Unified Extensible Firmware Interface

Unified Extensible Firmware Interface (UEFI) – interfejs pomiędzy systemem operacyjnym a firmware, opracowywany jako następca BIOS-u w komputerach osobistych.

Na tę stronę wskazuje przekierowanie z „UEFI”. Zobacz też: Unified EFI Forum.

Logo UEFI

Koncepcja interfejsu została opracowana przez firmę Intel na potrzeby procesora serwerowego Itanium. Rozwój standardu koordynowany jest przez organizację Unified EFI Forum. UEFI wprowadza nowe funkcjonalności względem tradycyjnego BIOS-u, takie jak obsługa większych dysków twardych, niezależność sterowników od systemu operacyjnego oraz wbudowana powłoka systemowa. Wdrożenie standardu spotkało się z krytyką ze strony zwolenników wolnego oprogramowania ze względu na potencjalne utrudnienia w instalacji alternatywnych systemów operacyjnych (mechanizm Secure Boot).

Anglojęzyczny schemat EFI

Schemat obrazujący interakcje między menedżerem rozruchu (bootmanagerem) EFI a sterownikami EFI

Charakterystyka

Podstawową cechą odróżniającą UEFI od rozwiązania starszego typu jest możliwość pisania dla niego własnych sterowników, które pozostają niezależne od zainstalowanego systemu operacyjnego. Interfejs ten umożliwia obsługę dysków twardych o pojemności przekraczającej 2 TB (teoretyczny limit wynosi 8192 EB) dzięki zastosowaniu procedury partycjonowania GPT.

UEFI wyposażono we własną powłokę systemową (UEFI Shell), przeznaczoną głównie do celów diagnostycznych i serwisowych. Niektórzy producenci sprzętu implementują w oparciu o UEFI własne minisystemy, uruchamiane z nośników optycznych lub pamięci flash, niezależnie od głównego systemu operacyjnego.

Firma Apple rozpoczęła stosowanie tego standardu w swoich komputerach w 2006 roku, jednak implementacja ta nie udostępnia użytkownikowi menu konfiguracyjnego w formie znanej z komputerów PC.

Wersje specyfikacji

Rozwój standardu dokumentowany jest poprzez kolejne wersje specyfikacji zatwierdzane przez Unified Extensible Firmware Interface Forum^[1]. Wybrane wersje standardów (stan na rok 2017):

• UEFI: 2.7A (wrzesień 2017)
• UEFI Shell: 2.2 (styczeń 2016)
• UEFI PI (Platform Initialization): 1.6 (maj 2017)
• PI Distribution Packaging: 1.1 (styczeń 2016)
• ACPI (Advanced Configuration and Power Interface): 6.2A (wrzesień 2017)

Bezpieczeństwo i kontrowersje

Implementacja standardu UEFI stała się przedmiotem debaty dotyczącej uprawnień użytkowników oraz bezpieczeństwa cyfrowego.

Ochrona własności intelektualnej a DRM

Według Ronalda Minnicha jednym z celów opracowania UEFI była ochrona własności intelektualnej producentów sprzętu komputerowego^[2]. Krytycy mechanizmów DRM wskazują, że rozwiązanie to może ograniczać kontrolę użytkownika nad urządzeniem oraz utrudniać korzystanie z wolnego oprogramowania. Przeciwnicy standardu argumentują, że UEFI umożliwia producentom wprowadzanie ograniczeń sprzętowych (tzw. DRM firmware), determinujących sposób eksploatacji urządzenia.

Podatności na ataki

W 2012 roku specjaliści z firmy ITSEC wykazali^[3], że architektura tego oprogramowania układowego może ułatwiać tworzenie bootkitów w porównaniu do tradycyjnego systemu BIOS. W 2018 roku badacze z firmy ESET opublikowali raport^[4] o wykryciu LoJax – pierwszego aktywnego rootkita UEFI wykorzystywanego do cyberataków na podmioty w Europie Środkowej i Wschodniej.

Problemy z kompatybilnością

Wdrażanie UEFI wiązało się z błędami w implementacji. Próba uruchomienia systemu Ubuntu (w wersji Live CD) na niektórych ultrabookach firmy Samsung powodowała trwałe uszkodzenie płyty głównej^[5] lub zablokowanie dysków twardych w sposób uniemożliwiający ich wykrycie przez firmware.

Secure Boot

Systemy operacyjne (m.in. Windows 11) oraz gry komputerowe mogą wymagać aktywacji funkcji „Bezpieczny rozruch” (ang. Secure Boot). Mechanizm ten służy ochronie integralności systemu poprzez blokowanie ładowania niepodpisanego lub złośliwego oprogramowania (np. typu rootkit) przed startem OS. Jest to jeden z elementów modelu bezpieczeństwa Windows, funkcjonujący obok modułu TPM 2.0 oraz wirtualizacji zabezpieczeń (VBS/HVCI)^[6].

Wymóg aktywnego Secure Boot stosują także niektóre systemy przeciwdziałające oszustwom w grach sieciowych (działające w trybie jądra, np. EA Javelin Anticheat), co ma uniemożliwić ingerencję w procesy gry. Może to prowadzić do problemów z kompatybilnością, w tym konfliktów ze sterownikami, narzędziami do overclockingu lub oprogramowaniem sterującym podświetleniem komponentów. Ingerencja w klucze szyfrujące UEFI wiąże się również z ryzykiem utraty dostępu do danych na partycjach zaszyfrowanych (np. funkcją BitLocker) w przypadku braku kopii klucza odzyskiwania^[6].

Tryby pracy

W zależności od producenta i modelu płyty głównej, po wejściu do ustawień UEFI dostępne mogą być różne tryby pracy:

• UEFI (tryb natywny)
• Legacy BIOS (tryb zgodności ze starszym standardem)
• CSM (Compatibility Support Module)

W nowszych konstrukcjach opcje konfiguracji zazwyczaj ograniczają się do wyboru między trybem natywnym a CSM. Firma Intel zapowiedziała zakończenie wsparcia dla trybu zgodności BIOS (CSM) w swoich chipsetach od 2020 roku.