UEFI - Unified Extensible Firmware Interface
Das BIOS eines PCs basiert im Prinzip auf dem im Jahr 1982 von IBM eingeführten BIOS. Seit dem wurde es mit Erweiterungen an die moderne Hardware angepasst. Eine der Hauptaufgaben des BIOS ist, die einzelnen Hardware-Komponenten an das Betriebssystem anzumelden. Das Problem dabei sind die nicht standardisierten Prozeduren. Jeder BIOS-Hersteller hat eine andere Grund-Konfigurationen mit vielen verschiedenen Einstellungsmöglichkeiten.
Das Unified Extensible Firmware Interface (UEFI) soll das klassische BIOS in PCs mit x86- und x64-Prozessoren ablösen, um mit den Unzulänglichkeiten eines veralteten BIOS aufzuräumen, neue Funktionen zu ermöglichen und Lizenzzahlungen an IBM (BIOS-Patent) zu vermeiden.
Die Begriffe UEFI und BIOS werden häufig synonym verwendet. Obwohl ein Mainboard eine UEFI-Firmware hat, spricht man vom BIOS. Das ist vermutlich sogar richtig, wenn aus Kompatibilitätsgründen dem BIOS ein UEFI übergestülpt ist.
Die UEFI-Spezifikation definiert ein Embedded-System, das sich einfacher bedienen lässt, hochauflösende Grafikkarten unterstützt und netzwerkfähig ist.
- Software ist in C geschrieben
- Kompatibilität durch BIOS-Simulation
- modulare Erweiterbarkeit
- Netzwerkfähigkeit
- hochauflösende Grafik
- Booten von Datenträgern mit mehr als 2,2 TByte
- Verwalten von bis zu 127 Partitionen
Compatibilty Support Module (CSM)
Moderne Mainboards verzichten ganz auf ein BIOS. Die Initialisierung der Hardware übernimmt hier das UEFI. Einen Unterschied bemerkt man als Anwender nicht. Außer wenn man auf eine farbenfrohe Konfigurationsoberfläche stößt.
Es gibt Systeme, die standardmäßig nicht im UEFI-Modus starten, sondern zuerst das Compatibility Support Module (CSM) laden. CSM stellt BIOS-Kompatibilität her, damit auch ältere Betriebssysteme von Mainboards mit UEFI-Firmware starten können. Je nach Hersteller versuchen die Systeme zuerst UEFI-kompatible Bootmedien zu erkennen und zu starten. Wenn das nicht gelingt, wechseln sie in den BIOS-Startmodus. Bei anderen Systemen muss man zwischen UEFI- und BIOS-Startmodus umschalten. Im UEFI-Modus ist dann das Laden des Betriebssystems von herkömmlichen USB-Sticks, CDs oder DVDs nicht mehr möglich.
Hinweis: Um Inkompatiblitäten bei Hardware und Software zu vermeiden hat UEFI ein Compatibilty Support Module (CSM), das dem Betriebssystem ein gewöhnliches BIOS vorgaukelt.
GPT - GUID-Partitionstabelle
UEFI richtet auf der Systempartition eine GUID-Partitionstabelle (GPT) anstelle eines Master-Boot-Record (MBR) ein. GPT ist die Voraussetzung, um ein Betriebssystem von einer Festplatte mit mehr als 2,2 TByte starten zu können.
UEFI Secure Boot
Die Idee hinter UEFI Secure Boot ist, dass nur vertrauenswürdige Software, die signiert sein muss, auf die Hardware zugreifen darf. Damit will man vermeiden, dass Malware, Trojaner und Viren noch vor dem Betriebssystem die Kontrolle eines Computers übernehmen, indem sie sich in den Bootsektor einpflanzen. Bootet der Rechner nur noch vertrauenswürdige Betriebssysteme, dann können Angreifer das System nicht mehr manipulieren.
Dazu enthält die UEFI-Firmware einen Platform Key (PK), einen Key Exchange Key (KEK) und zwei Signatur-Datenbanken. Der Secure-Boot-Modus blockiert dann den Start eines unsignierten Bootloaders und verhindert somit das Laden von Schadcode.
UEFI Secure Boot ist ab UEFI-Spezifikation 2.3.1 definiert und wurde von Windows 8 als erstes kommerzielles Betriebssystem unterstützt.
Wer nur seinen Windows-PC mit der vorinstallierten Software nutzen will, was auf den Normal-Anwender zutrifft, der wird vom UEFI Secure Boot nie etwas bemerken oder eingeschränkt sein. Nur wer ein anderes Betriebssystem starten will, der stößt auf Hindernisse. Hier reicht es schon, wenn von einem bootfähigen USB-Stick Windows PE, Virenscanner, Backup-Software oder ältere Linux-Betriebssyteme gestarten werden sollen.
Für freie Betriebssysteme, wie zum Beispiel Linux-Distributionen, ist UEFI Secure Boot auch ein Problem. Um ein Linux auf einem mit UEFI Secure Boot gesicherten Computer installieren und starten zu können, muss der Bootloader und der Kernel signiert und der öffentliche Signaturschlüssel im UEFI hinterlegt sein.
Das heißt, der Besitzer eines Computers hat nicht die freie Wahl, welches Betriebssystem er installieren kann. Welche Betriebssysteme installiert werden dürfen, legt also der Hardware-Hersteller fest, indem er die gültigen Signaturschlüssel im UEFI integriert.
Für große kommerzielle Linux-Distributoren dürfte es kein Problem sein, dafür zu sorgen, dass die Hardware-Hersteller ihre Signaturschlüssel aufnehmen. Allerdings gibt es auch freie Projekte, die keine so guten Kontakte zu den Hardware-Herstellern haben.
Ein Problem ist das aber nur bei Computern, bei denen sich UEFI Secure Boot nicht von Hand abschalten lässt.
Wie sicher ist UEFI Secure Boot?
Mit Secure Boot hat die UEFI-Architektur nachträglich Sicherheitsfunktionen spendiert bekommen. Im Prinzip ist das aber nur die Prüfung digitaler Signaturen. Im Prinzip will man verhindern, dass sich beim Booten unberechtigte Software installieren lässt.
Dummerweise gibt es keine Strukturen, die Informationen über Sicherheitslücken und deren Schließung. So wurden schon Sicherheitslücken in UEFI bekannt. Allerdings gibt es so gut wie keine Updates. Und wenn, dann muss sich der Anwender selber um ein Update kümmern. Automatisch wird das nicht eingespielt. So ist UEFI Secure Boot ein Witz angesichts der bekannten Sicherheitslücken.
Weitere verwandte Themen:
Lernen mit Elektronik-Kompendium.de
Noch Fragen?
Bewertung und individuelles Feedback erhalten
Aussprache von englischen Fachbegriffen
Computertechnik-Fibel
Alles was du über Computertechnik wissen musst.
Die Computertechnik-Fibel ist ein Buch über die Grundlagen der Computertechnik, Prozessortechnik, Halbleiterspeicher, Schnittstellen, Datenspeicher, Laufwerke und wichtige Hardware-Komponenten.
Computertechnik-Fibel
Alles was du über Computertechnik wissen musst.
Die Computertechnik-Fibel ist ein Buch über die Grundlagen der Computertechnik, Prozessortechnik, Halbleiterspeicher, Schnittstellen, Datenspeicher, Laufwerke und wichtige Hardware-Komponenten.
Artikel-Sammlungen zum Thema Computertechnik
Alles was du über Computertechnik wissen solltest.
