[lug-ld] secure boot: Ist Linux und Windows auf einem Motherboard moegl.?

[Pahle Heinz]

Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.
"Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit (Base64)
Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.

Liebe LUGer!

Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, die
einen preiswerten, modernen refurbished Rechner kaufen, Windows
belassen, Linux dazu installieren wollen. Immerhin ist manche Geraete-SW
nur unter Android, iOS und Windows zu kriegen, also Windows plaetten
moeglicherweise unklug.

Mein Problem (das ich bisher nicht hatte):
Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux
drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei
den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die
ich spannungsmaessig selektieren/aktivieren kann, dazu noch
USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2
meiner Rechner (fuer Windows11 mit secure boot) nach
Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst
unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,
habe ansatzweise verfolgt, dass Linux eine eigene Realisation von
"secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben
werden und ich solle mich mit "Perform MOK management" befassen. Da ich
den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff
bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben
(MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man
sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine
bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen muss.
Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von
Linux nach Windows wechselt, waere moeglich. Aber...

Jetzt die technische Fragen, es gilt der Betreff:
Laesst Linux generell/teilweise den TPM-Part in Ruhe?
a)
Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt wird
b)
"Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt werden,
mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).
[Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse der
Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von
Linux umgangen wird.]

Absicht:
Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und
andere auf beiden System nutze, unter Linux zusaetzlich spezielle
Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur
Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER
SPENDIEREN ZU MUESSEN(, wenn moeglich).

Loesungen?
web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, aber
Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja
bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.

Gruss
Heinz