Inhaltsverzeichnis
UEFI Secure Boot – der Garant für Integrität von Firmware und Software
Als Bestandteil der UEFI-Spezifikation stellt der Sicherheitsstandard “Secure Boot” die Integrität von Firmware und Software sicher. Um dieses übergeordnete Ziel zu erreichen, baut Secure Boot eine Vertrauensbeziehung zwischen dem UEFI-BIOS und den Programmen auf, die gestartet werden sollen. Neben UEFI-Treibern und –Dienstprogrammen geht es auch um das Laden des Betriebssystems. Unter anderem bei Rechnern mit Windows 10 und Windows 11 kann Secure Boot mit wenigen Schritten aktiviert oder deaktiviert werden.
Doch welche Vorteile bietet UEFI Secure Boot und wie funktioniert die Technologie? In diesem Blogbeitrag fassen wir die wichtigsten Informationen für Sie zusammen.
Was bewirkt UEFI Secure Boot?
Nach entsprechender Aktivierung und Konfiguration darf nur die Software oder Firmware ausgeführt werden, die über eine Signierung verfügt. Softwarelösungen, die auf einer schwarzen Liste verzeichnet sind, können nicht genutzt werden.
Dabei ist zu berücksichtigen, dass es um die Software geht, die nach dem Start des Rechners ausgeführt werden soll. Schadsoftware, die im laufenden Betrieb von einer Homepage heruntergeladen wurde, wird von Secure Boot nicht neutralisiert. Somit kann nicht auf eine aktuelle Antivirensoftware, wie zum Beispiel G Data Internet Security 2022, verzichtet werden.
Secure Boot sorgt dafür, dass ein System vor Rootkits, böswilligen Angriffen und nicht autorisierten Software-Updates geschützt ist, die vor dem Start des installierten Betriebssystems einen Schaden anrichten können.
Digitale Signaturen – ein wichtiger Aspekt bei Secure Boot
Bei der Überprüfung von Firmware und Software stellen digitale Signaturen den entscheidenden Dreh- und Angelpunkt dar. Die Grundidee digitaler Signaturen besteht darin, ein Schlüsselpaar zu generieren: Als erstes Element ist ein privater Schlüssel zu nennen, der vom Urheber geheim gehalten und gesichert werden muss. Daneben existiert ein öffentlicher Schlüssel, der frei verteilt werden kann.
Die mathematische Korrelation zwischen diesem öffentlichen/privaten Schlüsselpaar ermöglicht es, die digitale Signatur einer Nachricht auf Authentizität zu prüfen. Um die Überprüfung durchzuführen, ist nur der öffentliche Schlüssel erforderlich. Die Nachricht kann als mit dem privaten Schlüssel signiert verifiziert werden, ohne jemals den privaten Schlüssel selbst zu kennen.
Ein weiteres Merkmal dieses öffentlichen/privaten Schlüsselpaars besteht darin, dass es nahezu ausgeschlossen ist, den privaten Schlüssel aus dem Inhalt des öffentlichen Schlüssels zu berechnen. Diese Eigenschaft bzw. Funktion ermöglicht die Verteilung des öffentlichen Schlüssels, ohne den privaten Schlüssel zu kompromittieren.
Schließlich kann eine Nachricht nicht mit dem öffentlichen Schlüssel signiert werden. Nur der private Schlüssel ist in der Lage, die Nachricht ordnungsgemäß zu signieren. Dies ist der grundlegende Mechanismus, den die digitale Signaturtechnologie verwendet, um die Integrität einer Nachricht zu überprüfen, ohne die Details oder den Inhalt des privaten Schlüssels zu gefährden.
Secure Boot – eine Sammlung von Schlüsseln
Die UEFI Secure Boot-Technologie baut auf einer Sammlung von Schlüsseln auf. Wichtige Elemente sind der Plattformschlüssel (Platform Key; PK), der Schlüsselaustauschschlüssel (Key Exchange Key; KEK), die Whitelist-Datenbank (DB) und die Blacklist-Datenbank (DBX).
Auf einem System mit aktiviertem und konfiguriertem Secure Boot enthält jedes dieser Elemente die öffentlichen Teile der öffentlichen/privaten Schlüsselpaare. Die Schlüssel werden verwendet, um verschiedene Komponenten der Firmware und Software zu autorisieren.
Der Plattformschlüssel (PK) stellt eine Vertrauensbeziehung zwischen dem Plattformbesitzer und der Firmware (UEFI-BIOS) her, indem er den Zugriff auf die KEK-Datenbank steuert. Es gibt einen einzelnen PK pro Plattform, und der öffentliche Teil des PK wird im System installiert, normalerweise während der Produktion beim OEM. Der private Teil des PK ist zum Ändern der KEK-Datenbank erforderlich.
Die Key Exchange Key (KEK)-Datenbank stellt eine Vertrauensbeziehung zwischen der Firmware und dem Betriebssystem her. Der KEK besteht aus einer Liste öffentlicher Schlüssel, die auf Autorisierung zum Ändern der Whitelist-Datenbank (DB) oder Blacklist-Datenbank (DBX) überprüft werden können. Es kann mehrere KEKs pro Plattform geben. Der private Teil eines KEK ist zum Modifizieren der DB oder DBX erforderlich.
Die Whitelist-Datenbank (DB) ist eine Liste öffentlicher Schlüssel, die verwendet werden, um die digitale Signatur einer bestimmten Firmware oder Software zu überprüfen. Das System überprüft zum Beispiel die digitale Signatur eines Bootloaders unter Verwendung der öffentlichen Schlüssel in der DB, und wenn dieser Bootloader mit einem entsprechenden privaten Schlüssel signiert wurde, dann darf der Bootloader ausgeführt werden. Andernfalls wird die Software als nicht autorisiert gesperrt.
Umgekehrt ist die Blacklist-Datenbank (DBX) eine Liste öffentlicher Schlüssel, von denen bekannt ist, dass sie bösartiger oder nicht autorisierter Firmware oder Software entsprechen. Jede Software, die mit einem entsprechenden privaten Schlüssel aus dieser Datenbank signiert wurde, wird blockiert.
Fazit: Ein effizienter Schutz vor Schadsoftware
Zusammenfassend kann gesagt werden, dass mit einem raffinierten Verschlüsselungssystem sichergestellt wird, dass Viren, Würmer oder Rootkits keinen Schaden anrichten können. Ob Windows 10 oder Windows 11, die Secure Boot-Technologie sorgt dafür, dass das Betriebssystem ohne Beeinträchtigungen durch Schadsoftware starten kann.
Wenn Sie Ihren Rechner mit einer aktuellen Antivirensoftware vor Cyberbedrohungen während des regulären Betriebs schützen möchten, sind Sie bei Softwarekaufen24 genau richtig. Bei uns erhalten Sie neben Betriebssystemen und Microsoft Office auch Sicherheitssoftware wie Bitdefender Internet Security 2022 zu einem herausragenden Preis-Leistungs-Verhältnis.