Secure Boot

Anders verhalten sich Live-CDs mit 64 Bit und UEFI-Bootloader: Die können ganz normal im UEFI-Modus booten. Sie scheitern aber häufig an der fehlenden Signatur für Secure Boot. Welche das sind, zeigt die untenstehende Tabelle. Die Gparted Live-CD 0.14 etwa bootet an UEFI-PCs zunächst, wird dann aber vom System abgelehnt.

Die Sicherheitstechnik Secure Boot soll verhindern, dass sich auf dem PC ein Rootkit oder Bootkit einnistet, das noch vor dem eigentlichen Systemstart geladen wird.

Der Grund: Sicherheitssoftware – etwa der Virenscanner – startet zusammen mit Windows, kann also erst unter Windows aktiv werden. Die Malware ist aber oft so programmiert, dass sie sich tarnt und deshalb nur noch sehr schwer zu entdecken ist.

Um dem zuvorzukommen, wurde Secure Boot entwickelt. Secure Boot tritt bereits vor dem Windows-Start auf der UEFI-Ebene in Kraft und schützt so den PC.

Technisch funktioniert der Schutzmechanismus von Secure Boot so: Im UEFI sind vertrauenswürdige digitale Signaturen hinterlegt. Anhand dieser Signaturen überprüft UEFI den UEFI-Bootloader. Entspricht die Signatur des UEFI-Bootloaders derjenigen, die in UEFI hinterlegt ist, darf das System starten. Andernfalls unterbindet UEFI den Start des unbekannten Systems.

Der UEFI-Bootloader vergleicht anschließend ebenfalls anhand von Signaturen, ob der Kernel des Betriebssystems noch echt ist oder ob er zwischenzeitlich korrumpiert wurde.