Mainboard-Firmware für UEFI Secure Boot

Mit Windows 8 will Microsoft das veraltete PC-BIOS ablösen: Komplettsysteme mit werksseitig vorinstalliertem Betriebssystem und Windows-8-Logo müssen die Hardware Certification Requirements erfüllen, die den UEFI-Modus mit aktivierter Secure-Boot-Funktion vorschreiben. Ohne bewussten Eingriff des Nutzers startet also außer dem vorinstallierten Windows 8 kein anderes Betriebssystem, außer wenn es einen von Microsoft digital signierten UEFI-Bootloader mitbringt.

Secure Boot soll dadurch den Start von Schadsoftware verhindern, blockiert aber zunächst auch das Booten vieler USB-Sticks oder optischer Medien und somit auch die Installation anderer Betriebssysteme. Microsoft schreibt zwar ebenfalls vor, dass sich Secure Boot auf normalen x86-PCs und -Notebooks abschalten lassen muss, aber dazu ist wohl je nach Mainboard-Firmware ein Ausflug ins BIOS- beziehungsweise UEFI-Setup nötig.

Secure Boot ist eine Funktion der 2011 verabschiedeten UEFI-Version 2.3.1 und bisher kaum in freier Wildbahn anzutreffen. Das ändert sich aber gerade, weil einige Mainboard-Hersteller wie Asrock, Asus, Gigabyte oder MSI erste (Beta-)Versionen von Firmware für bestimmte Platinen herausbringen, welche die Windows-8-Vorgaben erfüllen sollen. Leider spezifizieren die taiwanischen Firmen meistens nicht genau, welche Punkte der Spezifikation welche Firmware-Version genau erfüllt oder eben nicht. Doch mit der BIOS-Version L1.47 Beta für das Asrock B75M funktionierte unter Windows 8 Secure Boot und erlaubte erste Experimente.

Nach dem BIOS-Update ist Secure Boot zunächst abgeschaltet und es sind auch keine digitalen Zertifikate geladen. Beides muss man unabhängig voneinander per Setup-Option veranlassen. Nach einem Neustart ist Secure Boot dann aktiv, die Firmware arbeitet im "User Mode". Nur im Setup-Modus dürfen sich die Schlüssel und Datenbanken verändern lassen, doch die Asrock-Firmware kennt zwar den Setup-Mode, bietet aber – anders als das MSI-Mainboard im letzten Aldi-PC – keine Funktionen zur Beeinflussung von Schlüsseln (PK, KEK) oder Datenbanken (db, dbx).

Ob Windows 8 im Secure-Boot-Modus gestartet ist oder nicht, lässt sich nach unserem bisherigen Wissensstand nur anhand eines Registry-Schlüssels herausfinden. Unter HKLM\System\CurrentControlSet\Control\SecureBoot\State befindet sich der DWord-Wert "UEFISecureBootEnabled", der bei aktivem Secure Boot den Inhalt "1" hat und "0", wenn Secure Boot vor dem Start von Windows 8 per BIOS-Setup abgeschaltet wurde. Sonstige Auswirkungen von Secure Boot fielen beim Asrock B75M nicht auf.

Kernel-Mode-Treiber, die keine digitale Signatur besitzen, sollen sich aber im Secure-Boot-Modus nicht installieren lassen – doch solche Signaturen verlangt x64-Windows ja ohnehin und nur die 64-Bit-Version von Windows 8 unterstützt UEFI und somit auch Secure Boot. Spannend wird es dabei nur bei den erwarteten Atom-Tablets mit Intels Clover-Trail-Chips und Connected Standby: Die letztgenannte Funktion setzt Secure Boot voraus, andererseits gibt es für die PowerVR-Grafik dieser Atoms bisher nur 32-Bit-Treiber. Doch auch für die Windows-RT-Tablets mit ARM-SoCs ist die sonst von Microsoft verhinderte Kombination aus 32-Bit-Code und UEFI nötig.

Beim Asrock B75M mit Beta-Firmware ist der Start anderer Betriebssysteme im Secure-Boot-Modus übrigens kein Problem: Auch bei aktiviertem Secure Boot lässt sich per BIOS-Setup das Laden eines Compatibility Support Module (CSM) erlauben. Dieses CSM stellt nach dem eigentlichen Firmware-Start BIOS-Kompatibilität her, sodass beliebige andere Betriebssysteme ohne UEFI-Bootloader starten. Genau aus diesem Grund verlangt Microsoft in den Hardware Certification Requirements für Rechner mit Windows-8-Logo, dass bei Secure Boot das CSM unterbunden wird. Doch Asrock schreibt nur lakonisch in Bezug auf die CSM-Option: "Please don't set to disable unless runnig WHCK test", also ungefähr: "Bitte nicht abschalten, außer wenn man die Windows Hardware Certification prüft". Den WHCK-Test beschreibt Microsoft in einem PDF-Dokument.

Bis zum Windows-8-Start in etwas mehr als sechs Wochen muss jeder Mainboard- und Notebook-Hersteller, der Produkte für Computer mit Windows-8-Logo verkaufen will, die Secure-Boot-Vorgaben umgesetzt haben. Zumindest öffentlich bietet aber etwa Intel keine entsprechenden Updates für die eigenen Mainboards an. Linux-Entwickler feilen derweil an ihren Werkzeugen für UEFI Secure Boot; kommende Versionen der Distributionen Fedora, Suse und Ubuntu sollen damit umgehen können. Für bisherige Betriebssystem wie Windows 7 x64 ist aber anscheinend keine Secure-Boot-Nachrüstung geplant. (ciw)