Programme BIOS/UEFI TPM SecureBoot

BIOS/UEFI

ist die Firmware (Grundprogramm) für die Hauptplatine in PCs, auf der sich die Grundbausteine und Anschlüsse befinden.
Ab 1981 BIOS = Basic Input Output System
Ab 2006 UEFI = Unified Extensible Firmware Interface

Diese Firmware ist in einem ROM (nicht-änderbarer Speicherbaustein) programmiert und speichert die Einstellungen in einem EEPROM (änderbarer nicht-flüchtiger Speicherbaustein). Sie hat die Aufgaben:

  1. Power On Self Test (Prüfung der grundlegenden Komponenten beim Einschalten)
  2. Initialisierung der Hardware, insbesondere Tastatur und Bildschirm
  3. Startbildschirm anzeigen mit Konfigurationsmöglichkeiten
    Feststellen, von welchen Datenträger der Bootvorgang startet
  4. Laden des Bootsektors des eingestellten Datenträgers für den Bootloader
Eigenschaft BIOS UEFI
Partitionsstil MBR GPT (ggf. MBR)
Start über Netzwerk Über PXE-Treiber der Netzwerkkarte Netzwerkfähig
Sicherheit Prüfsummencheck
TPM
SecureBoot
Windows bis Win10 möglich ab Win8 möglich
ab Win11 erforderlich

PRO: Notwendig für den Computer.
CON: Nur wenige Hersteller, alle in USA.

TPM Trusted Program Module

Das Trusted Platform Module ist ein Baustein auf dem Mainboard, der einen Computer um Sicherheitsfunktionen erweitert. In ihm können Sicherheitsschlüssel gespeichert werden. Windows 11 erfordert TPM 2.0.

PRO: Schutz gegen Manipulation, Verschlüsselung von Datenträgern und E-Mails möglich. Softwareimplementierung flexibel.
CON: Nutzung nach Herstellervorgaben, Identifizierung des PCs.

SecureBoot

Secure Boot (Sicheres Starten) ist ein UEFI-Bestandteil und soll sicherstellen, dass der Bootloader (Startprogramm für das Betriebssystem) mit einem Sicherheitsschlüssel signiert ist. Windows 11 erfordert SecureBoot.

PRO: Schutz gegen Rootkits (Schadprogramm vor dem Betriebssystem). Nur signierte Software kann starten.
CON: Platform-Key nicht unter Kundenkontrolle. Hardware- und Software-Signierung erforderlich (behindert alternative Betriebssysteme).

FAZIT

Sicherheitsgewinn = Kontrollverlust. Über TPM und SecureBoot können vom Hersteller (oder Einflussnehmer) Eigenschaften in den Computer eingebaut werden, die der Benutzer weder kontrollieren noch einstellen, bestenfalls teilweise abschalten, kann.

Ein Artikel für Fachleute und Interessierte:
https://www4.cs.fau.de/Lehre/WS10/V_SYSSEC/Skript/D5-A6.pdf