Perinteisellä BIOS-bootilla valittiin boottaava
asema, mutta UEFI:n kanssa valitaan oikeastaan käynnistettävä *.efi-
boottisovellus.
Niitä voi olla yhdellä asemalla useita, vain yksi, tai ei yhtään. Jos Secure Boot on päällä, boottisovellukset joissa ei ole kelvollista Secure Boot-allekirjoitusta tai joita ei ole erikseen whitelistattu ohitetaan niin kuin niitä ei olisi olemassa. Ja jos firmis ei syystä tai toisesta pääse lukemaan asemaa ja katsomaan onko siellä boottisovelluksia vai ei, silloin asema oletetaan ei-boottikelpoiseksi.
Siirrettävällä medialla kuten DVD:llä tai USB-tikulla voi yleensä olla vain yksi UEFI-boottisovellus, jolloin sen pitää tavallisissa 64-bittisissä x86 PC-koneissa olla polussa \EFI\BOOT\BOOTx64.efi, osiolla joka on formatoitu sellaisella tavalla jota UEFI-firmis osaa lukea. Ainoa varmasti tuettu tällainen muoto on FAT32 (ja uudemmissa UEFI-standardiversioissa muutkin FAT-muodot kuten FAT12 ja FAT16), mutta monet UEFI-firmikset tukevat myös CD/DVD:illä käytettävää ISO9660-formaattia. Mutta siirrettävän median bootattavuuden tarkistus on periaatteessa UEFI-maailmassa hyvin yksinkertaista: jos tuo \EFI\BOOT\BOOTx64.efi on olemassa, silloin media on bootattavissa, ainakin jos Secure Bootin ottaa pois päältä (eli OP:n tapauksessa "Other OS"-asentoon). Jos tuota tiedostoa ei ole, sitten media ei ole UEFI:n kannalta boottaava media.
Saattaa muuten olla että modernilla UEFI-firmiksellä ei välttämättä riitä kärsivällisyys odottaa tarpeeksi kauan että joku vanha DVD-pyöritin tunnistaa poltetun levyn ja pääsee tarkistamaan onko siellä tuota \EFI\BOOT\BOOTx64.efi -tiedostoa vai ei. USB-tikulta asennus sujuu muutenkin todennäköisesti paljon nopeammin, joten suosittelen sitä vaihtoehdoksi.
Minulla näyttää biosissa tältä:
Tuossa alimmaisena näkyy kohta "Key Management", joka liittyy myös Secure Boot-asetuksiin.
Siellä on ainakin neljä avainvarastoa:
- PK eli Primary Key: oletuksena siellä on emolevyn valmistajan avain. Jos PK:n tyhjentää, Secure Boot menee Setup Mode-tilaan, jolloin kaikki avaimet kelpaavat ja kaikkia avainvarastoja saa muokata rajoituksetta. Jos PK ei ole tyhjä, KEK-avainvarastoa (ks. alla) saa päivittää vain jos päivitys on allekirjoitettu PK-sertifikaattia vastaavalla salaisella avaimella.
- KEK eli Key Exchange Key: tämä avainvarasto määrittää kuka pääsee päivittämään Secure Bootin varsinaisia boottisertifikaatteja. Täällä on tyypillisesti ainakin "Microsoft Corporation KEK CA 2011"-avain, joka siis antaa Microsoftille mahdollisuuden julkaista Secure Boot-avainpäivityksiä. Uusissa koneissa voi olla (ja olisi syytä olla!) lisäksi uudempi samanlainen nimellä "Microsoft Corporation KEK 2K CA 2023"
- db eli sallittujen Secure Boot-avainten lista. Täällä on tähän asti ollut ainakin kaksi avainta: "Microsoft Windows Production PCA 2011" Microsoftin omille Secure Boottia tukeville käyttöjärjestelmille, ja "Microsoft Corporation UEFI CA 2011" joka on Microsoftin julkinen Secure Boot-allekirjoituspalvelu esim. Linux-jakeluja, GPartedia ja ylipäätään mitä tahansa UEFI-bootattavaksi tarkoitettua käyttöjärjestelmää tai työkalua varten. Uusissa koneissa voi olla lisäksi "Windows UEFI CA 2023".
- dbx eli tunnettujen boottihaittaohjelmien ja haavoittuvien UEFI-boottisovellusten musta lista. Tähän julkaistaan tarpeen mukaan päivityksiä, jotka asentuvat Linuxissa fwupdmgr:in kautta tai Windowsissa normaalien Windows-päivitysten mukana.
Keväällä 2023 julkaistiin UEFI-boottihaitake "Black Lotus", joka hyödynsi aika monessa UEFI-boottisovelluksessa olleita heikkouksia. Tämä aiheutti muun muassa Debianille ja Ubuntulle tarpeen mitätöidä vanhat Secure Boot-avaimet, ja tänä päivänä ko. vanhoilla avaimilla allekirjoitetut bootloaderit ovat ajan tasalla olevissa koneissa dbx-mustalla listalla. Eli jos koetat käyttää uudessa koneessa jotain boottimediaa joka on vanhempi kuin ~kesä 2023, sen toimimattomuus johtuu todennäköisesti tästä.
Mielenkiintoisempaa on, että myös Microsoftin oma "Microsoft Windows Production PCA 2011" on allekirjoittanut Black Lotus-haavoittuvia boottisovelluksia. Ne on tähän mennessä mustalistattu yksittäin boottisovelluksen SHA256-tarkisteen perusteella, mikä on turvottanut dbx-listan aika pitkäksi.
Mutta kunhan Windows 10:n tuki tänä syksynä päättyy, Microsoft ilmeisesti aikoo laittaa koko "Microsoft Windows Production PCA 2011":n mustalle listalle, jolloin kaikki vuotta 2023 vanhemmat Windows 8/8.1/10 UEFI-boottimediat lakkaavat toimimasta uusissa koneissa, sekä niissä vanhoissa koneissa joihin on asennettu uusimmat dbx-päivitykset, ellei Secure Boottia laiteta pois päältä. Samalla dbx-lista tulee lyhenemään, kun pitkä lista yksittäisiä SHA256-tarkisteita korvautuu yhdellä "kaikki mikä on allekirjoitettu Production PCA 2011:lla"-merkinnällä.
Learn about the measures Microsoft is taking to help keep you safe from the If you're worried about the BlackLotus UEFI bootkit vulnerability (CVE-2023-24932).
techcommunity.microsoft.com
