Microsoft erzwingt auf Windows-8-ARM-Geräten UEFI Secure Boot

Microsoft hat eine vorläufige Version der Hardware-Vorgaben für kommende Windows-8-PCs veröffentlicht, welche Linux den Start auf UEFI-ARM-Rechnern erschwert.

In Pocket speichern vorlesen Druckansicht 660 Kommentare lesen
Lesezeit: 5 Min.

Microsoft hat eine erste Version der "Windows Hardware Certification Requirements" für Windows-8-Computer veröffentlicht (PDF-Datei). Dabei handelt es sich anscheinend um eine Neufassung der früher so bezeichneten "Logo Requirements": In diesen umfangreichen Spezifikationen legt Microsoft fest, welche Eigenschaften Computer(-komponenten) haben müssen, wenn sie das Windows-Logo tragen sollen. Die Namensänderung zu "Certification Requirements" deutet an, dass PC-, Tablet- und Komponentenhersteller künftig eine Zertifizierung beantragen müssen – anscheinend will Microsoft die Vorgaben strenger durchsetzen als bisher, um die Funktionen von Windows-8-Geräten genauer festzulegen.

Viele der neuen Vorgaben sind im Sinne der PC-Käufer; so sollen etwa Windows-8-Rechner mit USB-3.0-Buchsen künftig im Superspeed-Modus von USB-3.0-Speichermedien booten können (nicht Windows 8 selbst, aber etwa Windows PE), und USB-3.0-Adapter müssen eine minimale Datentransferrate von 300 MByte/s liefern. Microsoft schreibt auch sehr detailliert vor, wie schnell die GPU bestimmte Direct2D- und Direct3D-Aufgaben zu erledigen oder die gesamte Anzeige zu rotieren hat.

Doch vor allem der Linux-Gemeinde ist eine spezielle Vorgabe in Bezug auf die mit UEFI 2.3.1 eingeführte Funktion Secure Boot ein Dorn im Auge: Einerseits ist positiv zu vermerken, dass Microsoft verlangt, dass Secure Boot bei x86-Computern abschaltbar sein muss. Andererseits wiederum dürfen Windows-8-Systeme mit ARM-SoCs ausschließlich im Secure-Boot-Modus starten. Diese Vorgabe erzwingt den Einsatz von digital signierten Bootloadern, was wiederum den Start von Linux erschwert oder gar unmöglich macht.

Aaron Williamson vom Software Freedom Law Center schließt aus der Secure-Boot-Vorgabe, dass Microsoft damit letztlich den Start der meisten alternativen Betriebssysteme auf ARM-Geräten, die mit vorinstalliertem Windows 8 verkauft werden, verhindert. Bisher ist allerdings unklar, ob PC-Hersteller, die ein ARM-Gerät mit Windows 8 ausliefern wollen, das nicht auch unter Verzicht auf die Windows-8-Zertifizierung tun können. Dann könnten sie ja auf Microsofts Secure-Boot-Zwang verzichten.

Berücksichtigt man die bisherigen Aussagen von Microsoft zur SoC-Version von Windows 8, die es in ARM- und x86-Versionen geben soll, und zur Touch-optimierten Oberfläche Metro, dann wirkt der Zwang zu Secure Boot schlüssig: Apps für die Metro-Oberfläche sollen sich, genau wie es bei Apples iOS-Geräten der Fall ist, grundsätzlich nur aus dem Windows Store installieren lassen. Dort wiederum sollen ausschließlich von Microsoft geprüfte und digital signierte Programme zu haben sein. Offenbar zielt Microsoft darauf, mit Windows 8 auf ARM-SoCs eine ähnlich verlässliche Plattform zu schaffen wie Apple mit den iOS-Geräten; hier fürchten die Nutzer weniger böswillige Software als auf Windows-Rechnern.

UEFI Secure Boot passt in dieses Denkschema, weil die Funktion das Booten unsignierter Betriebssysteme sowie das Eindringen von Malware schon vor dem Windows-Start verhindern soll. Allerdings wurden ähnliche Mechanismen, die ja auch Apple bei iOS, Google bei Android oder Sony bei Spielkonsolen einsetzen, in der Vergangenheit stets von Hackern ausgehebelt. Und bisher gibt es wohl ohnehin noch keine Linux-Distribution, die auf ARM-SoCs im UEFI-Modus tatsächlich starten könnte, weil dieser Geräte bisher nicht im Handel sind – heutige ARM-Rechner nutzen andere Firmware-Spezifikationen.

Auch x86-Systeme mit UEFI 2.3.1 existieren bisher im Markt nicht, weshalb Experimente mit Secure Boot nur an Prototypen möglich wären. In den Certification Requirements für Windows 8 schreibt Microsoft UEFI-2.3.1-Firmware inklusive Secure Boot aber für alle zertifizierten Rechner, die mit Windows 8 ausgeliefert werden, zwingend vor. Windows 8 muss darauf auch im UEFI-Modus installiert sein, was bedeutet, dass die Festplatte (oder SSD) mit der Systempartition eine GUID-Partitionstabelle (GPT) besitzt. Darauf lässt sich kein bisheriges 32-Bit-Windows parallel installieren, weil sie keine GPT unterstützen und auch eine BIOS-kompatible Firmware verlangen. Theoretisch könnte man ein 32-Bit-Windows dann aber auf eine zweite Festplatte mit MBR installieren, sofern die Mainboard-Firmware optional auch einen BIOS-Modus kennt.

Heutige UEFI-Systeme kommen alle mit einem Compatibility Support Module (CSM), welches sie standardmäßig bei jedem Start laden, sodass sie anschließend BIOS-kompatibel arbeiten. Möchte man im UEFI-Modus starten, muss man die zugehörige Option meistens ausdrücklich anwählen. Bei zertifizierten Windows-8-Komplettrechnern und Notebooks wird das genau umgekehrt sein. Manche dieser Geräte, nämlich solche, die den neuen Schlafmodus "Connected Standby" unterstützen, dürfen kein CSM mehr besitzen (UEFI Class 3): Laut Microsoft soll das bestimmte Angriffsversuche verhindern. Nur auf Windows-8-Systemen ohne Connected Standby wird man also in Zukunft noch im BIOS-Modus starten können, was etwa auch für das Booten von CD, DVD oder USB-Stick wichtig sein kann, sofern auf diesen keine UEFI-tauglichen Betriebssysteme liegen. (ciw)