Lähteet: Microsoft, GitHub
Secure Boot linkkejä
02.11.2025
Secure Boot linkkejä
Secure Bootin ja uudistuvan varmenneketjun tarkoituksena on parantaa suojausta haitallisilta ohjelmilta ja ajureilta. Tässä yhteydessä ongelman ydin on, että haitat käynnistyvät ennen käyttöjärjestelmää - siksi käyttöjärjestelmän suojaukset eivät havaitse niitä.
Black Lotus oli ensimmäinen tällainen uhka, mutta myös muokatut ja varmentamattomat käyttöjärjestelmät voivat muodostaa vastaavan uhan.
Secure Boot -valinta BIOS-asetuksissa löytyy jo varsin vanhoista laitteista (vuodelta 2008), mutta vaaditut ominaisuudet ovat käytettävissä vasta huomattavasti uudemmissa laitteissa
Secure Boot edellyttää UEFI-laiteohjelmistoa, GPT-muotoon alustettua järjestelmälevyä sekä EFI-osiota. BIOSissa tulee olla hallintamahdollisuus: vähintään päälle/pois-kytkin sekä avainten nollaus ja palautus oletusarvoihin.
Varmenteiden suunniteltu käyttöikä on 15 vuotta. Poistuvat CA 2011 -varmenteet korvautuvat uusilla CA 2023 -varmenteilla vuoden 2026 aikana. Sekä vanhat että uudet varmenteet toimivat tällä hetkellä rinnan, mutta parempi tietoturva saavutetaan vasta, kun vanhat varmenteet poistetaan käytöstä.
Alkuperäiset varmenteet on sijoitettu BIOSin pysyvään ROM-muistiin ja ne palautuvat käyttöön, kun BIOS-asetukset resetoidaan. Uudet, päivitetyt varmenteet tallentuvat nvRAM-muistiin, mutta ne katoavat BIOS-resetoinnin yhteydessä. Vahinkoresettien vuoksi kunnolliset BIOS-päivitykset, jotka sisältävät uudet varmenteet, ovat oikeastaan välttämättömiä.
Sopivilla välineillä varmenteiden tarkastelu on turvallista, koska muuttujia ainoastaan luetaan. Toistaiseksi paras varmenteiden tarkasteluun sopiva työkalu "Check UEFI KEK, DB and DBX.ps1" löytyy GitHubista. Työkalulle luodaan D-asemalle oma hakemisto, johon työkalu tuodaan:
Vaihdetaan vielä työkalun tiedostonimi muotoon "check.ps1", jotta ajo PowerShell päätteessä toimii muodossa ".\check".
Kyseessä on PowerShell-skripti. Skriptien ajaminen on oletuksena estetty, joten nykyiselle käyttäjälle annetaan oikeudet.
Varmenteet muodostavat ketjun - hierarkiassa ylempänä olevat sallivat tai estävät alempana olevien käsittelyn. Ketjuun kuuluvat tietokannat:
PK-avainta hallitsevat Microsoft ja laitevalmistaja. KEK-avaimia hallitsevat monet osapuolet, kuten Microsoft ja OEM-ohjelmistotuottajat.
DBX- ja DB-muutokset onnistuvat ainoastaan silloin, kun muutokseen oikeuttava avain on PK- tai KEK-tietokannassa.
Secure Boot -varmenneketju.
Uusissa, elo-syyskuussa 2025 tai myöhemmin hankituissa laitteissa varmenteet, myös pysyvät, ovat usein jo paikallaan. Ainoastaan kiellettyjen DBX -ryhmä on vielä tyhjä, mikä on muutosvaihessa hyvä asia.
Esimerkkilaitteisiin on tarkoituksella tehty myöhemmin esitelty 0x5944-rekisterimuutos ja ajastus, millä on joudutettu varmenteiden asentumista.
Hiukan vanhemmista, vuosien 2023–2021 laitteista puuttuu vielä Microsoft Corporation 2K KEK CA 2023 -varmenne, vaikka laitteissa olisi tuoreet BIOS-päivitykset. Toiveissa on, että laitevalmistaja/Microsoft saattavat myös pysyvät KEK -varmenteet ajantasalle.
Kaksi vuotta vanhan pöytäkoneen varmenneketju.
Pöytäkoneen BIOS- ja Secure Boot-asetukset ovat erittäin monipuoliset verrattuna kannettavan niukkaan asetusvalikoimaan. Asetusten määrä ei kuitenkaan ratkaise pysyvien varmenteiden päivittymistä, vaan päivitykset vaativat valmistajien aktiivista panosta.
Neljä vuotta vanhan kannettavan varmenneketju.
Vanhin kokeiltu laite on selvästi vanhentunut kannettava. Suorituskyky riittää mainiosti kaikkeen tavanomaiseen (4 ydintä, 8 säiettä, 3.4 GHz, SSD ja muut). Laitteessa on myös UEFI-levyjärjestelmä. BIOSissa on Secure Boot -kytkin, mutta SB-järjestelmä on vanhentunut eikä käynnisty lainkaan. Varmenneketju on täysin tyhjä.
13 vuotta vanhan kannettavan Secure Boot -järjestelmä on vanhentunut eikä käynnisty lainkaan.
Testikone on Windows 11 -yhteensopiva, i5-8250U -suorittimella varustettu kannettava vuodelta 2018. Kannettavien Secure Boot -asetukset ovat niukat, mutta ne voidaan silti käyttöjärjestelmän tukemana päivittää uusilla varmenteilla.
Testikone täyttää Windows 11 vaatimukset.
Käyttöjärjestelmän koontikäännös oli 26200.6901 ja suojattu käynnistys käytössä. Työkalu esittelee varmenteet kahdessa ryhmässä:
Oletusvarmenteet (Default) on kovakoodattu BIOSiin ja resetointi palauttaa ne käyttöön. Sen sijaan nykyiset varmenteet (Current) katoavat, jos varmenteet resetoidaan.
Testikoneessa ainoastaan CA 2011 -varmenteet on kovakoodattu BIOSiin. Muutosvaiheessa on eduksi, että yhtään varmennetta ei ole siirretty hylättyjen DBX-listalle.
Aluksi tarkistetaan, että ylläpitopäivitys 08.07.2025 tai sitä uudempi on asennettu. BitLokcer -avaimet joko varmuuskopioidaan tai vaihtoehtoisesti poistetaan Bitlocker käytöstä. Perinteinen, ajantasainen järjestelmän levykopio on syytä tehdä.
Lisätään rekisteriin ensin arvo 0x40 ja käynnistetään sen jälkeen päivitysautomaatti:
Laite käynnistetään ja tarkistetaan tulos:
Jos tulos on 'True', on CA 2023 varmenne otettu käyttöön.
Lisätty CA 2023 varmenne on nyt nykyisten, sallittujen (Current UEFI DB) varmenteiden ryhmässä.
Varmennemuutoksia testataan laitteella, jonka toimintahäiriöt tai vauriot eivät aiheuta ongelmia. Jos testitulos on ongelmaton, menetelmää voi harkiten soveltaa muihin samanlaisiin laitteisiin. Edistyneet harrastajat, jotka tunnistavat riskit, testaavat varmenneuudistusten vaikutuksia omiin laitteisiinsa.
Testatessa lisätään rekisteriin arvo 0x5944 ja käynnistetään sen jälkeen päivitysautomaatti:
Rekisterimuokkauksen jälkeen laite käynnistetään kaksi kertaa. Nyt järjestelmä:
Tässä laitteessa huomataan, että käynnistyslataaja on nyt allekirjoitettu uudella CA 2023 varmenteella, mutta BIOSissa ei ole vastaavaa kovakoodattua varmennetta. Laite ei käynnisty, jos varmenteet resetoidaan.
Varmenteissa on runsaasti eroja lähtötilanteeseen verrattuna. Default -ryhmien puutteet voivat muodostua ongelmaksi ja BIOS-päivityksia odotellaan.
Jos päivittämätön BIOS ja varmenteet resetoidaan CA 2023 varmennepäivitysten jälkeen, muodostuu ristiriita:
Varmenteet on resetoitu. Vain oletusvarmenteet ovat käytettävissä. Myös Secure Boot pysähtynyt.
Kun Secure Boot on otettu käyttöön, Windowsin käynnistysyritys epäonnistuu ja järjestelmä ilmoittaa:
Varmenneketju on katkennut, eikä Windowsin käynnistystä sallita.
EFI-käynnistystiedostot täytyy korjata vastaamaan varmenteita.
Windows käyttöjärjestelmä tai systeemiosio eivät hallinnoi tai tarkista UEFI Secure Boot -varmenteita – tarkistaminen on täysin UEFI:n vastuulla. Windowsin käynnistyminen riippuu vain siitä, salliiko UEFI käynnistyslataajan toimia.
Korjausmenettely: palautetaan vanha EFI-osio varmuuskopiosta. Näin saadaan käynnistyslataaja (CA 2011) vastaamaan CA 2011 oletusvarmenteita. Osoittautui, että EFI-osion palautus piti käynnistää ulkoiselta muistivälineeltä.
Kun palautetut varmenteet ja käynnistyslataajan varmenneketju vastaavat toisiaan, käyttöjärjestelmä käynnistyy Secure Boot päällä. Elvyttämistä jatketaan aiemman mukaan siten, että tuodaan uudet CA 2023 varmenteet ja luodaan uudelleen niitä vastaava käynnistyslataaja.
Osa käyttäjistä on jäänyt odottamaan automaattisten päivitysten ratkaisevan varmenneketjujen ja käynnistyslataajien ongelmat. Odotukset kohdistuvat toisaalta laitevalmistajien uudistamiin BIOS-versioihin ja toisaalta Windows-päivityksiin. Aika näyttää, miten asiat lopulta ratkeavat.
Hätätilanteessa, kun tietokoneessa olevaan aineistoon on pakko päästä käsiksi, voi suojatun käynnistyksen laittaa pois päältä, mutta se ei ole kovinkaan viisas pysyvä ratkaisu.