[lug-ld] secure boot: Ist Linux und Windows auf einem Motherboard moegl.?

Florian Heiser florian.heiser at posteo.de
Mi Apr 9 12:36:42 CEST 2025 

Hallo!
Vielleicht habe ich deine Frage nicht richtig verstanden, dann tut es 
mir Leid.

Grundsätzlich hat TPM gar nichts mit Secure Boot zu tun.
SecureBoot ist Teil der UEFI Firmware und stellt sicher, dass beim Start 
nur vertrauenswürdige Software (z. B. Bootloader, Betriebssystem-Kernel) 
geladen wird.
Dann prüft es die digitale Signatur der Boot-Komponenten vor dem Laden. 
TPM ist daran nicht beteiligt.

GNU Linux macht das meines Wissens nach mit einem shim binary, das von 
Microsoft signiert ist. (Viele Distros liefern ein signiertes Shim 
standardmäßig mit aus).

Ich benutze einige Dual-Boot Maschinen (W10 und Fedora) und SecureBoot 
ist überhaupt kein Problem. Erst wenn man Kernel-modules von Dritten 
(wie bspw. Nvidia firmware) installieren möchte, ist manuelles 
Eingreifen erforderlich, aber auch das ist möglich!
In Fedora läuft SecureBoot out-of-the-box, Du bekommst es eigentlich gar 
nicht mit. Das sollte bei Debian/Ubuntu-basierten Systemen nicht anders 
sein.

Hier ein paar hilfreiche Links (sorry, ist in Englisch, die 
einschlägigen Maschinenübersetzer im Internet kommen aber damit 
sicherlich gut klar):
  - https://wiki.debian.org/SecureBoot
  - 
https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot
  - https://fedoraproject.org/wiki/Secureboot (nicht sehr ergiebig, hat 
aber weitere interessante Links)
  - 
https://access.redhat.com/articles/5254641?extIdCarryOver=true&sc_cid=701f2000001OH7EAAW
  - 
https://medium.com/@allypetitt/digging-into-the-linux-secure-boot-process-9631a70b158b
  - 
https://nsfocusglobal.com/secure-boot-101-getting-started-with-secure-boot/

Hilft Dir das weiter?

Win11 erfordert ein TPM2.0, richtig? Sollte SecureBoot unter Linux 
trotzdem egal sein...

Viele Grüße,
Florian



Am 2025-04-09 10:41 schrieb Pahle Heinz:
> Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.
> "Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit (Base64)
> Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.
> 
> Liebe LUGer!
> 
> Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, die
> einen preiswerten, modernen refurbished Rechner kaufen, Windows
> belassen, Linux dazu installieren wollen. Immerhin ist manche 
> Geraete-SW
> nur unter Android, iOS und Windows zu kriegen, also Windows plaetten
> moeglicherweise unklug.
> 
> Mein Problem (das ich bisher nicht hatte):
> Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux
> drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei
> den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die
> ich spannungsmaessig selektieren/aktivieren kann, dazu noch
> USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2
> meiner Rechner (fuer Windows11 mit secure boot) nach
> Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst
> unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,
> habe ansatzweise verfolgt, dass Linux eine eigene Realisation von
> "secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben
> werden und ich solle mich mit "Perform MOK management" befassen. Da ich
> den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff
> bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben
> (MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man
> sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine
> bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen muss.
> Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von
> Linux nach Windows wechselt, waere moeglich. Aber...
> 
> Jetzt die technische Fragen, es gilt der Betreff:
> Laesst Linux generell/teilweise den TPM-Part in Ruhe?
> a)
> Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt 
> wird
> b)
> "Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt 
> werden,
> mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).
> [Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse 
> der
> Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von
> Linux umgangen wird.]
> 
> Absicht:
> Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und
> andere auf beiden System nutze, unter Linux zusaetzlich spezielle
> Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur
> Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER
> SPENDIEREN ZU MUESSEN(, wenn moeglich).
> 
> Loesungen?
> web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, aber
> Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja
> bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.
> 
> Gruss
> Heinz
> 
> _______________________________________________
> lug-ld mailing list
> lug-ld at lists.lug-ld.de
> http://lists.lug-ld.de/mailman/listinfo/lug-ld

Mehr Informationen über die Mailingliste lug-ld