[lug-ld] secure boot: Ist Linux und Windows auf einem Motherboard moegl.?

Florian Heiser florian.heiser at posteo.de
Mi Apr 9 12:54:52 CEST 2025 

Und noch als Nachtrag zu dbx.

DBX ist eine Liste mit zurückgezogenen Zertifikaten. Unter Linux 
(zumindest in Fedora) bekommst Du dbx updates über ein Tool namens 
fwupdmgr. Die dbx kannst Du damit einspielen (oder es sein lassen).
Von Windows heraus können die dbx auch installiert werden. Ich würde mir 
keine Sorgen machen, denn erstens kommen die Updates selten und zweitens 
wird immer nur das neueste eingespielt. Das würde ich ganz entspannt 
sehen.
Die dbx Liste wird übrigens in der UEFI Firmware abgelegt, hat mit TPM 
nichts zu tun.

Viele Grüße, Florian



Am 2025-04-09 12:36 schrieb Florian Heiser:
> Hallo!
> Vielleicht habe ich deine Frage nicht richtig verstanden, dann tut es 
> mir Leid.
> 
> Grundsätzlich hat TPM gar nichts mit Secure Boot zu tun.
> SecureBoot ist Teil der UEFI Firmware und stellt sicher, dass beim
> Start nur vertrauenswürdige Software (z. B. Bootloader,
> Betriebssystem-Kernel) geladen wird.
> Dann prüft es die digitale Signatur der Boot-Komponenten vor dem
> Laden. TPM ist daran nicht beteiligt.
> 
> GNU Linux macht das meines Wissens nach mit einem shim binary, das von
> Microsoft signiert ist. (Viele Distros liefern ein signiertes Shim
> standardmäßig mit aus).
> 
> Ich benutze einige Dual-Boot Maschinen (W10 und Fedora) und SecureBoot
> ist überhaupt kein Problem. Erst wenn man Kernel-modules von Dritten
> (wie bspw. Nvidia firmware) installieren möchte, ist manuelles
> Eingreifen erforderlich, aber auch das ist möglich!
> In Fedora läuft SecureBoot out-of-the-box, Du bekommst es eigentlich
> gar nicht mit. Das sollte bei Debian/Ubuntu-basierten Systemen nicht
> anders sein.
> 
> Hier ein paar hilfreiche Links (sorry, ist in Englisch, die
> einschlägigen Maschinenübersetzer im Internet kommen aber damit
> sicherlich gut klar):
>  - https://wiki.debian.org/SecureBoot
>  -
> https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot
>  - https://fedoraproject.org/wiki/Secureboot (nicht sehr ergiebig, hat
> aber weitere interessante Links)
>  -
> https://access.redhat.com/articles/5254641?extIdCarryOver=true&sc_cid=701f2000001OH7EAAW
>  -
> https://medium.com/@allypetitt/digging-into-the-linux-secure-boot-process-9631a70b158b
>  - 
> https://nsfocusglobal.com/secure-boot-101-getting-started-with-secure-boot/
> 
> Hilft Dir das weiter?
> 
> Win11 erfordert ein TPM2.0, richtig? Sollte SecureBoot unter Linux
> trotzdem egal sein...
> 
> Viele Grüße,
> Florian
> 
> 
> 
> Am 2025-04-09 10:41 schrieb Pahle Heinz:
>> Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.
>> "Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit 
>> (Base64)
>> Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.
>> 
>> Liebe LUGer!
>> 
>> Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, 
>> die
>> einen preiswerten, modernen refurbished Rechner kaufen, Windows
>> belassen, Linux dazu installieren wollen. Immerhin ist manche 
>> Geraete-SW
>> nur unter Android, iOS und Windows zu kriegen, also Windows plaetten
>> moeglicherweise unklug.
>> 
>> Mein Problem (das ich bisher nicht hatte):
>> Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux
>> drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei
>> den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die
>> ich spannungsmaessig selektieren/aktivieren kann, dazu noch
>> USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2
>> meiner Rechner (fuer Windows11 mit secure boot) nach
>> Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst
>> unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,
>> habe ansatzweise verfolgt, dass Linux eine eigene Realisation von
>> "secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben
>> werden und ich solle mich mit "Perform MOK management" befassen. Da 
>> ich
>> den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff
>> bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben
>> (MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man
>> sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine
>> bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen 
>> muss.
>> Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von
>> Linux nach Windows wechselt, waere moeglich. Aber...
>> 
>> Jetzt die technische Fragen, es gilt der Betreff:
>> Laesst Linux generell/teilweise den TPM-Part in Ruhe?
>> a)
>> Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt 
>> wird
>> b)
>> "Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt 
>> werden,
>> mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).
>> [Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse 
>> der
>> Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von
>> Linux umgangen wird.]
>> 
>> Absicht:
>> Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und
>> andere auf beiden System nutze, unter Linux zusaetzlich spezielle
>> Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur
>> Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER
>> SPENDIEREN ZU MUESSEN(, wenn moeglich).
>> 
>> Loesungen?
>> web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, 
>> aber
>> Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja
>> bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.
>> 
>> Gruss
>> Heinz
>> 
>> _______________________________________________
>> lug-ld mailing list
>> lug-ld at lists.lug-ld.de
>> http://lists.lug-ld.de/mailman/listinfo/lug-ld

Mehr Informationen über die Mailingliste lug-ld