativ steht natürlich noch immer das vollständige Deaktivieren von UEFI Secure Boot zur Wahl, auf dessen Sicherheitsvorteile muss man damit natürlich verzichten. (red, derStandard.at, 01.06.12)