Zunächst die einfache Antwort auf Ihre Frage:
Wenn Sie über ein ARM-Tablet mit Windows RT verfügen (wie Surface RT oder Asus Vivo RT), können Sie Secure Boot nicht deaktivieren oder andere Betriebssysteme installieren . Wie viele andere ARM-Tablets laufen diese Geräte nur mit dem Betriebssystem, mit dem sie geliefert werden.
Wenn Sie über einen Computer ohne ARM verfügen, auf dem Windows 8 ausgeführt wird (z. B. Surface Pro oder eines der zahlreichen Ultrabooks, Desktops und Tablets mit x86-64-Prozessor), können Sie den sicheren Start vollständig deaktivieren oder eigene Schlüssel installieren und unterschreiben Sie Ihren eigenen Bootloader. In jedem Fall können Sie ein Betriebssystem eines Drittanbieters installieren, z. B. eine Linux-Distribution oder FreeBSD oder DOS oder was auch immer Sie möchten.
Nun zu den Details, wie das ganze Secure Boot-Ding tatsächlich funktioniert: Es gibt eine Menge falscher Informationen über Secure Boot, insbesondere von der Free Software Foundation und ähnlichen Gruppen. Dies hat es schwierig gemacht, Informationen darüber zu finden, was Secure Boot tatsächlich tut. Daher versuche ich mein Bestes, um es zu erklären. Beachten Sie, dass ich keine persönlichen Erfahrungen mit der Entwicklung von sicheren Boot-Systemen oder Ähnlichem habe. Das ist genau das, was ich aus dem Online-Lesen gelernt habe.
Zunächst einmal ist Secure Boot nicht etwas, das Microsoft entwickelt hat. Sie sind die Ersten, die es umfassend implementiert haben, aber sie haben es nicht erfunden. Es ist Teil der UEFI-Spezifikation, die im Grunde einen neueren Ersatz für das alte BIOS darstellt, an das Sie wahrscheinlich gewöhnt sind. UEFI ist im Wesentlichen die Software, die zwischen Betriebssystem und Hardware kommuniziert. UEFI-Standards werden von einer Gruppe namens " UEFI Forum " erstellt, die sich aus Vertretern der Computerbranche zusammensetzt, darunter Microsoft, Apple, Intel, AMD und eine Handvoll Computerhersteller.
Der zweitwichtigste Punkt, dass Secure Boot auf einem Computer aktiviert ist, bedeutet nicht, dass der Computer niemals ein anderes Betriebssystem starten kann . Tatsächlich geben die eigenen Windows-Hardware-Zertifizierungsanforderungen von Microsoft an, dass Sie für Nicht-ARM-Systeme sowohl den sicheren Start deaktivieren als auch die Schlüssel ändern müssen (um andere Betriebssysteme zuzulassen). Aber dazu später mehr.
Was macht Secure Boot?
Im Wesentlichen wird verhindert, dass Malware Ihren Computer durch die Startsequenz angreift. Malware, die über den Bootloader eingedrungen ist, kann sehr schwer zu erkennen und zu stoppen sein, da sie untergeordnete Funktionen des Betriebssystems infiltrieren und für Antivirensoftware unsichtbar halten kann. Alles, was Secure Boot wirklich tut, ist, dass es überprüft, dass der Bootloader aus einer vertrauenswürdigen Quelle stammt und dass er nicht manipuliert wurde. Stellen Sie sich das so vor wie die Pop-Up-Kappen auf Flaschen mit der Aufschrift "Öffnen Sie sich nicht, wenn der Deckel aufgestoßen ist oder das Siegel manipuliert wurde".
Auf der obersten Schutzstufe haben Sie den Plattformschlüssel (PK). Es gibt nur einen einzigen PK in einem System, der während der Fertigung vom OEM installiert wird. Dieser Schlüssel dient zum Schutz der KEK-Datenbank. Die KEK-Datenbank enthält Schlüsselaustauschschlüssel, die zum Ändern der anderen sicheren Startdatenbanken verwendet werden. Es können mehrere KEKs vorhanden sein. Es gibt dann eine dritte Ebene: die Authorized Database (db) und die Forbidden-Datenbank (dbx). Diese enthalten Informationen zu Zertifizierungsstellen, zusätzlichen kryptografischen Schlüsseln und UEFI-Geräteimages, die zugelassen bzw. gesperrt werden sollen. Damit ein Bootloader ausgeführt werden kann, muss er mit einem Schlüssel, der sich in der Datenbankbibliothek befindet, kryptografisch signiert sein und sich nicht in der Datenbankbibliothek befinden.
Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI
Wie funktioniert das auf einem Windows 8-zertifizierten System?
Der OEM generiert eine eigene PK, und Microsoft stellt eine KEK bereit, die der OEM in die KEK-Datenbank vorladen muss. Microsoft signiert dann den Windows 8-Bootloader und verwendet diese KEK, um diese Signatur in der autorisierten Datenbank abzulegen. Wenn UEFI den Computer startet, wird der PK überprüft, der KEK von Microsoft und der Bootloader überprüft. Wenn alles gut aussieht, kann das Betriebssystem booten.
Image from Building Windows 8: Schutz der pre-OS-Umgebung mit UEFI
Woher kommen Betriebssysteme von Drittanbietern wie Linux?
Erstens könnte jede Linux-Distribution sich dafür entscheiden, eine KEK zu generieren und OEMs aufzufordern, diese standardmäßig in die KEK-Datenbank aufzunehmen. Sie hätten dann genauso viel Kontrolle über den Startvorgang wie Microsoft. Die Probleme, die von Fedora Matthew Garrett erklärt wurden, lauten: a) Es wäre schwierig, jeden PC-Hersteller dazu zu bringen, Fedoras Schlüssel einzubinden, und b) es wäre unfair gegenüber anderen Linux-Distributionen, da deren Schlüssel nicht enthalten wären und kleinere Distributionen haben nicht so viele OEM-Partnerschaften.
Was Fedora gewählt hat (und andere Distributionen folgen diesem Beispiel), ist die Verwendung der Signaturdienste von Microsoft. In diesem Szenario müssen Sie Verisign (der von Microsoft verwendeten Zertifizierungsstelle) 99 US-Dollar zahlen. Entwickler erhalten die Möglichkeit, ihren Bootloader mithilfe von Microsoft KEK zu signieren. Da sich Microsoft KEK bereits auf den meisten Computern befindet, können sie ihren Bootloader zur Verwendung von Secure Boot signieren, ohne einen eigenen KEK zu benötigen. Am Ende ist es mit mehr Computern kompatibel und kostet insgesamt weniger als die Einrichtung eines eigenen Schlüsselsignierungs- und Vertriebssystems. Weitere Informationen zur Funktionsweise (mit GRUB, signierten Kernel-Modulen und anderen technischen Informationen) finden Sie im oben genannten Blog-Post. Ich empfehle Ihnen die Lektüre, wenn Sie sich für diese Art von Dingen interessieren.
Angenommen, Sie möchten sich nicht mit der Mühe der Anmeldung bei Microsofts System auseinandersetzen oder 99 US-Dollar bezahlen oder sich einfach nur gegen Großkonzerne, die mit einem M beginnen, lehnen. Es gibt noch eine weitere Möglichkeit, Secure Boot zu verwenden und führen Sie ein anderes Betriebssystem als Windows aus. Die Hardwarezertifizierung von Microsoft erfordert, dass OEMs Benutzern erlauben, ihr System in den benutzerdefinierten UEFI-Modus einzugeben, in dem sie die Secure-Boot-Datenbanken und die PK manuell ändern können. Das System kann in den UEFI-Setup-Modus versetzt werden, in dem der Benutzer sogar seinen eigenen PK angeben und Bootloader selbst signieren kann.
Aufgrund der eigenen Zertifizierungsanforderungen von Microsoft müssen OEMs außerdem eine Methode zum Deaktivieren von Secure Boot auf Nicht-ARM-Systemen hinzufügen. Sie können Secure Boot ausschalten! Die einzigen Systeme, bei denen Sie den sicheren Start nicht deaktivieren können, sind ARM-Systeme, auf denen Windows RT ausgeführt wird. Diese Funktionen ähneln dem iPad, auf dem Sie keine benutzerdefinierten Betriebssysteme laden können. Ich wünsche mir zwar, dass das Betriebssystem auf ARM-Geräten geändert werden kann, doch kann man sagen, dass Microsoft hier den Industriestandard in Bezug auf Tablets einhält.
Sicheres Booten ist also nicht von Natur aus böse?
Wie Sie hoffentlich sehen können, ist Secure Boot nicht böse und kann nicht nur unter Windows verwendet werden. Der Grund, weshalb sich die FSF und andere so darüber aufregen, liegt darin, dass sie die Verwendung eines Drittanbieter-Betriebssystems um zusätzliche Schritte erweitert. Linux-Distributoren zahlen zwar nicht gerne für die Verwendung des Schlüssels von Microsoft, aber es ist der einfachste und kostengünstigste Weg, Secure Boot für Linux zum Laufen zu bringen. Glücklicherweise ist es einfach, Secure Boot zu deaktivieren, und es können verschiedene Schlüssel hinzugefügt werden, so dass kein Umgang mit Microsoft erforderlich ist.
In Anbetracht der immer komplexer werdenden Malware erscheint Secure Boot eine vernünftige Idee. Es ist nicht beabsichtigt, ein böser Plan zu sein, der die Welt erobern soll, und ist weit weniger beängstigend, als manche Experten von freier Software glauben.
Zusätzliche Lektüre:
- Microsoft-Hardware-Zertifizierungsanforderungen
- Erstellen von Windows 8: Schutz der Umgebung von Betriebssystemen mit UEFI
- Microsoft-Präsentation zur sicheren Startbereitstellung und Schlüsselverwaltung
- UEFI Secure Boot in Fedora implementieren
- TechNet Secure Boot Überblick
- Wikipedia-Artikel zu UEFI
TL; DR: Sicherer Start verhindert, dass Malware Ihr System während des Startens auf einem niedrigen, nicht nachweisbaren Level infiziert. Jeder kann die erforderlichen Schlüssel erstellen, damit es funktioniert. Es ist jedoch schwierig, Computerhersteller davon zu überzeugen, Ihren Schlüssel an alle zu verteilen. Sie können Verisign alternativ dafür zahlen, den Schlüssel von Microsoft zu verwenden, um Ihre Bootloader zu signieren und sie zum Laufen zu bringen. Sie können Secure Boot auch auf jedem Computer ohne ARM deaktivieren .
Letzter Gedanke in Bezug auf die FSF-Kampagne gegen Secure Boot: Einige ihrer Bedenken (dh die Installation freier Betriebssysteme wird schwieriger ) sind bis zu einem gewissen Punkt gültig . Zu sagen, dass die Einschränkungen "verhindern, dass jemand etwas anderes als Windows startet", ist aus den oben dargestellten Gründen nachweislich falsch. Kampagnen gegen UEFI / Secure Boot als Technologie sind kurzsichtig, falsch informiert und unwahrscheinlich. Es ist wichtiger, sicherzustellen, dass Hersteller tatsächlich die Anforderungen von Microsoft erfüllen, damit Benutzer den sicheren Start deaktivieren oder die Schlüssel ändern können, wenn sie dies wünschen.