zurück zum Artikel

Microsoft erzwingt auf Windows-8-ARM-GerÀten UEFI Secure Boot

| Christof Windeck

Microsoft hat eine vorlĂ€ufige Version der Hardware-Vorgaben fĂŒr kommende Windows-8-PCs veröffentlicht, welche Linux den Start auf UEFI-ARM-Rechnern erschwert.

Microsoft hat eine erste Version der "Windows Hardware Certification Requirements" fĂŒr Windows-8-Computer veröffentlicht [1] (PDF-Datei). Dabei handelt es sich anscheinend um eine Neufassung der frĂŒher so bezeichneten "Logo Requirements": In diesen umfangreichen Spezifikationen legt Microsoft fest, welche Eigenschaften Computer(-komponenten) haben mĂŒssen, wenn sie das Windows-Logo tragen sollen. Die NamensĂ€nderung zu "Certification Requirements" deutet an, dass PC-, Tablet- und Komponentenhersteller kĂŒnftig eine Zertifizierung beantragen mĂŒssen – anscheinend will Microsoft die Vorgaben strenger durchsetzen als bisher, um die Funktionen von Windows-8-GerĂ€ten genauer festzulegen.

Viele der neuen Vorgaben sind im Sinne der PC-KĂ€ufer; so sollen etwa Windows-8-Rechner mit USB-3.0-Buchsen kĂŒnftig im Superspeed-Modus von USB-3.0-Speichermedien booten können (nicht Windows 8 selbst, aber etwa Windows PE), und USB-3.0-Adapter mĂŒssen eine minimale Datentransferrate von 300 MByte/s liefern. Microsoft schreibt auch sehr detailliert vor, wie schnell die GPU bestimmte Direct2D- und Direct3D-Aufgaben zu erledigen oder die gesamte Anzeige zu rotieren hat.

Doch vor allem der Linux-Gemeinde ist eine spezielle Vorgabe in Bezug auf die mit UEFI 2.3.1 eingefĂŒhrte Funktion Secure Boot [2] ein Dorn im Auge: Einerseits ist positiv zu vermerken, dass Microsoft verlangt, dass Secure Boot bei x86-Computern abschaltbar sein muss. Andererseits wiederum dĂŒrfen Windows-8-Systeme mit ARM-SoCs ausschließlich im Secure-Boot-Modus starten. Diese Vorgabe erzwingt den Einsatz von digital signierten Bootloadern, was wiederum den Start von Linux erschwert [3] oder gar unmöglich macht.

Aaron Williamson vom Software Freedom Law Center schließt [4] aus der Secure-Boot-Vorgabe, dass Microsoft damit letztlich den Start der meisten alternativen Betriebssysteme auf ARM-GerĂ€ten, die mit vorinstalliertem Windows 8 verkauft werden, verhindert. Bisher ist allerdings unklar, ob PC-Hersteller, die ein ARM-GerĂ€t mit Windows 8 ausliefern wollen, das nicht auch unter Verzicht auf die Windows-8-Zertifizierung tun können. Dann könnten sie ja auf Microsofts Secure-Boot-Zwang verzichten.

BerĂŒcksichtigt man die bisherigen Aussagen von Microsoft zur SoC [5]-Version von Windows 8, die es in ARM- und x86-Versionen geben soll, und zur Touch-optimierten OberflĂ€che Metro [6], dann wirkt der Zwang zu Secure Boot schlĂŒssig: Apps fĂŒr die Metro-OberflĂ€che sollen sich, genau wie es bei Apples iOS-GerĂ€ten der Fall ist, grundsĂ€tzlich nur [7] aus dem Windows Store [8] installieren lassen. Dort wiederum sollen ausschließlich von Microsoft geprĂŒfte und digital signierte Programme zu haben sein. Offenbar zielt Microsoft darauf, mit Windows 8 auf ARM-SoCs eine Ă€hnlich verlĂ€ssliche Plattform zu schaffen wie Apple mit den iOS-GerĂ€ten; hier fĂŒrchten die Nutzer weniger böswillige Software als auf Windows-Rechnern.

UEFI Secure Boot passt in dieses Denkschema, weil die Funktion das Booten unsignierter Betriebssysteme sowie das Eindringen von Malware schon vor dem Windows-Start verhindern soll. Allerdings wurden Ă€hnliche Mechanismen, die ja auch Apple bei iOS, Google bei Android oder Sony bei Spielkonsolen einsetzen, in der Vergangenheit stets von Hackern ausgehebelt. Und bisher gibt es wohl ohnehin noch keine Linux-Distribution, die auf ARM-SoCs im UEFI-Modus tatsĂ€chlich starten könnte, weil dieser GerĂ€te bisher nicht im Handel sind – heutige ARM-Rechner nutzen andere Firmware-Spezifikationen.

Auch x86-Systeme mit UEFI 2.3.1 existieren bisher im Markt nicht, weshalb Experimente mit Secure Boot nur an Prototypen möglich wĂ€ren. In den Certification Requirements fĂŒr Windows 8 schreibt Microsoft UEFI-2.3.1-Firmware inklusive Secure Boot aber fĂŒr alle zertifizierten Rechner, die mit Windows 8 ausgeliefert werden, zwingend vor. Windows 8 muss darauf auch im UEFI-Modus installiert sein, was bedeutet, dass die Festplatte (oder SSD) mit der Systempartition eine GUID-Partitionstabelle (GPT) besitzt. Darauf lĂ€sst sich kein bisheriges 32-Bit-Windows parallel installieren, weil sie keine GPT unterstĂŒtzen und auch eine BIOS-kompatible Firmware verlangen. Theoretisch könnte man ein 32-Bit-Windows dann aber auf eine zweite Festplatte mit MBR installieren, sofern die Mainboard-Firmware optional auch einen BIOS-Modus kennt.

Heutige UEFI-Systeme kommen alle mit einem Compatibility Support Module (CSM [9]), welches sie standardmĂ€ĂŸig bei jedem Start laden, sodass sie anschließend BIOS-kompatibel arbeiten. Möchte man im UEFI-Modus starten, muss man die zugehörige Option meistens ausdrĂŒcklich anwĂ€hlen. Bei zertifizierten Windows-8-Komplettrechnern und Notebooks wird das genau umgekehrt sein. Manche dieser GerĂ€te, nĂ€mlich solche, die den neuen Schlafmodus "Connected Standby" unterstĂŒtzen, dĂŒrfen kein CSM mehr besitzen (UEFI Class 3): Laut Microsoft soll das bestimmte Angriffsversuche verhindern. Nur auf Windows-8-Systemen ohne Connected Standby wird man also in Zukunft noch im BIOS-Modus starten können, was etwa auch fĂŒr das Booten von CD, DVD oder USB-Stick wichtig sein kann, sofern auf diesen keine UEFI-tauglichen Betriebssysteme liegen. (ciw [10])

URL dieses Artikels:
https://www.heise.de/-1413109

Links in diesem Artikel:
[1] http://download.microsoft.com/download/A/D/F/ADF5BEDE-C0FB-4CC0-A3E1-B38093F50BA1/windows8-hardware-cert-requirements-system.pdf
[2] https://www.heise.de/news/FSF-warnt-vor-Secure-Boot-in-Windows-8-1363347.html
[3] http://www.heise.de/open/artikel/Die-Woche-Linux-wird-nicht-ausgebootet-1348799.html
[4] http://www.softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-locks-down-ARM/
[5] http://www.heise.de/glossar/entry/System-on-Chip-921370.html
[6] https://www.heise.de/news/Die-Touch-Oberflaeche-von-Windows-8-1254290.html
[7] http://msdn.microsoft.com/en-us/library/windows/apps/hh464912.aspx#a_new_sdk_for_building_metro_style_apps
[8] https://www.heise.de/news/Microsoft-verkuendet-Details-zum-App-Store-fuer-Windows-8-1391234.html
[9] http://heise.de/-1398386
[10] mailto:ciw@ct.de

Copyright © 2012 Heise Medien