Linux-ontwikkelaars omzeilen secure boot

Ik heb het gevoel dat de auteur van dit artikel de materie niet goed begrepen heeft. Wanneer we naar het bronartikel op ZDnet kijken alsook naar de mailinglist waar de aankondiging staat dan merken we dat het helemaal niet gaat om het omzeilen van UEFI Secure Boot.

Bottomley heeft een pakket gemaakt zodat (linux) developers eenvoudig aan de slag kunnen gaan met uefi en secure boot binnen een gevirtualiseerde omgeving. Dit omdat echte hardware met secure boot op dit moment zo goed als niet verkrijgbaar is. Niet voor developers, maar ook OEMs hebben er problemen mee.

Bottomley is er dan ook in geslaag zijn eigen sleutels te integreren in dit gevirtualiseerd platform en code die hij zelf getekend heeft te booten. Is de code niet getekend dan zal deze niet geboot worden. Het is wel mogelijk om een niet getekende linux kernel te booten, maar de benodigde bootloader (elilo - efi linux loader) moet wel getekend zijn.

The current state is that I've managed to lock down the secure boot
virtual platform with my own PK and KEK and verified that I can generate
signed efi binaries that will run on it (and that it will refuse to run
unsigned efi binaries). Finally I've demonstrated that I can sign
elilo.efi (this has to be built specially because of the bug in gnu-efi)
and have it boot an unsigned linux kernel when the platform is in secure
mode (I've booted up to an initrd root prompt).

I'm releasing this now because interest in UEFI Secure Boot is rising,
particularly amongst the Linux Distributions which don't have access to
UEFI secure boot hardware, so having a virtual platform should allow
them to experiment with coming up with their own solutions.