Uitstel voor Linux-sleutel in bootslot Windows 8

De uitbraakoplossing van de Linux Foundation voor het UEFI-bootslot dat Windows 8 brengt, loopt vertraging op. De open source-stichting wacht op Microsoft.


Het lijkt erop dat een ondertekeningsfout in de aanvraag voor een digitaal certificaat de oorzaak is van de vertraging. Linux-ontwikkelaar James Bottomley blogt over de hoepels waar de Linux Foundation doorheen moet springen voor het verkrijgen van een certificaat voor een algemene bootloader, waar de diverse Linux-distributies dan op kunnen aanhaken.

Bootbescherming

Windows 8 ondersteunt namelijk BIOS-opvolger UEFI en haakt daarop aan voor malwarebescherming middels Secure Boot. Die functie staat alleen het booten toe van software als die een digitaal ondertekende sleutel heeft. Dit moet malafide drivers de pas afsnijden, maar hindert ook alternatieve besturingssystemen zoals Linux. Het is aan pc-makers of zij in hun apparaten Secure Boot wel of niet aanzetten, heeft Microsoft eerder al verklaard.

Om een Linux-distributie toch te booten op een pc met Secure Boot zou de maker van dat besturingssysteem een certificaat moeten verkrijgen voor zijn software. Dit vereist allereerst een betaling van 99 dollar voor een sleutel van Symantecs certificaatbedrijf VeriSign. Vervolgens kan daarmee een sysdev-account bij Microsoft worden gemaakt om een aanvraag in te dienen voor een UEFI-ondertekening.

Ondertekeningsellende

Die ondertekening is dan voor een (binary) stuk software, dat dan de bootloader voor een alternatief besturingssysteem kan zijn. Op het laatste punt van de ondertekening door Microsoft stokt het proces nu voor de Linux Foundation. Bottomley, lid van de open source-stichting en cto bij virtualisatieleverancier Parallels, klaagt over de omslachtige aanvraagprocedure waarbij Microsoft-technieken en soms ronduit Windows (vanwege Silverlight) is vereist.

Na meerdere pogingen de naar Microsoft ge-uploade bootloader ondertekend te krijgen, heeft de Linux-ontwikkelaar een gedeeltelijk succes geboekt. Aanvankelijk leverde de uploads geen respons met een ondertekende binary op. Zijn meest recente poging bracht weer een foutmelding, maar leverde wel een download op.

Succes, toch niet

"Ik krijg ditmaal wel een download e-mail voor het ondertekende bestand en het dashboard [van Microsoft - red.] zegt dat de ondertekening is mislukt." Bottomley heeft het bestand toch gedownload, en geverifieerd. "De binary werkt op het secure boot-platform en is ondertekend met de sleutel."

Microsofts support weet de developer van de Linux Foundation echter te melden dat de zaak toch niet op orde is. In reactie op zijn vraag waarom de download met een foutmelding kwam, krijgt hij de mededeling het aangeleverde bestand niet te gebruiken. Het is namelijk verkeerd ondertekend, aldus Microsoft.

Wachten op juiste sleutel

Uit Bottomley's eigen analyse blijkt dat de ondertekening is gedaan met een generieke Microsoft-sleutel, die niet is gelinkt aan de Linux Foundation. Dit in plaats van een specifieke sleutel voor de bewuste organisatie die hiermee eigen software wil booten op beveiligde UEFI-pc's. Zo'n specifieke sleutel is ook in te trekken, merkt Bottomley nog op, wat dan gebeurt voor alleen die gebruiker. Hij wacht nog op een valide sleutel voor de bootloader van de Linux Foundation.