Microsoft aktualisiert die Secure Boot-Schlüssel aus der Windows 8-Ära, damit dein moderner PC einwandfrei startet

Microsoft hat diese Woche die Patch Tuesday-Updates für Windows 11 (KB5034765) und Windows 10 (KB5034763, und mehr) veröffentlicht. Nebenbei hat das Unternehmen auch an die bevorstehende Beendigung der optionalen, nicht sicherheitsrelevanten Vorschauupdates, bekannt als C- und D-Versionen, diesen Monat für Windows 11 Version 22H2 erinnert.

Eine weitere wichtige Ankündigung des Unternehmens betrifft Secure Boot. Microsoft hat erklärt, dass es damit beginnt, neue Secure Boot-Schlüssel (CA) ab 2023 einzuführen, um die bisherigen zu ersetzen. Die alten Schlüssel stammen aus dem Jahr 2011 und wurden während Windows 8 von dem Unternehmen eingeführt, als Secure Boot zum ersten Mal präsentiert wurde. Diese Zertifikate werden in ein paar Jahren, nämlich 2026, 15 Jahre alt sein und dann ablaufen.

Zertifizierungsstellen (CAs) oder Schlüssel helfen grundsätzlich dabei, die Authentizität und Gültigkeit verschiedener Komponenten wie Bootloader, Treiber, Firmware und Anwendungen zu verwalten.

In einem Blog-Beitrag auf der Tech Community gibt Microsoft die Änderung bekannt und schreibt:

Microsoft arbeitet in Zusammenarbeit mit unseren Partnern daran, Ersatzzertifikate bereitzustellen, die neue Trust-Anker für Unified Extensible Firmware Interface (UEFI) Certificate Authorities (CAs) in Secure Boot für die Zukunft setzen werden. Achten Sie auf schrittweise ausgerollte Secure Boot-Datenbankupdates, um Vertrauen für die neue Datenbank (DB) und den Key Exchange Key (KEK) herzustellen. Dieses neue DB-Update steht ab dem 13. Februar 2024 als optionales Service-Update für alle Secure Boot-fähigen Geräte zur Verfügung.

Im Großen und Ganzen handelt es sich hierbei um ein wichtiges Update für die Secure Boot-DB (Datenbank), das nicht regelmäßig wie die Secure Boot DBX aktualisiert wird. Die Secure Boot DBX-Liste ist im Wesentlichen die Widerrufsliste, die unsichere Module enthält, weshalb sie als Secure Boot Verbotene Signatur Datenbank (DBX) bezeichnet wird.

Daher werden der Microsoft Corporation KEK CA 2011, die Microsoft Windows Production PCA 2011 und die Microsoft UEFI CA 2011 alle durch ihre entsprechenden Versionen von 2023 ersetzt. Microsoft plant, dies schrittweise durchzuführen, um Kompatibilität und einen fehlerfreien Rollout sicherzustellen und beabsichtigt, den vollständigen Prozess vor 2026 abzuschließen.

Quelle: neowin.net

 

[e.]

Es ist bereits der 2. Monat des Jahres 2024, aber sie werden 2023 sichere Startschlüssel verwenden?

 

[p.]

... die CA heißt „Microsoft Windows UEFI CA 2023“, die Zertifikatsgültigkeit hat nichts mit dem Autoritätsnamen zu tun. Sie glauben nicht, dass die Konfiguration einer PKI Zeit braucht?