{"id":4698,"date":"2011-09-06T12:37:00","date_gmt":"2011-09-06T10:37:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/2011\/09\/06\/uefi-2-3-1-secure-boot-fr-windows-8\/"},"modified":"2014-06-11T21:44:30","modified_gmt":"2014-06-11T20:44:30","slug":"uefi-2-3-1-secure-boot-fr-windows-8","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2011\/09\/06\/uefi-2-3-1-secure-boot-fr-windows-8\/","title":{"rendered":"UEFI 2.3.1: Secure Boot für Windows 8?"},"content":{"rendered":"

Dass die ARM-Varianten von Windows 8 zwingend auf UEFI aufsetzen und dass dieses Interface auch bei Verwendung von Festplatten mit mehr als 2 TB Kapazit\u00e4t erforderlich ist, hatte ich hier<\/a> bereits gebloggt. Jetzt berichten heise.de<\/a> und das com-magazin<\/a>, dass Windows 8 die Funktion \"Secure Boot\" nutzen k\u00f6nnen soll, die Bestandteil der UEFI 2.3.1<\/a>-Version ist. <\/p>\n

<\/p>\n

Diese Secure Boot-Funktion soll, \u00e4hnlich wie die fr\u00fcher geplanten TPM-Module, den Bootvorgang absichern. So kann der Bootlader auf eine Signatur \u00fcberpr\u00fcft werden und nur digital signierte Bootlader werden akzeptiert. Zwischenzeitlich gibt es bereits eine Pr\u00e4sentation<\/a> der Firma Insyde im PDF-Format zu diesem Thema. Diese Pr\u00e4sentation vom Juli 2011 sowie der Heise-Artikel skizzieren, was man sich darunter vorzustellen hat.<\/p>\n

Beim Lesen wusste ich allerdings nicht, ob ich lachen oder weinen sollte. Einerseits ist Secure Boot nat\u00fcrlich eine sch\u00f6ne M\u00f6glichkeit, das Einnisten von Root-Kits zu verhindern (sofern nicht irgendwelche Sicherheitsl\u00fccken bekannt werden, mit dem sich der UEFI Secure Boot aushebeln l\u00e4sst). F\u00fcr Firmenger\u00e4te und sicherheitsrelevante Szenarien ist dies sicherlich zu begr\u00fc\u00dfen. <\/p>\n

Allerdings sehe ich auch sofort das \"Missbrauchspotential\". Ein Tablet PC mit UEFI 2.3.1, bei dem Secure Boot aktiv ist, kann nur noch Windows 8 (oder was der Hersteller zul\u00e4sst) booten. Die M\u00f6glichkeit, mal ein Android, ein Linux, Megoo oder was auch immer auf der Platform auszuprobieren, ist damit verbaut. Aber es kommt noch schlimmer, wie wir bei Android gesehen haben. Stellt der Hersteller keine Updates f\u00fcr das Betriebssystem bereit, kann der Anwender (selbst wenn diese verf\u00fcgbar sind) diese nicht auf dem Ger\u00e4t installieren \u2013 denn er br\u00e4uchte einen digital signierten Bootlader. Erst k\u00fcrzlich hat HTC nach vielen Anwenderprotesten angek\u00fcndigt, die entsprechende Sperre, die signierte Bootlader erzwingt, auf seinen Android-Ger\u00e4ten k\u00fcnftig zu entfernen.  <\/p>\n

Zwar ist bei Windows 8 kein Android-Update-Zyklus zu erwartet und Microsoft wird vieles in der Hand behalten. Aber momentan sehe ich mich nicht in der Lage, abzusch\u00e4tzen, was f\u00fcr \"Schweinereien\" sich mit diesem Ansatz durch die Hersteller treiben lassen.<\/p>\n

UEFI 2.3.1 ist gerade erst erschienen und heise.de schreibt korrekt im Artikel, dass bisher noch niemand eine entsprechende Implementierung vorliegen hat. Aber sowohl AMI und Ph\u00f6nix haben laut heise.de entsprechende UEFI-Varianten angek\u00fcndigt. Hier wird man abwarten m\u00fcssen, wie sich das Ganze konkret entwickelt \u2013 aber so wie ich es sehe, bin ich nicht sonderlich zuversichtlich, dass die Ger\u00e4te zuk\u00fcnftig \"offener\" werden. Die Zeiten, wo man ein St\u00fcck Hardware als Experimentierplattform f\u00fcr verschiedene Betriebssysteme einsetzen konnte, neigen sich damit ihrem Ende zu. In den heise.de-Kommentaren gibt es zwar diese Stimme<\/a>, die Hoffnung aufkeimen l\u00e4sst. Aber glauben will ich es erst, wenn ich ein entsprechendes St\u00fcck Hardware in den Fingern hatte und auch \u00fcberzeugt wurde, dass dieses repr\u00e4sentativ f\u00fcr den Rest der Mainboards ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dass die ARM-Varianten von Windows 8 zwingend auf UEFI aufsetzen und dass dieses Interface auch bei Verwendung von Festplatten mit mehr als 2 TB Kapazit\u00e4t erforderlich ist, hatte ich hier bereits gebloggt. Jetzt berichten heise.de und das com-magazin, dass Windows … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1463,1462,4336],"class_list":["post-4698","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-secure-boot","tag-uefi-2-3-1","tag-windows-8-beta"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/4698","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=4698"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/4698\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=4698"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=4698"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=4698"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}