Secure Boot

Sicheres Boot

Mit meinem Surface Pro habe ich Secureboot einfach abgeschaltet, um vom USB-Stick zu booten. Zusammen auf einem Computer ist es nicht möglich, die Themen UEFI und Secure Boot zu behandeln. Unternehmen schaffen es mit dem ECOS SECURE BOOT STICK. Wir erhalten derzeit zahlreiche Serviceanfragen. Wenn der PC nicht startet, erscheint die Fehlermeldung Secure Boot Violation.

Sicherer Boot: Das Feature UEFI erläutert

Das ist Secure Boot und warum war es eingeführt? Die sichere Boot-Funktion wurde mit dem BIOS-Nachfolger'Unified Extensible Firmware Interface' (UEFI) in der neuen Generation 2.3.1 festgelegt und soll die Systemsicherheit erhöhen. Secure Boot soll unter anderem verhindern, dass Malware den Boot-Vorgang des Computers manipuliert und damit jegliche Sicherheitsmaßnahmen des Betriebsystems umgangen werden.

Dies wird durch ein digitales Schlüssel realisiert. Es wird nur solche Programme von UEFI heruntergeladen, die sich gegenüber über und einem korrespondierenden Schlüssel ausweisen. Unter fällt arbeitet unter anderem der Bootsloader von Microsoft, aber auch einige Linux-Distributionen auf einem Unterstützung für Secure Boot. Jede andere Anwendung, die nicht über eine entsprechende Schlüssel verfügt verfügt, wird am Herunterladen verhindert.

Aktuell sind davon einige Linux-Distributionen betroffen, aber auch das Starten über USB-Stick wird durch Secure Boot unterbunden, wenn es kein signiertes Schlüssel gibt. Wo liegt das Hauptproblem bei Secure Boot (und Linux)? Eine weitere Schwierigkeit entsteht bei UEFI Firmware-Versionen, die nur mit Schlüsseln für Microsoft-Software etwas bewirken können, denn es ist keineswegs garantiert, dass auch die Schlüssel anderer Anbieter in der UEFI Aufmerksamkeit findet.

Mit Desktop-Mainboards soll es möglich sein, Schlüssel hinzuzufügen zu besitzen, aber einerseits gibt es keine Gewährleistung dafür, dass dies möglich ist, noch ist es möglich, für jeden Bootsloader seinen eigenen Schlüssel in der UEFI zu registrieren. Die Fedora möchte aus diesem Grunde ihren Bootsloader von Microsoft signiert haben, da der mühsame Weg wegfällt jeden Computerhersteller dazu anregen wird, Fedora-Schlüssel zu akzeptier.

Der Schöpfer von Ubuntu ist damit nicht zufrieden und so ist das eigentliche Hauptproblem in der Linux-Welt auch nicht das Secure-Boot-Feature, sondern die unterschiedlichen Standpunkte innerhalb der Community darüber, wie das eigentliche Ziel zu lösen ist. Ein diskutiertes Möglichkeit wäre eine Zentralzertifizierungsstelle für Linux, die sämtliche Linux-Bootloader prüft und mit reinem Quellcode eine freundliche LinuxSchlüssel zuweist.

Solange die treibende Kräfte hinter dem Betriebssystem allerdings auf einer solchen Stufe zustimmte, schauen die Nutzer der zahlreichen Linuxdistributionen mit Secure Boot weiter in die Tube.

Mehr zum Thema