Wird langsam Zeit, dass sich brauchbare Lösungen durchsetzen. Bisher können die meisten Distros nicht allzu viel mit SecureBoot anfangen. Die Ubuntu-Derivate, RedHat/Fedora und SUSE sind schon recht weit mit ihrer SecureBoot-Unterstützung, aber bei vielen kleineren Distros happert es noch.
Hab mir grad am Wochenende eine Trinity-APU mit FM2-Platine zusammengeschraubt. Ist meine erste Kiste mit SecureBoot. Bei praktisch allen aktuellen Retail-Platinen kann man SecureBoot aber problemlos deaktivieren. Z.T. wird es von den Herstellern sogar empfohlen, ausser man benutzt Win8. Meine beiden SandyBridge i5-2500K haben noch Platinen, welche SecureBoot gar nicht unterstützen. Vermissen tue ich aber nichts. Vielleicht gibt es dann mal wieder ein UEFI-Update für die Boards.
Bei meinem ASUS F2A85-V Pro kann man zusätzlich festlegen, ob der UEFI-Network-Stack aktiviert ist. Standardmässig ist es ausgeschaltet. Der UEFI-Network-Stack bei neueren Boards ist u.a. eben ein Sicherheitsrisiko (Internet-/Netzwerk-Zugriff für die Firmware). SecureBoot soll diesem und sonstigen Risiken mit UEFI abhelfen. UEFI kann halt fast schon zu viel, da es ein eigenständiges kleines System ist. Im Prinzip kann man ihm UEFI auch einen residenten Keylogger oder sonstigen Schadcode installieren und jegliche Schutzmassnahmen auf OS-Ebene würden ins Leere laufen. Deshalb und wegen weiterer Probleme dann die Idee mit dem signierten OS-Start.
Da lobe ich mir OpenBoot/OpenFirmware, welches auf Sun SPARC und PPC-Macs zum Einsatz kam. Das war zwar auch modern, aber ging weniger weit als UEFI. Dafür war es aber auch sicherer. Zugegeben: Den Komfort von UEFI mag ich schon und ich kann gut damit leben.
Vermutlich war und ist es aber ein recht grosser Vorteil, dass so viele unterschiedliche UEFI-Implementierungen auf unterschiedlicher Hardware existieren. Das macht es ein wenig schwerer für Schadcode-Programmierer, aber ist natürlich kein wirklicher Schutz. Ich hoffe aber, dass uns ein "McAfee for UEFI" erstmal erspart bleibt.
)
