Wie Secure Boot unter Windows 8 und 10 funktioniert und was es für Linux bedeutet
Moderne PCs werden mit einer Funktion namens "Secure Boot" ausgeliefert. Dies ist eine Plattformfunktion in UEFI, die das herkömmliche PC-BIOS ersetzt. Wenn ein PC-Hersteller einen „Windows 10“ - oder „Windows 8“ -Logo-Aufkleber an seinem PC anbringen möchte, muss Microsoft Secure Boot aktivieren und einige Richtlinien befolgen.
Leider verhindert dies auch, dass Sie einige Linux-Distributionen installieren, was sehr umständlich sein kann.
Wie der sichere Start den Startvorgang Ihres PCs sichert
Secure Boot ist nicht nur dazu gedacht, Linux zu erschweren. Die Aktivierung von Secure Boot bietet echte Sicherheitsvorteile, von denen sogar Linux-Benutzer profitieren können.
Ein herkömmliches BIOS bootet jede Software. Wenn Sie Ihren PC starten, werden die Hardwaregeräte gemäß der von Ihnen konfigurierten Startreihenfolge geprüft und versucht, von ihnen zu booten. Typische PCs finden normalerweise den Windows-Bootloader, der das vollständige Windows-Betriebssystem startet. Wenn Sie Linux verwenden, wird das Boot den GRUB-Bootloader finden und booten, den die meisten Linux-Distributionen verwenden.
Es ist jedoch möglich, dass Malware, z. B. ein Rootkit, Ihren Bootloader ersetzt. Das Rootkit kann Ihr normales Betriebssystem laden, ohne dass ein Hinweis vorliegt, dass irgendetwas nicht stimmt. Auf Ihrem System bleiben Sie also vollständig unsichtbar und können nicht erkannt werden. Das BIOS kennt den Unterschied zwischen Malware und einem vertrauenswürdigen Bootloader nicht - es startet einfach alles, was es findet.
Secure Boot dient dazu, dies zu stoppen. Windows 8 und 10-PCs werden mit dem in UEFI gespeicherten Microsoft-Zertifikat geliefert. UEFI überprüft den Bootloader vor dem Start und stellt sicher, dass er von Microsoft signiert ist. Wenn ein Rootkit oder eine andere Malware Ihren Bootloader ersetzt oder diesen manipuliert, lässt UEFI dies nicht zu. Dadurch wird verhindert, dass Malware Ihren Startvorgang entführt und sich vor Ihrem Betriebssystem verbirgt.
Wie Microsoft Linux-Distributionen mit Secure Boot booten lässt
Theoretisch dient diese Funktion nur zum Schutz vor Malware. Microsoft bietet also eine Möglichkeit, Linux-Distributionen trotzdem zu starten. Aus diesem Grund funktionieren einige moderne Linux-Distributionen wie Ubuntu und Fedora auf modernen PCs, auch wenn Secure Boot aktiviert ist. Linux-Distributionen zahlen eine einmalige Gebühr von 99 US-Dollar für den Zugriff auf das Microsoft Sysdev-Portal, wo sie die Signatur ihrer Bootloader beantragen können.
Linux-Distributionen haben in der Regel ein "Shim". Das Shim ist ein kleiner Bootloader, der einfach den GRUB-Bootloader der Linux-Distributionen bootet. Das von Microsoft signierte Shim prüft, ob ein Bootloader gestartet wird, der von der Linux-Distribution signiert wurde. Anschließend startet die Linux-Distribution normal.
Derzeit unterstützen Ubuntu, Fedora, Red Hat Enterprise Linux und openSUSE Secure Boot und funktionieren mit moderner Hardware problemlos. Es mag andere geben, aber diese sind uns bekannt. Einige Linux-Distributionen sprechen sich philosophisch gegen die Beantragung einer Unterzeichnung durch Microsoft aus.
Wie Sie den sicheren Start deaktivieren oder steuern können
Wenn dies alles nur Secure Boot war, können Sie kein von Microsoft genehmigtes Betriebssystem auf Ihrem PC ausführen. Sie können Secure Boot jedoch wahrscheinlich von der UEFI-Firmware Ihres PCs aus steuern, die dem BIOS älterer PCs ähnelt.
Es gibt zwei Möglichkeiten, den sicheren Start zu steuern. Die einfachste Methode ist, die UEFI-Firmware aufzurufen und sie vollständig zu deaktivieren. Die UEFI-Firmware überprüft nicht, ob Sie einen signierten Bootloader ausführen, und alles startet. Sie können eine beliebige Linux-Distribution starten oder sogar Windows 7 installieren, das Secure Boot nicht unterstützt. Windows 8 und 10 funktionieren einwandfrei. Sie verlieren nur die Sicherheitsvorteile, wenn Secure Boot Ihren Startvorgang schützt.
Sie können Secure Boot auch weiter anpassen. Sie können steuern, welche Signaturzertifikate Secure Boot anbietet. Sie können sowohl neue Zertifikate installieren als auch vorhandene Zertifikate entfernen. Eine Organisation, die Linux auf ihren PCs ausgeführt hat, könnte beispielsweise die Zertifikate von Microsoft entfernen und stattdessen das eigene Zertifikat der Organisation installieren. Diese PCs würden dann nur Bootloader starten, die von dieser bestimmten Organisation genehmigt und signiert wurden.
Eine Person könnte dies auch tun - Sie können Ihren eigenen Linux-Bootloader signieren und sicherstellen, dass Ihr PC nur Bootloader bootet, die Sie persönlich kompiliert und signiert haben. Das ist die Art von Kontrolle und Leistung, die Secure Boot bietet.
Was Microsoft von PC-Herstellern verlangt
Microsoft setzt nicht nur voraus, dass PC-Anbieter Secure Boot aktivieren, wenn sie den schönen Zertifizierungsaufkleber „Windows 10“ oder „Windows 8“ auf ihren PCs haben möchten. Microsoft verlangt von PC-Herstellern eine spezielle Implementierung.
Bei Windows 8-PCs mussten die Hersteller Ihnen die Möglichkeit geben, den sicheren Start zu deaktivieren. Microsoft forderte die PC-Hersteller auf, den Benutzern einen Secure-Kill-Kill-Schalter zur Verfügung zu stellen.
Für Windows 10-PCs ist dies nicht mehr obligatorisch. PC-Hersteller können sich dafür entscheiden, Secure Boot zu aktivieren, und den Benutzern keine Möglichkeit zum Ausschalten geben. Wir sind uns jedoch keiner PC-Hersteller bewusst, die dies tun.
Auch wenn PC-Hersteller den Hauptschlüssel "Microsoft Windows Production PCA" von Microsoft einschließen müssen, damit Windows booten kann, müssen sie den Schlüssel "Microsoft Corporation UEFI CA" nicht enthalten. Dieser zweite Schlüssel wird nur empfohlen. Dies ist der zweite optionale Schlüssel, mit dem Microsoft Linux-Bootloader signiert. Ubuntus Dokumentation erklärt das.
Mit anderen Worten, nicht alle PCs starten signierte Linux-Distributionen bei aktiviertem Secure Boot. In der Praxis haben wir noch keinen PC gesehen, der dies getan hat. Vielleicht möchte kein PC-Hersteller die einzige Laptopserie herstellen, auf der Linux nicht installiert werden kann.
Zumindest sollten Windows-PCs auf dem Mainstream mindestens die Möglichkeit haben, Secure Boot zu deaktivieren, und sie sollten Linux-Distributionen starten, die von Microsoft signiert wurden, auch wenn Sie Secure Boot nicht deaktivieren.
Sicherer Start konnte unter Windows RT nicht deaktiviert werden, Windows RT ist jedoch tot
All dies gilt für Standard-Betriebssysteme Windows 8 und 10 auf der Standard-Intel-x86-Hardware. Bei ARM ist das anders.
Unter Windows RT-Version von Windows 8 für ARM-Hardware, die unter anderem mit Microsoft Surface RT und Surface 2 ausgeliefert wurde, konnte Secure Boot nicht deaktiviert werden. Heute kann der sichere Start auf Windows 10 Mobile-Hardware nicht deaktiviert werden, dh Telefone, auf denen Windows 10 ausgeführt wird.
Das liegt daran, dass Microsoft wollte, dass Sie ARM-basierte Windows RT-Systeme als „Geräte“ und nicht als PCs betrachten. Wie Microsoft Mozilla mitteilte, ist Windows RT "nicht mehr Windows."
Windows RT ist jedoch jetzt tot. Es gibt keine Version des Windows 10-Desktop-Betriebssystems für ARM-Hardware. Daher müssen Sie sich keine Sorgen mehr machen. Wenn Microsoft jedoch Windows RT 10-Hardware zurückbringt, können Sie Secure Boot wahrscheinlich nicht deaktivieren.
Bildnachweis: Ambassador Base, John Bristowe