Direkt zum Inhalt | Direkt zur Navigation

Sektionen

Focus on your applications!

Benutzerspezifische Werkzeuge

Sie sind hier: Startseite / Support / Glossar / Unified Extensible Firmware Interface

Unified Extensible Firmware Interface

erstellt von Veit Schiele zuletzt verändert: 27.08.2016 17:52

Das Unified Extensible Firmware Interface (UEFI) definiert die Schnittstelle zwischen Betriebssystem und Firmware. UEFI ersetzt das Basic Input/Output System (BIOS). UEFI unterstützt die Ferndiagnose und Reparatur von Computern, auch wenn kein Betriebssystem installiert ist.

EFI’s Position im Software Stack

EFI’s Position im Software Stack

Secure Boot

Ab der UEFI 2.3.1-Spezifikation ist ein Protokoll spezifiziert, das als Secure Boot bezeichnet wird. Dabei wird das Laden von Treibern verhindert, die nicht signiert sind. Bei aktiviertem Secure Boot wird ein öffentlicher Schlüssel, der sogenannte Platform Key (PK) in die Firmware geschrieben. Anschließend können nur noch Treiber von der Firmware geladen werden, die mit diesem Plattformschlüssel signiert wurden. Zusätzliche Key Exchange Keys (KEK) können in eine Datenbank geschrieben werden um weitere Zertifikate zu verwenden.

Secure Boot wird von einer Reihe von Linux-Distributionen unterstützt, einschließlich Fedora ≥ v18, openSUSE ≥ 12.3 und Ubuntu ≥ 12.04.2.

Kritik

Als Microsoft 2011 ankündigte, dass Computer für Windows 8 mit aktivem Secure Boot und einem privaten Schlüssel von Microsoft zertifiziert sein müssen, wurde kritisiert, dass dies die Installation alternativer Betriebssystem wie Linux behindere. Microsoft versicherte jedoch, dass dies nicht zu einem Vendor Lock-in führen sollte und präzisierte, dass Windows 8-zertifizierte Computer den Betrieb von Secure Boot im custom mode zulassen und damit zusätzliche öffentliche Schlüssel hinzugefügt werden können, die nicht mit dem privaten Schlüssel übereinstimmen müssen.

Auf der Black-Hat-Konferenz im August 2013 wurde eine Reihe von Secure Boot Exploits für spezifische UEFI-Implementierungen präsentiert. Im August 2016 wurde bekanntgegeben, dass der sog. Golden Key, mit dem Microsoft Betriebssysteme signiert, entdeckt wurde. Mit diesem Schlüssel lassen sich Rootkit- und Bootkit-Angriffe starten. Microsoft erklärte, dass diese Möglichkeit nur für die ARM-Architektur möglich wäre und veröffentlichte zwei Patches.


Varianten

  • UEFI
  • Secure Boot