Falls auf »@saved« gesetzt, wird der ausgewählte Eintrag bei jedem Systemstart als EFI-Variable gesetzt und automatisch beim nächsten Mal, wenn das Systemstartprogramm startet, ausgewählt.

Tabelle 1. Automatisch erkannte Einträge werden die folgenden Namen verwenden:

Es werden die Glob-Platzhalterzeichenmuster »?«, »*« und »[…]« (einschließlich Bereiche) unterstützt. Beachten Sie, dass diese Muster die gleiche Syntax wie glob(7) verwenden, aber nicht alle Funktionalitäten unterstützen. Insbesondere die Verneinung von Mengen und benannte Zeichenklassen werden nicht unterstützt. Der Vergleich ignoriert die Groß-/Kleinschreibung bei der Eintragskennung (wie durch bootctl list angezeigt).

Hinzugefügt in Version 239.

Falls auf »menu-disabled« oder »menu-hidden« oder »0« (die Vorgabe) (die Vorgabe) gesetzt, wird kein Menü angezeigt und der Standardeintrag sofort gestartet. Das Menü kann durch Drücken und Halten einer Taste, bevor Systemd-boot aufgerufen wird, angezeigt werden, außer es wurde »menu-disabled« verwandt. Durch Setzen von »menu-force« wird die Zeitüberschreitung deaktiviert und gleichzeitig das Menü immer angezeigt.

Hinzugefügt in Version 239.

Akzeptiert eine Zahl oder eine der nachfolgend aufgeführten besonderen Werte. Die folgenden Werte können benutzt werden:

0

1

2

auto

max

keep

Hinzugefügt in Version 239.

Hinzugefügt in Version 239.

Hinzugefügt in Version 239.

Hinzugefügt in Version 239.

Hinzugefügt in Version 251.

Steuert die Registrierung der auf dem ESP gefundenen sicheren Systemstartschlüssel, falls das System sich im Einrichtungsmodus befindet:

off

manual

if-safe

force

Die verschiedenen Variablenmengen können unter /loader/keys/NAME eingerichtet werden, wobei NAME als Name des Eintrags verwandt wird. Dies ermöglicht die Auslieferung mehrerer Gruppen von Secure-Boot-Variablen und die Auswahl zur Laufzeit, welche registriert werden sollen.

Die unterstützten Secure-Boot-Variablen sind einer für die Datenbank der authorisierten Abbilder, eine für den Schlüsselaustauschschlüssel (KEK) und eine für den Plattformschlüssel (PK). Für weitere Informationen lesen Sie bitte die UEFI-Spezifikation[2], unter »Secure Boot and Driver Signing«. Eine anderer Ressource, die das Zusammenwirken der verschiedenen Variablen beschreibt, ist die EDK2-Dokumentation[3].

Die vollständige Menge der UEFI-Variablen enthält db.auth, KEK.auth und PK.auth. Beachten Sie, dass diese Dateien authentifizierte UEFI-Variablen sein müssen. Sie finden weiter unten ein Beispiel, wie sie diese von regulären X.509-Schlüsseln erstellen können.

uuid=$(systemd-id128 new --uuid)
for key in PK KEK db; do
  openssl req -new -x509 -subj "/CN=${key}/" -keyout "${key}.key" -out "${key}.pem"
  openssl x509 -outform DER -in "${key}.pem" -out "${key}.der"
  sbsiglist --owner "${uuid}" --type x509 --output "${key}.esl" "${key}.der"
done
# Siehe auch: Windows-Anleitung zur Erstellung und Verwaltung von sicheren Systemstart-Schlüsseln[4]
curl --location \
     "https://go.microsoft.com/fwlink/p/?linkid=321192" -o ms-db-2011.der \
     "https://go.microsoft.com/fwlink/p/?linkid=321185" -o ms-kek-2011.der \
     "https://go.microsoft.com/fwlink/p/?linkid=321194" -o ms-uefi-db-2011.der \
     "https://go.microsoft.com/fwlink/p/?linkid=2239776" -o ms-db-2023.der \
     "https://go.microsoft.com/fwlink/p/?linkid=2239775" -o ms-kek-2023.der \
     "https://go.microsoft.com/fwlink/p/?linkid=2239872" -o ms-uefi-db-2023.der
sha1sum -c <<END
580a6f4cc4e4b669b9ebdc1b2b3e087b80d0678d  ms-db-2011.der
31590bfd89c9d74ed087dfac66334b3931254b30  ms-kek-2011.der
46def63b5ce61cf8ba0de2e6639c1019d0ed14f3  ms-uefi-db-2011.der
45a0fa32604773c82433c3b7d59e7466b3ac0c67  ms-db-2023.der
459ab6fb5e284d272d5e3e6abc8ed663829d632b  ms-kek-2023.der
b5eeb4a6706048073f0ed296e7f580a790b59eaa  ms-uefi-db-2023.der
END
for key in ms-*.der; do
  sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output "${key%der}esl" "${key}"
done
# Optional Microsoft Windows-Zertifikate hinzufügen (benötigt, um in Windows zu starten).
cat ms-db-*.esl >>db.esl
# Optional Microsoft UEFI-Zertifikate für Firmware-Treiber / Options-ROMS hinzufügen
# und Systemstartprogramme Dritter (einschließlich shim). Dies wird auf echter Hardware
# nachdrücklich empfohlen, da Sie ansonsten ihr System weich lahmlegen (siehe nächsten Absatz).
cat ms-uefi-*.esl >>db.esl
# Optional Microsoft KEK-Zertifikate hinzufügen. Empfohlen, falls einer der
# Microsoft-Schlüssel verwandt wird, da die offizielle UEFI-Widerrufsdatenbank mit diesem
# Schlüssel signiert ist. Die Wiederrufsdatenbank kann mit fwupdmgr(1) aktualisiert
# werden.
cat ms-kek-*.esl >>KEK.esl
attr=NON_VOLATILE,RUNTIME_ACCESS,BOOTSERVICE_ACCESS,TIME_BASED_AUTHENTICATED_WRITE_ACCESS
sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output PK.auth PK PK.esl
sbvarsign --attr "${attr}" --key PK.key --cert PK.pem --output KEK.auth KEK KEK.esl
sbvarsign --attr "${attr}" --key KEK.key --cert KEK.pem --output db.auth db db.esl

Diese Funktionalität wird als gefährlich betrachtet, da selbst wenn alle benötigten Dateien mit den geladenen Schlüsseln signiert wurden, einige für den korrekten Betrieb des Systems benötigte Dateien dies nicht sind. Dies ist insbesondere für Options-ROMS (z.B. für Speicherkontroller oder Graphikkarten) der Fall. Siehe Sicherer Systemstart und Options-ROMs[5] für weitere Details.

Hinzugefügt in Version 252.

Umgeht die BitLocker-Anforderung bezüglich eines Wiederherstellungsschlüssels, wenn das Systemstartprogramm aktualisiert wird (standardmäßig deaktiviert).

Versucht, BitLocker-verschlüsselte Laufwerke zusammen mit einem aktiven TPM zu erkennen. Falls beide gefunden werden und »Windows Boot Manager« im Systemstartmenü ausgewählt wird, wird die EFI-Variable »BootNext« gesetzt und das System neu gestartet. Die Firmware wird dann den Windows-Systemstart-Manager direkt starten und die TPM PCRs in den erwarteten Zuständen belassen, so dass Windows die Verschlüsselungsschlüssel entsiegeln kann. Dies ermöglicht es, systemd-boot(7) zu aktualisieren, ohne einen Wiederherstellungsschlüssel für das Entsperren von BitLocker-Laufwerken bereitzustellen.

Beachten Sie, dass die von Windows verwandten PCRs mit der Gruppenrichtlinie »Configure TPM platform validation profile for native UEFI firmware configurations« unter »Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption« konfiguriert werden können. Wenn der sichere Systemstart aktiviert ist, sollte das Ändern der PCRs »0,2,7,11« unproblematisch sein. Der TPM-Schlüsselschutz muss entfernt und dann wieder hinzugefügt werden, damit die PCRs auf einem bereits verschlüsselten Laufwerk geändert werden können. Falls PCR 4 nicht eingemessen wird, kann diese Einstellung deaktiviert werden, um das Starten in Windows zu beschleunigen.

Hinzugefügt in Version 251.

# /boot/efi/loader/loader.conf
timeout 0
default 01234567890abcdef1234567890abdf0-*
editor no