Das Windows 8 unter bestimmten Randbedingungen auf UEFI setzt, hatte ich ja bereits hier berichtet. Und das die bei UEFI 2.3.1 mögliche Option "Secure Boot" durch Windows 8 genutzt werden kann, ist in diesem Blog-Beitrag thematisiert. Nun kamen die Tage Spekulationen auf, dass Microsoft mit "Secure Boot" über UEFI Mitkonkurrenten wie Linux von den Rechnern fern halten will.
Anzeige
Kein Dual-Boot mit Windows 8 und Linux? titelt PC-Welt mit Fragezeichen. Und ZDNet schiebt den reißerischen Titel Microsoft tries to block Linux off Windows 8 PCs in der US Onlineausgabe nach. Hintergrund ist ein Blog-Beitrag von Matthew Garret (Red Hat), der sich mit UEFI befasst hat und nun einen Ansatz sieht, über signierte Bootlader die Installation von fremden Betriebssystemen wie Linux zu verhindern. Im Beitrag Yes, UEFI 'secure boot' could lock out Linux from Windows 8 PCs geht ZDNet auf Garrets Befürchtungen ein: Wenn Microsoft OEMs entsprechend instruiert, werden diese das Abschalten von UEFI deaktivieren und Linux ist auf solchen Plattformen ausgesperrt.
Die Ansätze mancher Hardwarehersteller im Tablet PC und Smartphone-Bereich, ich erinnere nur an die abgesicherten Boot-ROMs der Android Smartphone-Hersteller, würden sich ebenfalls in diese Richtung deuten lassen. Obwohl mancher Zeitgenosse Microsoft alle Schlechtigkeiten zutraut, bin ich da doch skeptisch, dass ein solcher Ansatz Bestand hat.
UEFI 2.3.1 ermöglicht zwar grundsätzlich einen Secure Boot, um sicherzustellen, dass nur signierte Betriebssysteme geladen werden. Im Hinblick auf das Einschmuggeln von Root-Kits wäre dies sicherlich zu begrüßen. Aber kein Mainboard-Entwickler, der sein Produkt in möglichst vielen Kanälen distributiert sehen will, wird es wagen, die Secure Boot-Option fest einzubauen. Spätestens, wenn die erste Wettbewerbsbeschwerde eines Linux-Anbieters vor der EU-Kommission eintrudelt, ist es aus mit lustig.
ZDNet Kolumnistin, Mary Foley, hat es da bereits weit ausgewogener in ihrem Beitrag Will Windows 8 block users from dual-booting Linux? Microsoft won't say aufbereitet. Sie zitiert das, was Microsoft auf der BUILD-Konferenz in einer Session zu UEFI in Verbindung mit Windows 8 gesagt hat. Die Aussagen in den Folien (Windows 8 Clients müssen UEFI mode zertifiziert sein) könnte man durchaus so interpretieren, dass Linux draußen bleiben muss. Allerdings geben die bisherigen Aussagen Microsofts hier nichts wirklich belastbares her. Wie ich hier bereits berichtete, werden nicht alle Plattformen UEFI zwingend vorschreiben. Und wenn Microsoft seine Aussage von der Computex 2011 "Windows 8 wird auf allen heute gekauften Windows 7-Rechnern laufen" nicht bricht, wird man auch zukünftig Windows 8 auf Systemen mit BIOS booten können…
Anzeige
Aber selbst bei Systemen, die UEFI mitbringen, sollte man die Situation differenzierter sehen. Bei heise.de findet sich hier ein schöner Hintergrundbericht. Tenor: Secure Boot ist ein Mechanismus, der eine abgesicherte Umgebung, speziell in geschäftlichen Umgebungen, bereitstellen kann. Und im Hinblick auf Linux wird darauf hingewiesen, dass kommerzielle Linux-Distributoren wie Red Hat, Oracle und Suse durchaus die Möglichkeit haben, entsprechende Signaturschlüssel an die Hardwarehersteller auszugeben. Deren signierte Bootlader würde dann auf dieser Hardware problemlos booten.
Kritischer könnte es mit freien Linux-Distributionen wie Debian oder Fedora, sowie den unzähligen Forks werden. Aber hier ist letztendlich die Gretchenfrage: Lässt sich Secure Boot in entsprechenden UEFI-Boards vom Benutzer deaktivieren oder nicht. Ich denke, im Consumerbereich wird dies auf jeden Fall zutreffen. Nicht auszudenken, wenn der nächste Aldi-Rechner kein Linux mehr kann …
Und nachdem das Rumoren recht umfangreich war, fühlte Microsoft sich doch zu einer Klarstellung in Form eines MSDN-Beitrags von Steven Sinofsky bemüßigt (siehe auch heise.de-Artikel). Windows 8 wird als Teil der secured boot Architektur UEFI secure boot unterstützen. Secure Boot ist aber nicht Bestandteil von Windows 8 sondern der UEFI-Spezifikation. Und es wird Sache der OEM-Hersteller sein, ob diese UEFI secure boot abschaltbar machen oder nicht.
Es besteht zwar die latente Gefahr, dass OEMs da "geschlossene Systeme" fabrizieren. Aber der Kunde hat es in der Hand, ob er solche Hardware kauft, denn UEFI 2.3.1 lässt durchaus zu, dass Secure Boot abgeschaltet wird.
Link:
1: Windows 8: Trusted Platform Module als virtuelle SmartCard
Anzeige
Hallo lieber Günter,
danke für Deine Recherche und Bericht zum Thema Linux und „UEFI"-Secure-Boot.
Ich erlebe es gerade, dass ich Ubuntu v.12.10 und auch andere Linux-OS aus der aktuellen „LINUX-WELT" DVD 1/2013 nicht einmal als LIVE-Version auf dem PC von Medion: "Akoya P4210D" (MD8370) ausprobieren kann.
Dieser PC (Mainboard: "MSI MS-7800G" hat bereits UEFI im BIOS impementiert (lässt sich auch abschalten), aber dennoch bleibt der Bildschirm schwarz.
Sind inzwischen schon Lösungen bekannt um diesen PC Linux-fähig zu machen, oder muss man Medion in Zukunft meiden?
Gruss
Bogo 03-01-13
Insgesamt scheint es zwischenzeitlich einen Linux-UEFI-Lader zu geben. Inwieweit die aber schon in Distributionen integriert sind, kann ich nicht sagen (ich habe keine UEFI-Hardware).
Zu Medion kann ich nichts sagen – aber möglicherweise macht der Grafikchip hier auch Probleme. Dafür spräche ja auch, dass Du UEFI abschalten kannst und damit den BIOS-Boot verwendest. Möglicherweise findet sich hier noch was.