PC-Gamut logo

Tekniikka

Secure Boot ja uudistuvat varmenteet

02.11.2025, edit 01.12.2025

Secure Boot

Secure Bootin ja uudistuvan varmenneketjun tarkoituksena on suojata haitallisilta ohjelmilta ja ajureilta, jotka käynnistyvät ennen käyttöjärjestelmää.

Black Lotus oli ensimmäinen tällainen uhka, mutta myös muokatut ja varmentamattomat käyttöjärjestelmät voivat muodostaa vastaavan uhan.

Secure Boot -valinta BIOS-asetuksissa saattaa löytyä varsin vanhoista laitteista (vuodelta 2008), mutta toteutus on yleensä vanhentunut eikä siksi toimi.

Secure Boot edellyttää UEFI-laiteohjelmistoa, GPT-muotoon alustettua järjestelmälevyä sekä EFI-osiota. BIOSissa tulee olla hallintamahdollisuus: vähintään päälle/pois-kytkin sekä avainten nollaus ja palautus oletusarvoihin.

Varmenteet

Varmenteiden suunniteltu käyttöikä on 15 vuotta. Poistuvat CA 2011 -varmenteet korvautuvat uusilla CA 2023 -varmenteilla vuoden 2026 aikana. Sekä vanhat että uudet varmenteet toimivat tällä hetkellä rinnan, mutta parempi tietoturva saavutetaan vasta, kun vanhat varmenteet poistetaan käytöstä.

Alkuperäiset varmenteet on sijoitettu BIOSin pysyvään ROM-muistiin ja ne palautuvat käyttöön, kun BIOS-asetukset resetoidaan. Uudet, päivitetyt varmenteet tallentuvat nvRAM-muistiin, mutta ne katoavat BIOS-resetoinnin yhteydessä. Vahinkoresettien vuoksi kunnolliset BIOS-päivitykset, jotka sisältävät uudet varmenteet, ovat tarpeellisia.

Sopivilla välineillä varmenteiden tarkastelu on turvallista, koska muuttujia ainoastaan luetaan. Toistaiseksi paras varmenteiden tarkasteluun sopiva työkalu "Check UEFI PK, KEK, DB and DBX.cmd" löytyy GitHubista. Työkalu on ZIP-paketti, joka tuodaan omalle koneelle ja puretaan.

Kyseessä on CMD-komento, joka käynnistetään seuraavalla tavalla:

  • Käynnistetään tiedostoselain
  • Käynnistetään pääkäyttäjänä "Check UEFI PK, KEK, DB and DBX.cmd"

Varmenneketju

Varmenteet muodostavat ketjun - hierarkiassa ylempänä olevat sallivat tai estävät alempana olevien käsittelyn. Ketjuun kuuluvat tietokannat:

  • PK (Platform Key) # avain, jolla varmennetaan KEK.
  • KEK (Key Exchange Key) # mahdollistaa varmenteiden hallinnan ja päivityksen.
  • DBX (Disallowed Signature Database) # hylättyjen sovellusten tiivisteet ja avaimet.
  • DB (Authorized Signature Database) # luotettujen sovellusten tiivisteet ja avaimet.

PK-avainta hallitsevat Microsoft ja laitevalmistaja. KEK-avaimia hallitsevat monet osapuolet, kuten Microsoft ja OEM-ohjelmistotuottajat.

DBX- ja DB-muutokset onnistuvat ainoastaan silloin, kun muutokseen oikeuttava avain on PK- tai KEK-tietokannassa.

Secure Boot -varmenteiden keskinäiset riippuvuudet

Secure Boot -varmenneketju.

Eri-ikäisten laitteiden varmenneketjuja joulukuussa 2025

Uusissa, elo-syyskuussa 2025 tai myöhemmin hankituissa laitteissa varmenteet, myös pysyvät, ovat usein jo paikallaan. Myös kiellettyjen varmenteiden DBX -ryhmässä on nyt satoja tiivisteitä.

Esimerkkilaitteisiin on tarkoituksella tehty myöhemmin esitelty 0x5944-rekisteri­muutos ja ajastus, millä on joudutettu varmenteiden asentumista.

Hiukan vanhemmista, vuosien 2023–2021 laitteista puuttuu vielä kovakoodattu Microsoft Corporation 2K KEK CA 2023 -varmenne, vaikka laitteissa olisi tuoreet BIOS-päivitykset. Toiveissa on, että laitevalmistaja/Microsoft saattavat myös pysyvät KEK -varmenteet ajantasalle.

Secure Boot - pöytäkone

Kaksi vuotta vanhan pöytäkoneen varmenneketju.

Pöytäkoneen BIOS- ja Secure Boot-asetukset ovat erittäin monipuoliset verrattuna kannettavan niukkaan asetusvalikoimaan. Asetusten määrä ei kuitenkaan ratkaise pysyvien varmenteiden päivittymistä, vaan päivitykset vaativat valmistajien aktiivista panosta.

Secure Boot - kannettava

Neljä vuotta vanhan kannettavan varmenneketju.

Vanhin kokeiltu laite on selvästi vanhentunut kannettava. Suorituskyky riittää mainiosti kaikkeen tavanomaiseen (4 ydintä, 8 säiettä, 3.4 GHz, SSD ja muut). Laitteessa on myös UEFI-levyjärjestelmä. BIOSissa on Secure Boot -kytkin, mutta SB-järjestelmä on vanhentunut, eikä päivity eikä käynnisty lainkaan. Varmenneketju on täysin tyhjä.

Secure Boot puuttuu - kannettava

13 vuotta vanhan kannettavan Secure Boot -järjestelmä on vanhentunut, se ei käynnisty eikä päivity.

Testikoneen varmennenäkymä

Testikone on Windows 11 -yhteensopiva, i5-8250U -suorittimella varustettu kannettava vuodelta 2018. Kannettavien Secure Boot -asetukset ovat niukat, mutta ne voidaan silti käyttöjärjestelmän tukemana päivittää uusilla varmenteilla.

Testilaite täyttää vaatimukset

Testikone täyttää Windows 11 vaatimukset.

Käyttöjärjestelmän koontikäännös oli alkuvaiheessa 26200.6901 ja suojattu käynnistys käytössä. Varmenteiden tarkastelutyökalu esittää varmenteet kahdessa ryhmässä:

  • Current (nvRAM)
  • Default (BIOSiin kovakoodattu)

Lokakuun lopun (27.10.2025) varmennetarkasteluissa oli käytössä työkalun vanhempi versio. Siksi tulosteesta puuttuu mm. PK -varmenteet kokonaan sekä osa DB -varmenteista.

Oletusvarmenteet (Default) on kovakoodattu BIOSiin ja resetointi palauttaa ne käyttöön. Sen sijaan nykyiset varmenteet (Current) katoavat, jos varmenteet resetoidaan.

Alkunäkymä

Testikoneessa ainoastaan CA 2011 -varmenteet on kovakoodattu BIOSiin. DBX-lista poikkeaa muista laitteista.

CA 2023 varmenteen lisääminen

Aluksi tarkistetaan, että ylläpitopäivitys 08.07.2025 tai sitä uudempi on asennettu. BitLocker -avaimet joko varmuuskopioidaan tai vaihtoehtoisesti poistetaan BitLocker käytöstä. Perinteinen, ajantasainen järjestelmän levykopio on syytä tehdä.

Lisätään rekisteriin ensin arvo 0x40 ja käynnistetään sen jälkeen päivitysautomaatti:

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Laite käynnistetään ja tarkistetaan tulos:

  • [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Jos tulos on 'True', on CA 2023 varmenne otettu käyttöön.

Asetus uefi_CA_2023

Lisätty CA 2023 varmenne on nyt nykyisten, sallittujen (Current UEFI DB) varmenteiden ryhmässä.

Edistyneen käyttäjän testi

Varmennemuutoksia testataan laitteella, jonka toimintahäiriöt tai vauriot eivät aiheuta ongelmia. Jos testitulos on ongelmaton, menetelmää voi harkiten soveltaa muihin samanlaisiin laitteisiin. Edistyneet harrastajat, jotka tunnistavat riskit, testaavat varmenneuudistusten vaikutuksia omiin laitteisiinsa.

Testatessa lisätään rekisteriin arvo 0x5944 ja käynnistetään sen jälkeen päivitysautomaatti:

  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
  • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Rekisterimuokkauksen jälkeen laite käynnistetään kaksi kertaa. Nyt järjestelmä:

  • Lisää Secure Boot DB:hen uudet 2023 CA -varmenteet
  • Päivittää KEK (Key Exchange Key) -avaimen
  • Asentaa uuden Boot Managerin, joka on allekirjoitettu 2023- varmenteella
  • Valmistelee DBX-päivitystä, mutta ei vielä mitätöi vanhoja varmenteita, kuten CA 2011

Tässä laitteessa huomataan, että käynnistyslataaja on nyt allekirjoitettu uudella CA 2023 varmenteella, mutta BIOSissa ei ole vastaavaa kovakoodattua varmennetta. Laite ei käynnisty, jos varmenteet resetoidaan.

Asetus uefi_0x5944

Varmenteissa on runsaasti eroja lähtötilanteeseen verrattuna. Default -ryhmien puutteet voivat muodostua ongelmaksi ja BIOS-päivityksia odotellaan.

Varmenteiden ja käynnistyslataajan ristiriidan elvyttäminen

Jos päivittämätön BIOS ja varmenteet resetoidaan CA 2023 varmennepäivitysten jälkeen, muodostuu ristiriita:

  • Käynnistyslataaja on ehditty allekirjoittaa CA 2023 varmenteella
  • nvRAM on tyhjä varmenteista
  • Resetoitu BIOS tarjoaa ainoastaan CA 2011 varmenteita
Resetoidut CA-varmenteet

Varmenteet on resetoitu. Vain oletusvarmenteet ovat käytettävissä. Myös Secure Boot pysähtynyt.

Kun Secure Boot otettaan käyttöön, Windowsin käynnistysyritys epäonnistuu ja järjestelmä ilmoittaa:

Bootmanager Blocked

Varmenneketju on katkennut, eikä Windowsin käynnistystä sallita.

Insert Recovery Media

EFI-käynnistystiedostot täytyy korjata vastaamaan varmenteita.

Windows käyttöjärjestelmä tai systeemiosio eivät hallinnoi tai tarkista UEFI Secure Boot -varmenteita – tarkistaminen on täysin UEFI:n vastuulla. Windowsin käynnistyminen riippuu vain siitä, salliiko UEFI käynnistyslataajan toimia.

Korjausmenettely: palautetaan vanha EFI-osio varmuuskopiosta. Näin saadaan käynnistyslataaja (CA 2011) vastaamaan CA 2011 oletusvarmenteita. Osoittautui, että EFI-osion palautus piti käynnistää ulkoiselta muistivälineeltä.

Kun palautetut varmenteet ja käynnistyslataajan varmenneketju vastaavat toisiaan, käyttöjärjestelmä käynnistyy Secure Boot päällä. Elvyttämistä jatketaan aiemman mukaan siten, että tuodaan uudet CA 2023 varmenteet ja luodaan uudelleen niitä vastaava käynnistyslataaja.

DBX -virheet

Testikoneen DBX-tarkistukset päätyvät virheeseen "FAIL: Check DBX failed". DBX -lista on tyyppiä Current, joten korjaaminen on ehkä mahdollista. Menetellään näin:

  • Tehdään levykopio systeemistä, johon kuuluu: EFI-, MSR-, C:- ja palautusosiot.

Järjestelmän varmuuskopio on hyödyksi lähes aina, niin myös tässä. Seuraavaksi tehdään tila uusasennukselle

  • Käynnistetään laite USB-tikulta.
  • Poistetaan EFI, MSR, C:- ja palautusosio.

Puhdas asennus ja varmennepäivytykset uudistavat EFI-osion ja sen varmenteet.

  • Asennetaan puhdas Windows tyhjään tilaan ja päivitetään.
  • Päivitetään varmenteet 0x5944 -komentoparilla (reg add ja Start-ScheduledTask)

Varmuuskopion C:-osiossa on alkuperäiset ohjelmat, rekisteröinnit ja käyttäjän luoma muu sisältö.

  • Palautetaan levykopiosta pelkkä C:-osio päällekirjoittamalla se uusasennuksen päälle.

Uuden ja vanhan yhdistelmä käynnistyy vasta, kun uusi käynnistyslataaja saa tiedon, missä käyttöjärjestelmä sijaitsee

  • Käynnistetään laite USB-tikulta.
  • Annetaan EFI-osiolle kirjaintunnus S: (Diskpart).
  • Kerrotaan käynnistyslataajalle Windowsin sijainti (bcdboot C:\Windows /s S: /f UEFI)

Uusi työkalu näyttää testikoneen DB -listassa pari erikoista varmennetta:

  • 8T330-15IKBR # viittaa laitteen tunnukseen
  • Joe's-Software-Emporium # nimeämättä jäänyt varmenne

Molemmat on kovakoodattu biosiin, joten ne ovat peräisin laitevalmistajalta. Ensimmäinen vastaa laitteen mallinumeroa ja toinen on johonkin laitejuriin tehty varmenne, joka on jäänyt nimeämättä.

Nimeämätön varmenne

Nimeämätön varmenne saa Microsoftin oppaan mukaan oletusnimen "Joe's Software Emporium".

Resetoidut CA-varmenteet

Järjestelmäkopio, uusasennus ja C:-osion palautus uusasennuksen päälle. Näin testikoneen DBX -lista on saatu kuntoon.

Muita ratkaisuja

Osa käyttäjistä on jäänyt odottamaan automaattisten päivitysten ratkaisevan varmenneketjujen ja käynnistyslataajien ongelmat. Odotukset kohdistuvat toisaalta laitevalmistajien uudistamiin BIOS-versioihin ja toisaalta Windows-päivityksiin. Aika näyttää, miten asiat lopulta ratkeavat.

Hätätilanteessa, kun tietokoneessa olevaan aineistoon on pakko päästä käsiksi, voi suojatun käynnistyksen laittaa pois päältä, mutta se ei ole kovinkaan viisas pysyvä ratkaisu.

Todettua

  • Secure Bootin käyttöönotto ja ajantasaisuus parantavat tietoturvaa.
  • Secure Bootin ohittaminen on teknisesti mahdollista, mutta harvoin perusteltua.
  • Laajasti toivotaan, että päivitysautomatiikka pitää järjestelmät turvallisina ilman manuaalisia toimenpiteitä.
  • Valmistajalta kaivataan täsmällistä ja tiivistä ohjeistusta varmennepäivitysten hallintaan.
  • Siirtymävaiheessa eniten tukea tarvitsevat muutaman vuoden ikäiset laitteet, joiden BIOS ei ole ajan tasalla.
↑ Ylös ↑