Secure Boot
Was ist Secure Boot?
Secure BootUEFI-Funktion, die jede Bootkomponente kryptografisch verifiziert und Bootloader, Kernel oder Treiber ablehnt, die nicht von einer vertrauenswurdigen Stelle signiert sind.
Secure Boot ist eine Funktion der UEFI-Spezifikation, die eine Vertrauenskette von der Plattform-Firmware bis zum Betriebssystem aufbaut. Bei jedem Schritt prufen die Firmware die Signatur der nachsten Stufe (Bootloader, Kernel, Treiber) gegen Schlussel in geschutzten Variablen: PK, KEK, db und dbx. Fehlt die Signatur oder ist sie revoziert, bricht der Boot ab. Secure Boot wehrt Pre-OS-Malware wie Bootkits und persistente Rootkits (LoJax, BlackLotus) ab. Windows 11 fordert es, grosse Linux-Distros nutzen es uber shim. Erganzt wird es durch Measured Boot via TPM-PCRs und Dienste wie Intel BootGuard.
● Beispiele
- 01
Microsoft widerruft nach BlackLotus angreifbare Boot-Binaries uber das UEFI-dbx.
- 02
Eine Linux-Distribution signiert GRUB uber shim unter der Microsoft-UEFI-CA, um auf OEM-Firmware zu booten.
● Häufige Fragen
Was ist Secure Boot?
UEFI-Funktion, die jede Bootkomponente kryptografisch verifiziert und Bootloader, Kernel oder Treiber ablehnt, die nicht von einer vertrauenswurdigen Stelle signiert sind. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet Secure Boot?
UEFI-Funktion, die jede Bootkomponente kryptografisch verifiziert und Bootloader, Kernel oder Treiber ablehnt, die nicht von einer vertrauenswurdigen Stelle signiert sind.
Wie funktioniert Secure Boot?
Secure Boot ist eine Funktion der UEFI-Spezifikation, die eine Vertrauenskette von der Plattform-Firmware bis zum Betriebssystem aufbaut. Bei jedem Schritt prufen die Firmware die Signatur der nachsten Stufe (Bootloader, Kernel, Treiber) gegen Schlussel in geschutzten Variablen: PK, KEK, db und dbx. Fehlt die Signatur oder ist sie revoziert, bricht der Boot ab. Secure Boot wehrt Pre-OS-Malware wie Bootkits und persistente Rootkits (LoJax, BlackLotus) ab. Windows 11 fordert es, grosse Linux-Distros nutzen es uber shim. Erganzt wird es durch Measured Boot via TPM-PCRs und Dienste wie Intel BootGuard.
Wie schützt man sich gegen Secure Boot?
Schutzmaßnahmen gegen Secure Boot kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- cryptography№ 1178
Trusted Platform Module (TPM)
Standardisierter Sicherheits-Chip, aufgelotet oder als Firmware, der Hardware-verankerte Schlusselablage, Attestation und Measured Boot bereitstellt.
- malware№ 117
Bootkit
Schadsoftware, die den Startvorgang infiziert — MBR, VBR oder UEFI — und sich vor dem Betriebssystem lädt, um dauerhaft privilegierte Kontrolle zu erlangen.
- malware№ 949
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.
- cryptography№ 462
Hardware-Token
Physisches Gerat, das kryptografische Secrets halt und Authentifizierungsoperationen ausfuhrt; in MFA als Besitzfaktor eingesetzt.
- cryptography№ 321
Digitale Signatur
Asymmetrisches kryptografisches Verfahren, das Authentizität, Integrität und Nichtabstreitbarkeit einer Nachricht oder eines Dokuments belegt.
- cryptography№ 879
Public-Key-Kryptographie
Zweig der Kryptographie, der mit Paaren aus öffentlichem und privatem Schlüssel Verschlüsselung, Schlüsseltausch, digitale Signaturen und Authentifizierung ohne vorab geteiltes Geheimnis ermöglicht.
● Siehe auch
- № 445Glitch-Angriff
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460Hardware-Attestation