{"id":243790,"date":"2021-01-30T16:27:58","date_gmt":"2021-01-30T15:27:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243790"},"modified":"2021-01-31T10:37:06","modified_gmt":"2021-01-31T09:37:06","slug":"windows-10-insides-zum-secure-boot-auf-uefi-systemen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/30\/windows-10-insides-zum-secure-boot-auf-uefi-systemen\/","title":{"rendered":"Windows 10: Insides zum Secure-Boot auf UEFI-Systemen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/01\/30\/windows-10-insides-zum-secure-boot-auf-uefi-systemen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft forciert f\u00fcr Windows 10-Systeme ja UEFI und den Secure Boot zur Absicherung. M\u00f6glicherweise sind einige Insides zum Secure-Boot auf UEFI-Systemen unter Windows 10 (64 Bit) von Interesse.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/b5493105f6844a449882cda9414aab0d\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin die Tage zuf\u00e4llig auf den <a href=\"https:\/\/twitter.com\/mniehaus\/status\/1354577404497338371\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Ex-Microsoft-Mitarbeiter Michael Niehaus gesto\u00dfen, der in seinem privaten Blog \u00fcber diverse Themen im Umfeld von Windows bloggt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/mniehaus\/status\/1354577404497338371\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\" Michael Niehaus on UEFI Secure Boot\" src=\"https:\/\/i.imgur.com\/2KfcT2f.png\" alt=\" Michael Niehaus on UEFI Secure Boot\" \/><\/a><\/p>\n<p>In seinem Blog-Beitrag <a href=\"https:\/\/oofhours.com\/2021\/01\/19\/uefi-secure-boot-who-controls-what-can-run\/\" target=\"_blank\" rel=\"noopener\">UEFI Secure Boot: Who controls what can run?<\/a> hat Niehaus einen Blick auf die Frage geworfen, wer kontrolliert, was gestartet werden darf. In der Secure Boot db sollten auf jeden Fall zwei Eintr\u00e4ge f\u00fcr Zertifikatsschl\u00fcssel sein:<\/p>\n<ul>\n<li>Microsoft Windows Production PCA 2011. Der Windows-Bootloader (bootmgr.efi) ist damit signiert, so dass Windows (und Windows PE) damit ausgef\u00fchrt werden kann.<\/li>\n<li>Microsoft Corporation UEFI CA 2011. Dieser Key wird von Microsoft verwendet, um Nicht-Microsoft-UEFI-Bootloader zu signieren, z. B. solche, die zum Laden von Linux oder anderen Betriebssystemen verwendet werden.<\/li>\n<\/ul>\n<p>Technisch gesehen ist das CA 2011 als \"optional\" beschrieben, aber es w\u00e4re ungew\u00f6hnlich, wenn ein Ger\u00e4t den Eintrag nicht enth\u00e4lt. Die weiteren Ausf\u00fchrungen im Blog-Beitrag sind vielleicht ganz hilfreich, wenn man wissen m\u00f6chte, welche Eintr\u00e4ge in der db enthalten sein sollen.<\/p>\n<p>In einem zweiten Blog-Beitrag <a href=\"https:\/\/oofhours.com\/2021\/01\/27\/uefi-secure-boot-yes-again\/\" target=\"_blank\" rel=\"noopener\">UEFI Secure Boot: Yes, again<\/a>, der in obigem Tweet verlinkt ist, geht Niehaus auf weitere Details der Secure Boot \"db\" auf UEFI-Ger\u00e4ten ein. Es gibt vier UEFI-Variablen:<\/p>\n<ul>\n<li>db, die \"signature database\" (Signaturdatenbank). Eintr\u00e4ge hier (typischerweise Zertifikate) bestimmen, welche EFI-Executables auf dem Ger\u00e4t ausgef\u00fchrt werden d\u00fcrfen. Dies ist also eine \"erlaubte\" Liste.<\/li>\n<li>dbx, die \"forbidden signatures database\". Eintr\u00e4ge hier sind typischerweise SHA256-Hashes von bestimmten UEFI-Bin\u00e4rdateien, d.h. von Dingen, die mit einem Zertifikat in der \"db\"-Liste signiert wurden, sich aber sp\u00e4ter als schlecht herausstellten (z.B. eine Sicherheitsl\u00fccke aufwiesen, die die Firmware kompromittiert). Dies ist also eine \"Block\"-Liste.<\/li>\n<li>kek, der \"key exchange key\" (Schl\u00fcsselaustauschschl\u00fcssel). Damit wird festgelegt, wer die Signaturdatenbank aktualisieren darf (die \"db\"- und \"dbx\"-Schl\u00fcssel). Interessanterweise k\u00f6nnen alle mit dem \"kek\"-Schl\u00fcssel signierten UEFI-Bin\u00e4rdateien auch auf dem Ger\u00e4t booten.<\/li>\n<li>pk, der \"platform key\" (Plattformschl\u00fcssel). Die Variable \"pk\" enth\u00e4lt ein einzelnes Zertifikat, das den Zugriff auf die Variablen \"kek\" und \"db\" steuert. Wenn dieser Wert gel\u00f6scht wird, wird Secure Boot effektiv ausgeschaltet (das Ger\u00e4t wird in den Setup-Modus versetzt).<\/li>\n<\/ul>\n<p>UEFI erlaubt die Ausf\u00fchrung einer UEFI-Bin\u00e4rdatei, wenn folgende Bedingungen erf\u00fcllt sind:<\/p>\n<ul>\n<li>diese ist mit einem Schl\u00fcssel in der \"db\" signiert oder hat seinen Hash explizit in der \"db\"<\/li>\n<li>diese ist mit einem Schl\u00fcssel im \"kek\" signiert (scheint ungew\u00f6hnlich zu sein)<\/li>\n<li>der Hash der UEFI-Bin\u00e4rdatei befindet sich nicht in der \"dbx\"-Liste.<\/li>\n<\/ul>\n<p>Niehaus zeigt in seinem Blog-Beitrag die Auflistung der betreffenden Eintr\u00e4ge f\u00fcr ein UEFI-System und gibt weitere Erkl\u00e4rungen rund um dieses Thema. Gegebenenfalls Lesefutter f\u00fcr Administratoren, die n\u00e4heres zu diesem Thema wissen m\u00f6chten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft forciert f\u00fcr Windows 10-Systeme ja UEFI und den Secure Boot zur Absicherung. M\u00f6glicherweise sind einige Insides zum Secure-Boot auf UEFI-Systemen unter Windows 10 (64 Bit) von Interesse.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-243790","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243790"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243790\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}