Secure Boot

Secure Boot ist eine Funktion des UEFI, die sicherstellt, dass der PC nur mit "vertrauenswürdiger" Software startet. Es ist der Türsteher beim Bootvorgang.

Wie funktioniert es?

Im UEFI sind digitale Signaturen (Zertifikate) von vertrauenswürdigen Betriebssystemen (wie Windows) hinterlegt. Beim Start prüft Secure Boot:

Hat der Bootloader (die Startdatei) eine gültige Unterschrift?
Ist die Unterschrift unbeschädigt?

Wenn ja: Tür auf, Windows startet. Wenn nein (z.B. weil ein Virus den Bootloader verändert hat oder man versucht, ein unbekanntes Linux zu booten): Zugriff verweigert!

Freund oder Feind?

Secure Boot ist ein toller Schutz gegen "Bootkits" (Viren, die sich tief ins System nisten). Aber es kann nerven, wenn man alternative Betriebssysteme (Linux) installieren will. Zum Glück lässt es sich im UEFI meistens deaktivieren. Viele moderne Linux-Distributionen (Ubuntu, Fedora) haben aber mittlerweile auch eine gültige Signatur von Microsoft ("Shim"), sodass sie problemlos trotz Secure Boot starten.

Nerd-Fact: Auf Standard-PCs vertraut Secure Boot quasi nur Microsoft. Wer etwas anderes booten will, muss um Erlaubnis bitten (Keys importieren) oder den Türsteher feuern (Secure Boot abschalten).