Fungerar Linux med Secure Boot?

De flesta större distributioner ja - Ubuntu, Fedora, Debian, openSUSE levererar alla undertecknade shims som fungerar direkt. Vissa mindre distroer och anpassade versioner kräver manuell nyckelregistrering. Arch Linux kräver mer installation men stöds fullt ut.

Vad är skillnaden mellan säker start och verifierad start?

Samma generella koncept, olika ekosystem. Secure Boot är UEFI/PC-standarden. Verified Boot är Androids motsvarighet (och termen Apple använder för delar av macOS Big Sur+ boot). ChromeOS term är också Verified Boot. Alla kedja av kryptografiska signaturer från firmware till kärna.

Kan jag installera Windows 11 utan säker start?

Officiellt nej - det krävs. Inofficiella lösningar finns men Microsoft signalerar att de inte kommer att stödjas på lång sikt och kan bryta med uppdateringar. För praktiska ändamål är Windows 11 = Säker start = TPM 2.0.

Är Secure Boot en bakdörr för Microsoft?

Microsofts UEFI-signeringsnyckel är allmänt betrodd; binärer Microsoft-tecken körs på varje Secure Boot PC. Det är hävstång men egentligen inte en bakdörr – Microsoft ser inte dina data, skickar inte kod till din maskin utanför Windows Update. Det arkitektoniska intresset (en part med bred signeringsbefogenhet) är verklig men den praktiska effekten är begränsad.

Vad händer under BIOS-uppdateringar med Secure Boot?

Firmware-uppdateringar är själva signerade och verifierade. Signeringsinfrastrukturen är separat från starttids-DB; leverantörer kan rulla ut firmwareuppdateringar utan att avbryta start. BitLocker-användare kan se en återställningsprompt efter större firmwareuppdateringar eftersom startkedjans mätningar har ändrats.

Säker start förklaras: Hur din dator verifierar operativsystemet innan det körs

Innan ditt operativsystem laddas körs flera lager av kod - firmware, bootloader, kärna. Var och en är ett potentiellt attackmål. Secure Boot är kedjan för kryptografisk verifiering som säkerställer att endast signerad, godkänd kod körs vid uppstart. Det stoppar tyst en kategori av skadlig programvara före OS som en gång var förödande och nu är sällsynt.

Hela artikeltexten finns på engelska nedan.

Secure Boot är UEFI-funktionen som verifierar kryptografiska signaturer på varje komponent som körs under uppstart, och vägrar att köra något som inte är signerat av en betrodd nyckel. Den försvarar sig mot bootkits och rootkits som försöker laddas innan operativsystemet kan försvara sig.

Startkedjan

A modern PC startar genom flera steg:

UEFI firmware — ersätter det äldre S-BIOS-chippet från ett Flash-chip från SPI. moderkort
Bootloader — Windows Boot Manager, GRUB, systemd-boot eller shim
Kernel — Windows, Linux, macOS (XNU) eller andra

Utan Secure Boot, skadlig programvara som fick admin en gång kan ersätta starthanteraren för att säkerställa att den laddas vid varje efterföljande uppstart innan något antivirus kan upptäcka det. Bootkits som Mebroot (2007), Olmasco (2010) och Mosaic Regressor (2020) använde exakt denna teknik.

Hur fungerar säker start

UEFI-firmwaren innehåller en databas med offentliga nycklar som representerar betrodda undertecknare. När starthanteraren laddas, verifierar firmware sin signatur mot dessa nycklar. Om signaturen är ogiltig eller saknas och filen inte finns i en vitlistasdatabas, vägrar firmware att köra den och start misslyckas.

Nycklarna är:

PK (Platform Key) — roten. Vanligtvis hårdvarutillverkarens nyckel. Styr vem som kan uppdatera andra nycklar.
KEK (Key Exchange Keys) — nycklar som är auktoriserade att uppdatera DB och DBX.
DB (Signatur Database) — den tillåtna listan över binärer och signering keys.
DBX (Forbidden Signature Database) — explicit blockerade binärer och nycklar. Uppdateras när kända komprometterade startladdare upptäcks.

Microsofts UEFI-signeringsnyckel finns i praktiskt taget varje dators DB från fabrik. Bootloaders Microsoft-tecken är allmänt tillåtna; bootloaders signerade av andra CA kräver explicita DB-poster.

Linux och shim

De flesta Linux-distributioner levererar en liten starthanterare som heter shim, signerad av Microsoft. Shim är den enda Linux-komponenten förtrodd av Secure Boot. Den validerar i sin tur den faktiska distributionsstarthanteraren (GRUB) och kärnan mot nycklar som distroinbäddas. Denna trelagerskedja låter Linux arbeta med Secure Boot utan att varje distro behöver förhandla om UEFI-nyckelförtroende med varje hårdvaruleverantör.

För användare som vill ha full suveränitet kan du ersätta PK med din egen nyckel och signera allt själv. Kräver djupare Linuxkunskaper men ger helt fristående uppstartsförtroende.

BlackLotus bootkit och vad det lärde

Under 2023 var BlackLotus bootkit den första offentligt dokumenterade skadliga programvaran att kringgå Secure Boot i det vilda. Den utnyttjade en känd men oparpad sårbarhet (CVE-2022-21894, "Baton Drop") i en Microsoft bootloader. Bootloadern var signerad och betrodd; sårbarheten lät angripare köra kod som besegrade efterföljande säkerhetsstartkontroller.

Lättningen: återkalla den sårbara starthanteraren genom att lägga till dess hash till DBX. Implementeringen var komplicerad eftersom det medför kompatibilitetsrisker att skicka DBX-uppdateringar till miljarder datorer. Microsoft hanterade det stegvis under 2023-2024.

Secure Boot och TPM tillsammans

Secure Boot förhindrar att obehörig kod körs. TPM registrerar vad som kördes via plattformskonfigurationsregister. Kombinationen ger measured boot — bevisbar registrering av exakt vad som laddats, verifierbar av fjärrtjänster för enhetshälsoattestering.

BitLocker integreras med båda: diskkryptering är förseglad till TPM, som bara släpper nyckeln om Säker start matchar normalt och PCR. Ändra starthanteraren, även med giltiga signaturer, och BitLocker kräver återställning.

Begränsningar

Skyddar inte post-boot. När operativsystemet körs kan skadlig programvara med tillräcklig behörighet göra sitt arbete. Secure Boot är ett försvar vid uppstart.
Beroende på nyckellagerintegritet. En angripare med fysisk åtkomst kan ibland injicera nycklar i DB. Leverantörsimplementeringar varierar i motstånd.
Verifierar inte själva firmware. UEFI-firmware är det som gör valideringen. En komprometterad UEFI är root-of-trust felfall. Intel Boot Guard, AMD Platform Secure Boot och liknande utökar förtroendet till firmware.
Kompatibilitetsfriktion. Vissa äldre verktyg, dual-boot-konfigurationer och ovanliga inställningar fungerar inte bra med Secure Boot. De flesta användare kommer inte att märka det; några specifika användningsfall gör det.

Ska du stänga av det?

För typiska användare: nej. Skyddet är verkligt, friktionen är liten och Windows 11 kräver det. Linux-distributioner stöder i stort sett Secure Boot via shim. Det finns skäl att inaktivera det (anpassade kärnor utan omsignering, vissa virtualiseringsscenarier, mycket gammal hårdvarukompatibilitet) men de är nischade och handlar om verklig säkerhet för mindre bekvämlighet.

Vanliga frågor

Fungerar Linux med Secure Boot?: De flesta större distributioner ja - Ubuntu, Fedora, Debian, openSUSE levererar alla undertecknade shims som fungerar direkt. Vissa mindre distroer och anpassade versioner kräver manuell nyckelregistrering. Arch Linux kräver mer installation men stöds fullt ut.
Vad är skillnaden mellan säker start och verifierad start?: Samma generella koncept, olika ekosystem. Secure Boot är UEFI/PC-standarden. Verified Boot är Androids motsvarighet (och termen Apple använder för delar av macOS Big Sur+ boot). ChromeOS term är också Verified Boot. Alla kedja av kryptografiska signaturer från firmware till kärna.
Kan jag installera Windows 11 utan säker start?: Officiellt nej - det krävs. Inofficiella lösningar finns men Microsoft signalerar att de inte kommer att stödjas på lång sikt och kan bryta med uppdateringar. För praktiska ändamål är Windows 11 = Säker start = TPM 2.0.
Är Secure Boot en bakdörr för Microsoft?: Microsofts UEFI-signeringsnyckel är allmänt betrodd; binärer Microsoft-tecken körs på varje Secure Boot PC. Det är hävstång men egentligen inte en bakdörr – Microsoft ser inte dina data, skickar inte kod till din maskin utanför Windows Update. Det arkitektoniska intresset (en part med bred signeringsbefogenhet) är verklig men den praktiska effekten är begränsad.
Vad händer under BIOS-uppdateringar med Secure Boot?: Firmware-uppdateringar är själva signerade och verifierade. Signeringsinfrastrukturen är separat från starttids-DB; leverantörer kan rulla ut firmwareuppdateringar utan att avbryta start. BitLocker-användare kan se en återställningsprompt efter större firmwareuppdateringar eftersom startkedjans mätningar har ändrats.