Unified Extensible Firmware Interface


aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Unified Extensible Firmware Interface (kurz UEFI, englisch für Vereinheitlichte erweiterbare Firmware-Schnittstelle) und dessen Vorgänger Extensible Firmware Interface (kurz EFI genannt) beschreiben die zentrale Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Es sitzt logisch gesehen unterhalb des Betriebssystems und ist der Nachfolger des PC-BIOS, mit Fokus auf 64-Bit-Systeme. Ein Bestandteil aktueller UEFI-Versionen ist Secure Boot, das das Booten auf vorher signierte Bootloader beschränkt und so Schadsoftware oder andere unerwünschte Programme am Starten hindert.

Datei:Efi-simple de.svg
Lage der Schnittstelle

Ziel

UEFI soll einfacher zu bedienen sein als herkömmliche BIOS-Implementierungen. Zudem sollen die Anwender beim Systemstart auswählen können, welche Bestandteile des verwendeten Betriebssystems geladen werden sollen, beispielsweise könnten fehlerhafte Treiber deaktiviert werden.

Auch soll von den grafischen Möglichkeiten moderner Hardware Gebrauch gemacht werden, und es soll möglich werden, Fehler mit Hilfe von Netzwerkverbindungen zu diagnostizieren.

Geschichte

Das ursprüngliche PC-BIOS erschien 1981 mit dem ersten IBM-PC und wird trotz vieler späterer Erweiterungen den Anforderungen moderner Hardware und Betriebssysteme schon seit einiger Zeit nicht mehr gerecht. Insbesondere ist es nicht 64-bit-tauglich, und weitere „Flickschustereien“ in dieser Richtung erschienen Hardware-Herstellern (wie Intel oder AMD) nicht mehr tragbar.

Maßgeblich für die Neuentwicklung EFI war eine Initiative von Intel, um einen Ersatz für das BIOS zur Verwendung in der IA64-Architektur zu finden. In dem 1998 gegründeten Intel Boot Initiative (IBI)-Programm wurde die Idee spezifiziert.

Der eigentliche Nachfolger für das BIOS ist der Firmware Foundation Code, der zu den Bedingungen der CPL (Common Public License) freigegeben wird und das Extensible Firmware Interface implementiert.<ref name="FirmwareFoundationCodeCPL">http://www.chip.de/news/Intel-will-BIOS-Nachfolger-als-Open-Source-freigeben_13728343.html</ref>

Unified EFI (UEFI)

Datei:Uefi logo.svg
75px

Zur Werbung und Weiterentwicklung von EFI wurde 2005 das Unified EFI Forum gegründet. Daran sind außer Intel auch AMD, Microsoft, Hewlett-Packard und viele andere PC- und BIOS-Hersteller beteiligt, so dass die nun als Unified EFI (UEFI) bezeichnete Schnittstelle nicht mehr allein von Intel festgelegt wird. Im Januar 2006 wurde die EFI-Version 2.0 freigegeben.

Mit der Einführung von Windows 8 im Jahr 2012 wurde das UEFI in der Version 2.3.1 mit einem Secure-Boot-Mechanismus verstärkt eingeführt, der das Booten auf vorher signierte Bootloader beschränkt. Dies erhöht die Sicherheit beim Systemstart, indem Schadsoftware am Starten gehindert wird. Andererseits wird der Aufwand für die Nutzung von z. B. Linux-Distributionen erhöht, da entweder Secure Boot deaktiviert oder ein signierter Kernel genutzt werden muss. Allerdings ist das Signieren eines Kernels mit Kosten verbunden, die die wenigsten Distributoren tragen wollen.<ref>Thorsten Leemhuis: UEFI Secure Boot und Linux: Antworten auf die häufigsten Fragen, c’t-Magazin, abgerufen am 13. Juni 2015</ref>
Wie Forscher der Mitre Corporation Mitte 2014 bekannt gegeben haben, weist die Intel-Referenzimplementierung von UEFI eine Sicherheitslücke auf, die das dauerhafte Einschleusen von Malware ermöglicht. Genutzt wird hierfür eine fehlerhafte Update-Funktion, durch die es zu Integer-Overflows kommt und Schadcode ausführbar macht. Viele nehmen den Code der Intel-Referenzimplementierung als Basis für ihr UEFI.<ref>http://www.digitale-sicherheit.net/sicherheitsluecke-im-uefi-bios-entdeckt/</ref>

Alternativen

Für PowerPC-und SPARC-Rechner wurde vor geraumer Zeit bei Unix-Workstations und Servern der plattform- und prozessorunabhängige Forth-basierte Industriestandard Open Firmware (IEEE-1275) spezifiziert. Wesentliche technische Vorteile von Intels Eigenentwicklung EFI gegenüber Open Firmware, abgesehen von wesentlich gesteigerter Ausführungsgeschwindigkeit (Vergleich Mac mit Open Firmware zu Mac (gleicher Jahrgang) mit EFI), sind nicht bekannt.

Eine weitere Alternative ist die unter der GPL-Lizenz stehende Firmware coreboot (ehemals LinuxBIOS). Coreboot ist ein Minimalsystem, das lediglich die Hardware soweit initialisiert, dass ein anderes Programm (eine sogenannte Payload) aufgerufen werden kann, etwa ein Linux-Kernel, ein Bootloader wie etwa GRUB, Open Firmware oder diverse andere.

Techniken und Möglichkeiten

Datei:Efi flowchart extended.svg
Ablauf eines Systemstarts mit EFI

Die EFI-Schnittstelle soll die Nachteile des seit den 1980er Jahren verbreiteten BIOS beseitigen und neue Möglichkeiten eröffnen. Dazu gehören laut EFI-Spezifikationen:

  • Einfache Erweiterbarkeit (z. B. für Digital Rights Management)
  • Eingebettetes Netzwerkmodul (zur Fernwartung)
  • Preboot Execution Environment (universelles Netzwerkbootsystem)
  • Unterstützung für hochauflösende Grafikkarten schon beim Start des Computers
  • BIOS-Emulation (für Kompatibilität zu alten Betriebssystemen die UEFI nicht unterstützen und zu manch alter Firmware) durch ein „Compatibility Support Module“ (CSM)<ref name="IntelEFIFramework">http://www.intel.com/technology/framework/overview4.htm</ref>
  • eine Shell, über die beispielsweise EFI-Applikationen (*.efi) aufgerufen werden können
  • Treiber können als Modul in das EFI integriert werden, so dass sie nicht mehr vom Betriebssystem geladen werden müssen. Damit sind, wie bei Open Firmware, systemunabhängige Treiber möglich.
  • Das System kann in einem Sandbox-Modus betrieben werden, bei dem Netzwerk- und Speicherverwaltung auf der Firmware laufen anstatt auf dem Betriebssystem.
  • Das EFI bietet eine Auswahlmöglichkeit für die auf dem System installierten Betriebssysteme und startet diese; damit sind (den Betriebssystemen vorgeschaltete) Boot-Loader überflüssig.
  • Mit der GUID Partition Table (GPT) führt es einen flexibleren Nachfolger für auf dem Master Boot Record basierende Partitionstabellen ein. Die GPT ist notwendig, um von einer Festplatte > 2 TB booten zu können bzw. Partitionen > 2 TB anlegen und verwalten zu können.

Marktdurchdringung

Die Etablierung des Extensible Firmware Interface als zukünftiger Ersatz für das BIOS scheiterte bisher im PC-Bereich am Widerstand einiger Computer- und BIOS-Hersteller. Mit dem Einstieg von Apple in den x86-Markt scheint sich das jedoch langsam zu ändern – Macs auf Intel-Basis verwenden ausschließlich EFI.

Inzwischen hat mit dem Mainboard-Hersteller MSI der erste Anbieter „normaler“ x86-Systeme damit begonnen, seine Produkte auf EFI umzustellen. Im Februar 2008 sollte das erste Mainboard (P35 Neo3), welches auf dem P35-Chipsatz von Intel basiert, mit EFI erscheinen.<ref>http://www.computerbase.de/news/hardware/mainboards/intel-systeme/2008/januar/msi_bios_p35_neo3/</ref> Erschienen ist es jedoch nie. MSI plante allerdings die Markteinführung von EFI für P45-Boards im Juli 2008.<ref>Computerbase: MSI bringt EFI auf P45-Boards im Juli</ref> Anders, als diese Nachrichten vermuten ließen, hat MSI die Veröffentlichung eines Mainboards mit EFI-Installation nicht vom Werk aus geplant, sondern hat für die dort genannten Mainboards ein EFI als öffentliche Beta-, also Testversion herausgebracht.<ref>http://eu.msi.com/html/popup/MB/uefi/about.html</ref> Im Jahr 2009 haben sich verschiedene Hersteller zu (U)EFI bekannt (u. a. Insyde, Intel und Phoenix). Als Grund hierfür kann die x86_64-Kompatibilität und vor allem die verkürzte Ladezeit des jeweiligen Systems angeführt werden.<ref>http://www.heise.de/newsticker/meldung/IDF-Notebook-Firmware-bootet-kuerzer-als-1-Sekunde-790212.html</ref> Seit Ende 2010 sind außerdem vom Hersteller Asus erste Mainboards für den Sockel 1155 mit EFI verfügbar.<ref>Asus LGA1155 Motherboard Preview. bit-tech.net. 16. November 2010. Abgerufen am 28. März 2011.</ref>

EFI wird hauptsächlich von Intel gefördert und – mit Einschränkungen – auch von Microsoft. Intels Itanium-Systeme liefen von Anfang an ausschließlich mit EFI, und dank der Hilfe von Intel konnte auch Apple EFI bereits einsetzen. Windows-Versionen für Itanium-Systeme mit EFI gibt es bereits seit Windows 2000. Microsoft hat also bereits einige Jahre Praxiserfahrung mit dem EFI. Windows Vista (x64) unterstützt seit SP1 UEFI 2.0, ebenso Windows Server 2008 (gleiche Entwicklungsgrundlage wie Vista mit SP1), aber nicht den älteren EFI-Standard 1.3, der bisher bei Intel-Macs verwendet wird.<ref>heise: Windows Vista Service Pack 1 ist fertig</ref>

Betriebssysteme

x86

Windows

Seit Windows 2000 gibt es Versionen von Windows für die IA64 Architektur. Da EFI ein zwingender Bestandteil dieser Plattform ist, unterstützt jede IA64-Version von Windows somit auch EFI.

Für Endanwender unterstützt Windows EFI ausschließlich in den 64-Bit-Varianten ab Windows Vista mit integriertem Service Pack 1 bzw. Windows Server 2008.<ref>http://www.microsoft.com/whdc/system/platform/firmware/UEFI_Windows.mspx</ref>

Für den Windows-7-Nachfolger Windows 8 wird EFI 2.x empfohlen. Systeme mit Systemplatten größer als 2 Terabyte und Systeme mit ARM-Prozessor benötigen EFI zwingend.<ref>Abschied vom PC-BIOS – Meldung beim c’t magazin, vom 3. Juni 2011</ref>

Alle vorherigen Windows-Versionen für die x86-Architektur funktionieren nur, wenn eine BIOS-Kompatibilitätsschicht (CSM) vorhanden ist. Diese wird z. B. von Macintosh-Computern mit Intel-CPU bereitgestellt, ist aber auch Bestandteil jedes aktuellen UEFI auf PC-Mainboards.<ref>http://www.heise.de/kiosk/archiv/ct/2009/11/186_kiosk</ref><ref>http://www.heise.de/kiosk/archiv/ct/2009/11/180</ref>

Linux

EFI wird auch von Linux unterstützt. Der stabile Zweig des Linux-Kernels bietet seit Version 2.6.25 auch für die x86-Architektur Unterstützung für EFI.<ref>heise open: Kernel 2.6.25 unterstützt nun auch auf der x86-Architektur den designierten BIOS-Nachfolger EFI</ref>

Seit dem Erscheinen der ersten Itanium-Systeme entwickelt HP den Bootloader elilo. Dieser ist zwar für IA-64 ausgelegt, lässt sich aber ebenfalls auf IA-32 verwenden – eine Portierung von elilo auf x86-64 befindet sich aber noch im Beta-Stadium. Als Alternative zu elilo kann auch GRUB 2 für EFI-PCs verwendet werden.

Fedora unterstützt ab Version 17 EFI in der Installation und richtet das System entsprechend ein, um mit EFI arbeiten zu können. Debian unterstützt EFI seit Version 7.0 Wheezy mit einem eigenen Bootloader.

OS X

Die im Januar 2006 vorgestellten und alle nachfolgenden Apple Macintosh-Rechner mit OS X, die auf Intel-CPUs und Chipsätzen basieren, verwenden ebenfalls EFI als Firmware.<ref>http://developer.apple.com/documentation/MacOSX/Conceptual/universal_binary/universal_binary_diffs/chapter_3_section_10.html (Memento vom 3. Januar 2009 im Internet Archive)Vorlage:Webarchiv/Wartung/Linktext_fehlt</ref> Damit sind sie – zusammen mit einigen Media-Center-PCs wie etwa dem Gateway 610 aus dem Jahr 2003 – die ersten EFI-basierten Massenmarktcomputer. Die ausschließliche Nutzung des EFI ohne die optionale BIOS-Kompatibilitätsschicht verhinderte zunächst das Booten von Windows XP auf Intel-basierten Macintosh-Rechnern. Bald wurde aber durch das Projekt xom eine BIOS-Emulation implementiert, die das Starten von Windows ermöglichte.

Apple rüstete den „BIOS Layer“ nach einigen Monaten durch eine Firmware-Aktualisierung nach und bot bis Mitte Oktober 2007 eine kostenlose, „Boot Camp“ genannte Lösung an, die es ermöglicht, OS X und Windows XP auf zwei Partitionen desselben Rechners zu installieren und durch Neustart (Booten) zwischen den Betriebssystem hin- und herzuwechseln („Dualboot-Lösung“). Seit Erscheinen von Mac OS X 10.5 (Leopard) ist Boot Camp standardmäßig auf allen Intel-Macs vorinstalliert. Die Beta-Version von Boot Camp, die auch auf Mac OS X 10.4 lief, ist inzwischen offiziell nicht mehr lauffähig.

Mit EFi-X erschien im Sommer 2008 nachrüstbare Firmware für PCs, mit der die Installation von OS X von einer unmodifizierten, handelsüblichen Original-DVD auf ausgewählter Hardware anderer Hersteller ermöglicht wird, die sich hauptsächlich aus einer Kombination von Gigabyte-Hauptplatinen mit bestimmten Nvidia- und ATI-Grafikkarten zusammensetzt. Die EFi-X-Firmware ist dabei auf einem USB-Dongle untergebracht, der auf einen internen USB-Steckplatz der Hauptplatine gesteckt wird. Beim Systemstart werden daraufhin eine EFI-Emulation und ein „Multiboot-Manager“ geladen, über den neben OS X auch Windows XP, Vista oder Linux gestartet werden können.<ref>http://www.efi-x.com/index.php?option=com_content&view=article&id=23&language=english efi-x.com Produktinfo</ref>

Mittlerweile gibt es auch den Bootloader Chameleon,<ref>Chameleon</ref> mit dem der OS X-Kernel direkt geladen werden kann, oder Clover,<ref>Clover EFI bootloader</ref> welcher ein Macintosh-EFI vollständig softwareseitig emuliert.

Ebenso gibt es ozmosis was einen Platform-Treiber für OSX darstellt. Ein Dualbiss wie auf Gigabyte Mainboards wird empfohlen da dort die Gefahr des "bricken" minimiert ist. Mac OS lässt sich von einem solchen PC direkt starten.

Andere (IA64)

Da EFI auf IA64-Rechnern standardmäßig integriert ist, unterstützen Betriebssysteme, die auf diesen Rechnern laufen sollen, zumindest den Teil, der zum Laden des Betriebssystems selbst zum Einsatz kommt. Darunter fallen die entsprechenden Versionen von FreeBSD, HP-UX, Linux, NetBSD, OpenVMS und Microsoft Windows.

Kritik

EFI wurde dafür kritisiert, mehr Komplexität ins System zu bringen, ohne nennenswerte Vorteile zu bieten,<ref name="kt_linus">http://kerneltrap.org/node/6884 (Memento vom 8. Oktober 2006 im Internet Archive)Vorlage:Webarchiv/Wartung/Linktext_fehlt</ref> und das vollständige Ersetzen mit einem Open-Source-BIOS wie OpenBIOS und coreboot unmöglich zu machen.<ref>Interview: Ronald G Minnich</ref> Es löse nicht eines der langjährigen Probleme des BIOS – nämlich, dass die meiste Hardware zwei unterschiedliche Treiber benötigt.<ref name="gtt_coreboot">http://www.youtube.com/watch?v=X72LgcMpM9k</ref> Es sei nicht klar, warum es nützlich sein soll, zwei komplett unterschiedliche Betriebssysteme gleichzeitig in Betrieb zu haben, die im Grunde dieselben Aufgaben erledigen, oder warum ein neues Betriebssystem von Grund auf neu geschrieben werden müsste.<ref name="gtt_coreboot" />

Belege Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Die fraglichen Angaben werden daher möglicherweise demnächst entfernt. Bitte hilf der Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst. Näheres ist eventuell auf der Diskussionsseite oder in der Versionsgeschichte angegeben. Bitte entferne zuletzt diese Warnmarkierung.
Welcher Entwickler? Quelle?

EFI gilt einem Entwickler von coreboot zufolge in sicherheitskritischen Einsatzumgebungen – wie etwa in Banken – als ein mögliches Sicherheitsrisiko, da etwa mit dem implementierten Netzwerkstack die theoretische Möglichkeit bestünde, Daten unbemerkt vom Betriebssystem an eine beliebige Adresse zu senden. Der eigene Netzwerkstack für TCP/IP, der „unterhalb“ vom Betriebssystem direkt und unabhängig auf der Hauptplatine läuft, ermöglicht es, das System zu manipulieren, zu infizieren oder zu überwachen, ohne dass man es betriebssystemseitig kontrollieren oder einschränken könnte. Auch für DRM-Zwecke könnte EFI benutzt werden, um etwa den I/O-Datenstrom auf digitale Wasserzeichen hin zu überwachen. Aus diesen Gründen plädieren einige Anwender für ein quelloffenes System wie coreboot (ehemals LinuxBIOS).<ref name="kt_linus" /><ref>http://www.youtube.com/watch?v=QsW88Efgmlk&feature=related</ref><ref>http://blog.thesilentnumber.me/2009/01/efi-hidden-threat-to-computing-freedom.html (Memento vom 10. Januar 2015 im Internet Archive)Vorlage:Webarchiv/Wartung/Linktext_fehlt</ref>

Fehlerhafte Implementationen von UEFI haben bei mehreren Herstellern zu irreparablen Schäden an Systemen geführt. Im Juni 2013 wurden Notebooks von Samsung beim Bootvorgang mit Linux eingefroren, sobald das Betriebssystem schreibend auf die UEFI-Firmware zugriff. Das Mainboard wurde dadurch unlösbar blockiert.<ref>c’t: Firmware-Schaden, 6/2013</ref> Anfang 2014 trat das gleiche Problem bei Geräten von Lenovo auf und Ende 2015 bei Geräten von ASUS.<ref>heise.de: Fehlerhafte UEFI-Firmware: Linux killt Thinkpads, 5. Februar 2014</ref><ref>superuser.com: UEFI-Implementation-Issue (can lead to a hard-brick) - ASUS Zenbook UX303LA-R4342H (englisch), 5. Oktober 2015</ref>

Weblinks

Commons Commons: Extensible Firmware Interface – Sammlung von Bildern, Videos und AudiodateienVorlage:Commonscat/Wartung/P 2 fehlt, P 1 ungleich Lemma

Einzelnachweise

<references />