Menü
Update
c't Magazin

Aldi-PC: Erster PC mit UEFI Secure Boot im Handel

Von
vorlesen Drucken Kommentare lesen 375 Beiträge

UEFI Secure Boot lässt sich beim Mainboard MS-7800 nur aktivieren, wenn auch Administrator- und User-Passwörter gesetzt wurden.

Wie von Microsoft für ein Windows-8-Logo gefordert, erscheinen nun erste Systeme, die UEFI Secure Boot unterstützen. Die UEFI-Firmware enthält dabei einen Platform Key (PK), einen Key Exchange Key (KEK) und zwei Signatur-Datenbanken, um signierten Code vor der Ausführung prüfen zu können. Das in der UEFI-Spezifikation 2.3.1 definierte und von Windows 8 als erstem kommerziellem Betriebssystem unterstützte Verfahren soll verhindern, dass sich Malware vor dem Start des Betriebssystems einnistet.

Mit dem Medion Akoya P4210 D alias MD 8370 verkauft Aldi eines der ersten Systeme auf dem deutschen Markt, dessen Mainboard-Firmware anscheinend UEFI Secure Boot unterstützt. Im BIOS-Setup (oder eher UEFI-Setup) gibt es drei Menü-Seiten zur Einstellung der Secure-Boot-Optionen und zur Schlüsselverwaltung. Wie von Microsoft für gewöhnliche Desktop-Rechner mit Windows-8-Logo gefordert, lässt sich Secure Boot abschalten. Außerdem lassen sich zusätzliche Key Exchange Keys und Signaturen hinzufügen.

Für ausführbare Dateien lässt sich je nach Quelle - Festplatte, Wechselspeicher, optische Medien - festlegen, ob sie auch dann ausgeführt werden sollen, wenn die Signaturprüfung eine Regelverletzung meldet.

Im Auslieferungszustand des Systems war beim MSI-Mainboard MS-7800 – einem OEM-Produkt für Medion – Secure Boot abgeschaltet, es waren auch die diversen Schlüssel nicht geladen und auch keine Passwörter gesetzt.

[Update:] Diesen Betriebszustand bezeichnet die UEFI-Spezifikation als "Setup Mode". Secure Boot lässt sich aber erst im "User Mode" einschalten, in dem die Schlüssel und Datenbanken geladen sind. In einer früheren Version dieses Artikels haben wir behauptet, Secure Boot ließe sich erst dann einschalten, wenn sowohl ein Administrator- als auch ein User-Passwort gesetzt sind. Das stimmt aber nicht. Beide müssen beim MS-7800 gewisse Mindestanforderungen erfüllen, etwa Groß- und Kleinbuchstaben enthalten. Wenn sie gesetzt sind, lässt sich aber der Zugriff auf das BIOS- beziehungsweise Firmware-Setup sperren. Bei entsprechender Konfiguration von Secure Boot startet das System dann "unsichere" UEFI-Applikationen oder Bootloader nicht. [/Update]

Secure Boot ist unter Windows nur im Zusammenspiel mit einer Installation von Windows 8 im UEFI-Modus nutzbar. Für die von Nutzern installierbaren Windows-8-Versionen bedeutet das: Es muss eine 64-Bit-Version des Betriebssystems sein und die Festplatte mit der Systempartition erhält eine GUID-Partitionstabelle (GPT). Wer ein 32-Bit-Windows oder auch eine 64-Bit-Version im BIOS-Modus installieren will, muss Secure Boot abschalten; je nach Firmware könnte es möglich sein, die Funktion beim Booten wahlweise umzuschalten. Wie sich das mit Standby-Modi oder Wake on LAN verträgt, ist noch unklar.

Die UEFI-2.3.1-Firmware verwaltet Schlüssel- und Signatur-Datenbanken, die sich auch vom Nutzer ergänzen lassen.

Ein TPM ist für UEFI Secure Boot nicht erforderlich; das verlangt Microsoft nur für jene Tablets mit ARM- oder Atom-SoCs, die Connected Standby beherrschen. Bei ARM-Systemen mit Windows RT lässt sich Secure Boot nicht abschalten, bei den Connected-Standby-Tablets mit x86-SoCs ist das zulässig – vermutlich aber unter Verlust der Connected-Standby-Funktion. Mehrere Linux-Distributionen planen ebenfalls die Unterstützung von Secure Boot, aber in unterschiedlichen Formen. (ciw)

Anzeige
Anzeige