Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 53, views: 19.856 •

Een voormalige softwaredeveloper van Red Hat heeft de Shim-bootloader vrijgegeven. Door deze bootloader in een Linux-distributie op te nemen, wordt het mogelijk om deze te installeren en te booten op systemen die secure boot gebruiken, bijvoorbeeld pc's met Windows 8.

De Shim-bootloader is ontwikkeld door developer Matthew Garrett. Shim maakt gebruik van een tweetraps-systeem: eerst wordt de Shim-bootloader gestart om vervolgens de second stage Grub2-bootloader in te laden. Daarbij is Shim voorzien van een handtekening die wordt geaccepteerd door een uefi met een ingeschakelde secure boot-functie waardoor Grub2 is te activeren.

Shim is volgens Garrett met name bedoeld voor Linux-distributies die niet het traject bij Microsoft willen doorlopen om een bootloader van de benodigde handtekening te voorzien. Ontwikkelaars kunnen de Shim-bootloader in een map op het installatiemedium plaatsen en deze van een eigen sleutel voorzien. Nadat de gebruiker deze sleutel bij het installatieproces heeft geaccepteerd, kan op een computer waarop secure boot is ingeschakeld de betreffende Linux-distributie geïnstalleerd worden.

Secure boot is een beveiligingsmechanisme voor het bootproces dat onder andere door Windows 8 wordt ondersteund. Linux-ontwikkelaars hebben zich in allerlei bochten moeten wringen om hun distributies zo aan te passen dat de bootloaders van de juiste handtekeningen zijn voorzien of om het secure boot-proces te omzeilen. Desondanks is het op pc's en laptops die secure boot ondersteunen mogelijk om deze feature in de uefi uit te schakelen.

Reacties (53)

Zucht,

Heb even wat reacties gelezen en het staat (zoals gebruikelijk) bij dit onderwerp weer vol met FUD. En de Tweakers.net redactie zelf doet daar gezellig aan mee met opmerkingen als "Linux-ontwikkelaars hebben zich in allerlei bochten moeten wringen om hun distributies zo aan te passen dat de bootloaders van de juiste handtekeningen zijn voorzien of om het secure boot-proces te omzeilen"

Laat ik maar eens wat feiten noemen.
Niemand dwingt Linux distributies om Secure boot te gebruiken. Het is een keuze. En aangezien Secure boot gewoon een goede stap vooruit is een keuze die veel Linux distributies graag willen maken

Want wat is secure boot. Secure boot is een methode om af te dwingen dat een OS tijdens het boot proces enkel goede code uitvoert. Dit betekent dat Malware zich niet in het bootproces kan nestelen. Dit is goed voor elk OS (aangezien elk OS malware kan hebben) en betekent dat het verwijderen van die malware een stuk makkelijker wordt. Ik kan me goed voorstellen dat bedrijven gaan afdwingen dat al de door hun gebruikte computers secure boot gebruiken omdat het simpelweg een beveiligings risico wegneemt.

Dus Linux distributies willen Secure boot ook graag gebruiken. Dat levert problemen op. Want waar UEFI makers niet om Microsoft heen kunnen, is het landschap qua Linux distributies veel meer verdeeld. Met een sleutel voor Red Hat kan je nog geen Ubuntu of Slackware installeren. Ook is het zo dat iedere hercompilatie van de kernel met andere drivers weer een andere key gaat opleveren.

Dat probleem is echter inherent aan de linux gemeenschap en is natuurlijk niet direct een probleem voor Microsoft. Toch is er vanuit Microsoft meegedacht. Allereerst heeft men voor voor Intel systemen de eis toegevoegd dat Secure boot ook uitgeschakeld kan worden. Aangezien juist die intel systemen gebruikt worden voor alternatieve OSen en dit bij andere hardware platformen nauwelijks gebeurd (zie de iPad of je TV, beide bieden geen ondersteuning voor alternatieve OSen) is dit gewoon een goede stap. Oude OSen en custom kernels blijven dus bruikbaar.

Maar zoals gezegd ook Linux distributies willen graag gebruik maken van Secure boot. Echter is het voor Linux distributies veel lastiger om alle UEFI makers zo gek te krijgen kun key in het UEFI op te nemen. Men zou kunnen samenwerken via de linux stichting, of grote partijen als Red Hat zouden een poging kunnen wagen maar dat kost tijd, veel geld en inspanning. Ook hier is Microsoft behulpzaam. Voor een redelijk bedrag en onder bepaalde voorwaarden (vergelijkbaar met een SSL certificaat) kan je een key krijgen die getekend is met de Microsoft key die in alle UEFI's aanwezig is. Hiermee kunnen alle Linux distributies, maar ook BSD, Beos of je eigen OS gebruik maken van UEFI zonder bij alle UEFI fabrikanten langs te hoeven.

Dus kort gezegd.
1. Secure boot is goed.
2. Linux ontwikkelaars moeten helemaal niet gebruik maken van secure boot. Ze willen het echter wel graag.
3. Microsoft maakt het voor iedere OS bouwer mogelijk een OS te bouwen wat aan de regels voor secure boot voldoet
4. De kosten van een key via Microsoft zijn niet extreem hoog.

Mogelijk zal tweakers ooit een keer zelf een artikel schrijven over het hoe en waarom van secure boot. Tot die tijd kan ik alleen maar mijn hoofd schudden over al de paniekerige reacties en FUD die hier verspreid wordt.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Gamecontrollers Smartphones Sony Microsoft Apple Games Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013