UEFI Secure Boot im Linux Kontext

October 10, 2021

Vorteile

Folgende Vorteile ergeben sich beim Einsatz von Secure Boot:

Schutz vor Malware: Vor allem Rootkits, die sich in kritische Betriebssystem-Teile vor dem eigentlichen Boot einhängen, werden durch Secure Boot aufgedeckt. Durch das Signatur-System kann Software gezielt ausgeschlossen werden und nur gewünschte Software zum Einsatz kommen.

Nachteile

Vor allem, dass sich der Platform Key (PK, siehe weiter unten) nicht unter der Kontrolle des Endkunden befindet, entpuppt sich als Nachteil. Für Secure Boot müssen alle Software-Teile entsprechend signiert werden. Auch zugehörige Hardware-Treiber für die Firmware. Für den nachträglichen Einbau von Hardware in Systemen muss sicher gestellt sein, dass sich der Key des Hardware-Herstellers des neuen Bauteils auf dem System befindet.[1]

Wahl des Betriebssystems:

Alternative Betriebssysteme bzw. Dual-Boot-Konfigurationen werden durch Secure Boot erschwert. Die Tatsache, dass Linux-Installationen nur mehr nach einer manuellen Deaktivierung von Secure Boot in der UEFI-Firmware vorgenommen werden können, ergeben ein weiteres Hindernis beim Einsatz von Linux. Beim Dual-Boot müsste sogar ständig zwischen Secure und Nicht-Secure Boot gewechselt werden, um signierte und nicht signierte Betriebssysteme zu starten.

Empfehlungen von Canonical

In einem Whitepaper von Canonical (blog.canonical.com) werden folgenden Empfehlungen zu Secure Boot abgegeben:

Factory Default: Zur Zeit steht noch nicht fest, ob Linux out of the box verwendet werden kann. Mit standardmäßig deaktiviertem Secure Boot wäre es einfacher Linux zu verwenden, in puncto Sicherheit ist diese Einstellung umstritten, da nicht signierte OS-Loader ausgeführt werden können.

Für den Einsatz von Custom Firmwares müsste es eine Möglichkeit geben, im Setup Modus die Schlüssel rekonfigurieren zu können. Eine GUI bzw. ein User-Interface für diese Konfiguration wäre nötig, aufgrund des eingeschränkte Nutzer-Bereichs ist es fraglich, ob Firmware-Hersteller dieses Feature anbieten werden.

Das UEFI-System sollte im Setup Mode ausgeliefert werden (siehe weiter unten), wodurch die ersten Signatur-Keys während der Installation des OS in die Signatur-Datenbanken eingetragen werden können. Dadurch wird verhindert, das entgegen dem Willen des Users, sich bereits bei der Auslieferung Keys auf dem System befinden, die andere System ausschließen würden.

Quelle: https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot