Windows sicherer dank UEFI?

Microsoft plant in Windows 8 neue Sicherheitstechniken zu nutzen, die der UEFI-2.3.1-Standard bietet (Unified Extensible Firmware Interface). Mit UEFI soll der PC-Start nicht nur schneller, sondern auch sicherer werden. American Megatrends (AMI), Insyde Software und Phoenix haben bereits entsprechende UEFI-Varianten für Notebooks oder PCs angekündigt.

UEFI 2.3.1 bietet neue Funktionen, mit denen sich ein PC schon vor dem Start des Betriebssystems gegen Angriffe schützen lässt. Durch kryptografische Absicherung soll UEFI 2.3.1 im Secure-Boot-Modus nur digital signierte EFI-Bootloader und Gerätetreiber laden und ausführen. Der EFI-Bootloader kann auch TCG-OPAL-kompatible Festplatten mit Verschlüsselung (Self-Encrypting Drives, SEDs) entschlüsseln. Weil Secure Boot ausschließlich im UEFI-Modus funktioniert, lässt sich das Betriebssystem bei einem „Legacy Boot“ - also über das herkömmliche BIOS — nicht mehr laden. In einer PDF-Datei erläutert die Firma Insyde das Konzept. „Secure Boot“ verwendet eine Schlüsselverwaltung (Key Management Service, KMS) über das Netzwerk und ein Hardware Security Module (HSM), das in einem Chip auf der Hauptplatine untergebracht ist.

Die neue Version 2.3.1 mit der UEFI-Funktion „Secure Boot“ soll es zuerst für Bürocomputer und Firmen-Notebooks geben. Wann und ob auch Privatanwender in den Genuss von „Secure Boot“ kommen, ist noch offen. Windows 8 soll Anfang 2012 auf den Markt kommen.