Uefi 2.3.1 – Kontaktaufnahme mit Uefi.org – bislang Fail ^^

Der Vollständigkeit halber poste ich hier mal meine Email die ich vor einiger Zeit an Uefi.org geschrieben habe. Ich nehme nicht an, dass ich da drauf noch ne Antwort bekomme ;-).

Gesendet 26.09.2011 12:16:10
An: admin@uefi.org
Betreff: Booting only from signed Operating Systems

Dear Sir!
Dear Madam!

I hope you can tell my something about the new „feature“ in Uefi V2.3.1, which only boots signed OS.

Is it true, that only operating systems -which are allowed (signed)- can be booted / alter the bootsector?
What about Linuxdistributions like Debian, Ubuntu…? Will they be „kicked“ out, because they are not signed?
Who decides which OS will be signed and „is allowed“ to boot?

Yours faithfully

Uefi 2.3.1 – go home „Linux?“

In Zusammenhang mit einem vorhergehenden Artikel, gibt es nun neuen (Zünd?-)stoff in Sachen „Uefi“.

Angeblich scheint es wirklich so zu sein, dass es nicht signierten OS einfach nicht erlaubt werden soll, den Bootsector zu ändern bzw. zu booten. Ganz klar ist die Situation jedenfalls sicher noch nicht.

Auch wenn ich davon ausgehe, dass die Sache im Moment nur hochgespielt wird und es am Ende hoffentlich dem User überlassen wird, ob er diese Sicherheitsoption aktiviert oder nicht, bleibt ein fader Beigeschmack.

Sagt und MS wirklich schon, was wir auf den PC installieren dürfen und was nicht? Viel Wirbel um nichts, oder doch der Anfang vom Ende der freien Betriebssystemwahl…

Interessanter Artikel zu diesem Thema: http://mjg59.dreamwidth.org/5850.html, welcher folgende Fakten? in den Raum stellt:

  • Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
  • Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we’ve already been informed by hardware vendors that some hardware will not have this option.
  • Windows 8 certification does not require that the system ship with any keys other than Microsoft’s.
  • A system that ships with UEFI secure boot enabled and only includes Microsoft’s signing keys will only securely boot Microsoft operating systems.

Ich habe Uefi.org mal eine Email geschrieben. Bin gespannt ob etwas retour kommt…

 

Windows 8 sperrt Linux Bootloader aus?

Glauben kann ich das im Moment noch nicht wirklich. Wie jedoch zu lesen ist, kann in den noch nicht sehr verbreiteten neuen Biosvarianten (UEFI) offenbar eine Funktion aktiviert werden, die den Start von nicht signierten Bootloadern verhindert.

Geht man nun davon aus, dass nur MS Windows einen solchen signierten Bootloader zur Verfügung stellt, kann man annehmen, dass Linux hier ausgesperrt wird.

Was mir allerdings nicht ganz klar ist: Wenn diese Option im UEFI Bios erst aktiviert werden muss, warum lässt man selbige nicht einfach abgedreht? Dann hätte man mit dieser Funktion auch im Zusammenhang mit dem Linux Bootloader (z.B. Grub) keine Probleme.

Im Artikel von HEISE lautet es ganz klar: „Ist Secure Boot aktiv, lässt sich also auch kein Linux starten, sofern es nicht die nötigen Signaturen mitbringt und vom Besitzer oder Administrator des jeweiligen Computers explizit für das Gerät erlaubt wurde.“

Was also, wenn man Secureboot inaktiv lässt?