UEFI Secure Boot Linux

Bachelor-Studiengang IT Security

Jakob Hagl, BSc

Betreuer: DI Dr. Martin Pirker, Bakk.

Ausgangslage

Intels Prozessergenerationen sollen ab 2020 das Compatibility Support Module, die Kompatibilitätsschnittstelle zu dem legacy BIOS, nicht mehr unterstützen. Betriebssysteme können auf jenen Plattformen daher ausschließlich mit UEFI starten. Des Weiteren gibt es ausgewählte Computersysteme die das optionale UEFI Secure Boot Protokoll erzwingen und dies für den Anwender nicht deaktivierbar ist.

Verschlüsselte Systempartitionen sind vor allem bei mobilen Endgeräten in letzter Zeit sehr wichtig geworden. Der Begriff Full Disk Encryption beschreibt hierbei ein Speichermedium auf dem möglichst alle gespeicherten Daten verschlüsselt sind. Diese Arbeit betrachtet daher die Implementierung von Secure Boot in das Linux Open Source Ökosystem und ob verschlüsselte Systempartitionen in den Start Prozess integrierbar sind. 

Ziel

Das Ziel der Arbeit ist es, festzustellen, ob auf ausgewählten Linux Distributionen das Secure Boot Protokoll mit Full Disk Encryption gemeinsam implementiert und genutzt werden kann. 

Ergebnis

Im Zuge dieser Arbeit konnte eine umfassende Übersicht von Secure Boot in Linux erstellt werden. Aufbauend auf dieser Übersicht wurde die Implementierung von Secure Boot in den ausgewählten Distributionen analysiert. Erweitert wurde der Boot Prozess mit der automatischen Entsperrung der verschlüsselten Systempartition. Schlussendlich wurde eine Auflistung erstellt, inwiefern die verschiedenen Features von den getesteten Distributionen unterstützt werden.