UEFI Secureboot

UEFI Secureboot

Fri 07 December 2012

Du har kanskje hørt om secureboot og at dette vil få innvirkning på de av oss som driver med andre operativsystemer en Windows. Her skal jeg liste opp noen fakta og prøve å forklare hva secureboot dreier seg om.

Hva er Secureboot?

Secureboot er en sikkerhetsmekanisme som bruker digitale signaturer for å verifisere drivere.UEFI Logo
Det har blitt brukt for å signere drivere og programmer slik at man skal kunne stole på at det ikke har blitt tuklet med.
I 2008 ble standarden utvidet til også å omfatte bootloadere. Secureboot tillater kun kjøring av kode som er signert og verifisert.
Temaet er aktuelt nå fordi Microsoft krever at Secureboot er aktivert på alle maskiner som skal merkes Windows 8 kompatibel.

Hvordan virker Secureboot?

Når du skrur på maskinen din vil Secureboot kontrollere firmware signaturen på grafikkkortet, nettverkskortet eller diskene. Om disse signaturene kan verifiseres vil de få lov til å kjøre koden sin, om signaturene ikke er godkjent av secureboot er det stopp.
Signaturer lagres i 2 databaser i selve UEFI firmwaren. Allowed / Disallowed indikerer om bootingen kan fortsette eller ikke.
Signatur databasene følger som nevnt med alle maskiner som skal være Windows 8 kompatible.

Fordeler med Secureboot.

  • Det vil bli litt vanskeligere for de som ønsker å spre malware, bootvirus og rootkit kamuflert som drivere.

Ulemper med Secureboot.

  • En av de største utfordringene er at operativsystem som ikke signerer bootloaderen sin vil feile ved oppstart.

Dette betyr at de forskjellige Linux distroene må foreta seg noe i forhold til dette om de skal fungere.
Det finnes to alternativer for distroer som ønsker å fungere med Secureboot.

  1. Signere med eksisterende nøkkel
  2. Signere med egen nøkkel
  • Alternativ 1 er det enkleste, og er det Fedora har valgt. De signerer med en nøkkel fra Microsoft
  • Alternativ 2 er mer komplisert, og er det Ubuntu har valgt. De signerer og distribuerer egne nøkler.

For de fleste er nok alternativ 1 det som er mest aktuelt. For rundt 100$ får man signert det man trenger av binærfiler. Man kan da signere minimal bootloader som så laster grub2 (Fedora).

For de mindre distroene kan alternativet være å be brukeren skru av Secureboot mekanismen. Men hvordan dette gjøres kan variere mellom hovedkortene.

Jeg håper flest mulig velger alternativ 1 eller 2, men tror at de som er interessert i å kjøre de mindre distroene uansett vil være kompetente nok til å skru av secureboot mekanismen dersom det blir nødvendig.


Og som alltid bør du skumme igjennom artikkelen om UEFI Secureboot på wikipedia: http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot

Tagged as : uefi secureboot