Wer noch nichts davon gehört hat: Mit Windows 8 hat Microsoft die BIOS- und Systemhersteller „überzeugt“, dass PC nur dann mit Windows 8 geliefert werden dürfen, wenn diese SecureBoot unterstützen und per Default aktiviert haben. Gnädigerweise erlaubt Microsoft den Herstellern, SecureBoot abschaltbar zu machen. Wie einfach das geht, und ob es überhaupt implementiert wird, bleibt aber den Herstellern überlassen. Soweit so schlecht.

Fedora hat sich jetzt entschieden, über das Microsoft-Programm ihren Bootloader zu signieren, damit man in Zukunft Fedora booten (und installieren) kann, ohne SecureBoot auszuschalten.

Implementing UEFI Secure Boot in Fedora

Fedora 18 will be released at around the same time as Windows 8, and […] all Windows 8 hardware will be shipping with secure boot enabled by default. […] It’s not really an option to force all our users to play with hard to find firmware settings before they can run Fedora.

Our first stage bootloader will be signed with a Microsoft key. […] We’ll be moving to requiring signed kernel modules and locking down certain aspects of kernel functionality.

If we produce signed code that can be used to attack other operating systems then those other operating systems are justified in blacklisting us.

Man hat sich darüber hinaus entschlossen, den Bootloader so zu erweitern, dass er nur von Fedora signierte Binaries lädt, und den Linux-Kernel so erweitert, dass nur von Fedora signierte Module geladen werden. Der Kernel blockiert auch sämtlichen Hardware-Zugriff vom Userland aus. Natürlich bietet Fedora Benutzern und anderen Softwareentwicklern den eingenen Schlüssel nicht an, und bietet auch keine Möglichkeit, auf andere Art und Weise Kernel-Code in ein solches System zu laden. Man muss SecureBoot deaktivieren oder selbst die gesamte Zertifizierungskette zusammenbauen, ink. 100 USD an Verisign, wenn man spezielle Treiber braucht.

Dieser letzte Schritt wird damit begründet, dass bei einem Angriff über den Fedora-Bootloader auf z. B. Windows natürlich die Sperre des Zertifikats gerechtfertigt wäre, und deshalb der signierte Bootloader sogesichert sein muss, dass ein solcher Angriff unmöglich wird. Diese Begründung ist zum einen technisch unsinnig. Zum anderen macht sich hier Fedora (und mit hoher Wahrscheinlichkeit Red Hat) zum Erfüllungsgehilfen von Microsoft, die mit diesen Methoden endlich engültig die lästige Konkurrenz loswerden wollen.

Es ist eine neue „Microsoft-Steuer“, die jeder zahlen muss, der sich nicht dem Diktat von Microsoft unterwerfen will. Ich hoffe, das das Kartell- und Wettbewerbsrecht in Europa genutzt werden kann, um das ganze System zu stoppen.

Update 6.6.: Auf Slashdot wird weiter diskutiert: Red Had rechtfertigt sich und wiederholt, dass das alles ja nicht so schlimm sei, und jeder doch einfach Secure Boot ausschalten oder eigene Schlüssel registrieren könnte. Allerdings gibt es weiterhin keine Garantien, dass PC-Hersteller das jetzt oder in Zukunft auch implementieren werden. Allein schon wegen der Supportkosten wäre es viel einfacher, diese Optionen einfach wegzulassen.