zurück zum Artikel

Mainboard-Firmware für UEFI Secure Boot

Windows 8 verrät den Secure-Boot-Modus in der Registry

Mit Windows 8 will Microsoft das veraltete PC-BIOS ablösen: Komplettsysteme mit werksseitig vorinstalliertem Betriebssystem und Windows-8-Logo müssen die Hardware Certification Requirements [1] erfüllen, die den UEFI-Modus mit aktivierter Secure-Boot-Funktion [2] vorschreiben. Ohne bewussten Eingriff des Nutzers startet also außer dem vorinstallierten Windows 8 kein anderes Betriebssystem, außer wenn es einen von Microsoft digital signierten UEFI-Bootloader mitbringt.

Secure Boot soll dadurch den Start von Schadsoftware verhindern, blockiert aber zunächst auch das Booten vieler USB-Sticks oder optischer Medien und somit auch die Installation anderer Betriebssysteme. Microsoft schreibt zwar ebenfalls vor, dass sich Secure Boot auf normalen x86-PCs und -Notebooks abschalten lassen muss, aber dazu ist wohl je nach Mainboard-Firmware ein Ausflug ins BIOS- beziehungsweise UEFI-Setup nötig.

Secure Boot ist eine Funktion der 2011 verabschiedeten UEFI-Version 2.3.1 und bisher kaum in freier Wildbahn anzutreffen. Das ändert sich aber gerade, weil einige Mainboard-Hersteller wie Asrock [3], Asus [4], Gigabyte [5] oder MSI [6] erste (Beta-)Versionen von Firmware für bestimmte Platinen herausbringen, welche die Windows-8-Vorgaben erfüllen sollen. Leider spezifizieren die taiwanischen Firmen meistens nicht genau, welche Punkte der Spezifikation welche Firmware-Version genau erfüllt oder eben nicht. Doch mit der BIOS-Version L1.47 Beta für das Asrock B75M [7] funktionierte unter Windows 8 Secure Boot und erlaubte erste Experimente.

Im BIOS- beziehungsweise UEFI-Setup des Asrock B75M mit Beta-Firmware L1.47 lässt sich Secure Boot aktivieren.

Nach dem BIOS-Update ist Secure Boot zunächst abgeschaltet und es sind auch keine digitalen Zertifikate geladen. Beides muss man unabhängig voneinander per Setup-Option veranlassen. Nach einem Neustart ist Secure Boot dann aktiv, die Firmware arbeitet im "User Mode". Nur im Setup-Modus dürfen sich die Schlüssel und Datenbanken verändern lassen, doch die Asrock-Firmware kennt zwar den Setup-Mode, bietet aber – anders als das MSI-Mainboard [8] im letzten Aldi-PC – keine Funktionen zur Beeinflussung von Schlüsseln (PK, KEK) oder Datenbanken (db, dbx).

Ob Windows 8 im Secure-Boot-Modus gestartet ist oder nicht, lässt sich nach unserem bisherigen Wissensstand nur anhand eines Registry-Schlüssels herausfinden. Unter HKLM\System\CurrentControlSet\Control\SecureBoot\State befindet sich der DWord-Wert "UEFISecureBootEnabled", der bei aktivem Secure Boot den Inhalt "1" hat und "0", wenn Secure Boot vor dem Start von Windows 8 per BIOS-Setup abgeschaltet wurde. Sonstige Auswirkungen von Secure Boot fielen beim Asrock B75M nicht auf.

Kernel-Mode-Treiber, die keine digitale Signatur besitzen, sollen sich aber im Secure-Boot-Modus nicht installieren lassen – doch solche Signaturen verlangt x64-Windows ja ohnehin und nur die 64-Bit-Version von Windows 8 unterstützt UEFI und somit auch Secure Boot. Spannend wird es dabei nur bei den erwarteten Atom-Tablets mit Intels Clover-Trail [9]-Chips und Connected Standby [10]: Die letztgenannte Funktion setzt Secure Boot voraus, andererseits gibt es für die PowerVR-Grafik dieser Atoms bisher nur 32-Bit-Treiber. Doch auch für die Windows-RT-Tablets mit ARM-SoCs ist die sonst von Microsoft verhinderte Kombination aus 32-Bit-Code und UEFI nötig.

Die Asrock-Firmware erlaubt es, das Laden eines CSM ganz konform zu den Windows-8-Logo-Richtlinien zu unterbinden - oder eben nicht.

Beim Asrock B75M mit Beta-Firmware ist der Start anderer Betriebssysteme im Secure-Boot-Modus übrigens kein Problem: Auch bei aktiviertem Secure Boot lässt sich per BIOS-Setup das Laden eines Compatibility Support Module (CSM) erlauben. Dieses CSM stellt nach dem eigentlichen Firmware-Start BIOS-Kompatibilität her, sodass beliebige andere Betriebssysteme ohne UEFI-Bootloader starten. Genau aus diesem Grund verlangt [11] Microsoft in den Hardware Certification Requirements für Rechner mit Windows-8-Logo, dass bei Secure Boot das CSM unterbunden wird. Doch Asrock schreibt nur lakonisch in Bezug auf die CSM-Option: "Please don't set to disable unless runnig WHCK test", also ungefähr: "Bitte nicht abschalten, außer wenn man die Windows Hardware Certification prüft". Den WHCK-Test beschreibt Microsoft in einem PDF-Dokument [12].

Bis zum Windows-8-Start in etwas mehr als sechs Wochen muss jeder Mainboard- und Notebook-Hersteller, der Produkte für Computer mit Windows-8-Logo verkaufen will, die Secure-Boot-Vorgaben umgesetzt haben. Zumindest öffentlich bietet aber etwa Intel keine entsprechenden Updates für die eigenen Mainboards an. Linux-Entwickler feilen derweil [13] an ihren Werkzeugen für UEFI Secure Boot; kommende Versionen der Distributionen Fedora [14], Suse [15] und Ubuntu [16] sollen damit umgehen können. Für bisherige Betriebssystem wie Windows 7 x64 ist aber anscheinend keine Secure-Boot-Nachrüstung geplant. (ciw [17])


URL dieses Artikels:
http://www.heise.de/-1704822

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Microsoft-erzwingt-auf-Windows-8-ARM-Geraeten-UEFI-Secure-Boot-1413109.html
[2] https://www.heise.de/meldung/MSI-demonstriert-Mainboard-mit-UEFI-2-3-1-Secure-Boot-1605457.html
[3] http://asrock.nl/events/Windows8/
[4] http://event.asus.com/mb/windows_8/
[5] http://www.gigabyte.com/microsite/314/windows8.html
[6] http://event.msi.com/mb/2012/win8/
[7] http://www.asrock.com/mb/overview.de.asp?Model=B75M
[8] https://www.heise.de/meldung/Aldi-PC-Erster-PC-mit-UEFI-Secure-Boot-im-Handel-1635550.html
[9] https://www.heise.de/meldung/Lenovo-zeigt-sein-erstes-Windows-8-Tablet-1663750.html
[10] https://www.heise.de/meldung/TPM-per-Firmware-fuer-kommende-Windows-Tablets-1633835.html
[11] http://msdn.microsoft.com/en-us/library/windows/hardware/jj128256.aspx
[12] http://www.uefi.org/learning_center/UEFI_Plugfest_2012Q1_MicrosoftSecureBoot.pdf
[13] https://www.heise.de/ct/artikel/Kernel-Log-Neue-Werkzeuge-1702946.html
[14] https://www.heise.de/meldung/Fedora-18-soll-UEFI-Secure-Boot-unterstuetzen-1650594.html
[15] https://www.heise.de/meldung/UEFI-Secure-Boot-fuer-Suse-Linux-1664594.html
[16] https://www.heise.de/meldung/Ubuntu-und-UEFI-Secure-Boot-1623289.html
[17] mailto:ciw@ct.de