Die UEFI-Spezifikation 2.3.1 Errata C (oder höher) definiert ein als Secure Boot bekanntes Protokoll, das den Bootvorgang absichern kann, indem es das Laden von Treibern oder OS-Loadern verhindert, die nicht mit einer akzeptablen digitalen Signatur versehen sind. Die mechanischen Details, wie genau diese Treiber zu signieren sind, sind nicht spezifiziert. Wenn der sichere Bootvorgang aktiviert ist, wird er zunächst in den Setup-Modus versetzt, der es ermöglicht, einen öffentlichen Schlüssel, den so genannten Platform Key (PK), in die Firmware zu schreiben. Sobald der Schlüssel geschrieben ist, wechselt Secure Boot in den User-Modus, in dem nur mit dem Platform Key signierte Treiber und Loader von der Firmware geladen werden können. Zusätzliche Key Exchange Keys (KEK) können zu einer im Speicher abgelegten Datenbank hinzugefügt werden, um die Verwendung anderer Zertifikate zu ermöglichen, aber sie müssen immer noch eine Verbindung zum privaten Teil des Plattformschlüssels haben. Secure Boot kann auch in den Custom-Modus versetzt werden, in dem zusätzliche öffentliche Schlüssel zum System hinzugefügt werden können, die nicht mit dem privaten Schlüssel übereinstimmen.
Artikel in anderen Sprachen: