[lug-ld] secure boot: Ist Linux und Windows auf einem Motherboard moegl.?

[Pahle Heinz]

Liebe LUGer, mein Mailer wurde mehrfach "verbessert"; frueher stand da
zur Auswahl "Liste antworten". Jetzt ist das für mich Teffenste "allen
antworten". Das schreibe ich, weil man mich schon ruegte.

Liebe LUGer, besonders lieber Florian,

erst einmal Dank für Deine Arbeit. Dummerweise ist es so, dass ich bis
jetzt Grundlegendes anders erkannt habe, kann aber als Halbwisser nicht
auf "ich habe recht" bestehen.
Zuerst waere das zu nennen: Du schreibst von Win10 und Fedora. Genau
damit habe ich ueberhaupt keine Probleme! Hier waere der erste Bruch.
Denn: Win10 kennt kein "secure boot" und mein Ubuntu (aehnliches,
neuestes Linux, Mint) spuckt beim Start anscheinend Stati aus, wobei
auch TPM vorkommt. Ein Freund meinte, wenn doch hinterher Linux
fehlerfrei laeuft, dann sind das keine Fehlermeldungen, sondern nur
Statusmeldungen.

Ich habe mein Wissen von heise-Artikeln (c't), von Redakteuren, die
bestimmt mehr von Computer und Betriebssystemen verstehen, als die
allermeisten "web-Sabbler".
Und laut einem Artikel verstand ich das: Der TPM-Chip beherbergt auch
die Speicherlisten und entscheidend ist es so, dass die Hashliste fuer
"Verbote" quasi unzulaessig kurz ist, damit grosse Probleme schafft
(welche, das waere jetzt zu lang). Das gilt für Windows. Anscheinend
haben Linux-System-Programmierer diese Liste nach aussen verlegt und
sich so Luft verschafft. Aber in einem anderen Artikel wurden grosse
Grub-Nachfummel-Probleme genannt, heißt, auch da passierten menschliche
Fehler. Außerdem verstand ich es so, dass man wegen der Linux-Derivate
keine Standardloesung für alle schaffen kann (bei Windows einheitlich).

Mit den Linuxproblemen in grosser Tiefe kann ich mich jetzt nicht auch
noch befassen, wundere mich schon, dass meine Windows11-Rechner tadellos
laufen, obwohl heise auch einiges zum 2024-10 angekuendigte (was wohl
Probleme machen sollte).
Ganz entscheiden fuer mich ist, dass Linux gestartet, auf dem Board
"secure boot" abschaltet. Das kriege ich einwandfrei von Windows auf
Nachfrage angezeigt (msinfo32). So will ich aber kein Windows11 aufrufen.

Und da kam der Gedanke bei mir auf, wenn ich beim Wechsel, heisst
Windows hochfahren, vorher, wie auch immer, "secure boot" aktiviere,
dann muesste ich wissen, ob Linux die ominoesen Tabellen im TPM-Chip
ueberhaupt anfasst, denn die Tabellen anders "bekritzeln" (zwar im
Linux-Sinne), waere ein no go für den Windows-Betrieb (alles auf
gleichem Board).

Vielleicht hilft es meinen Erstbericht nochmal bezueglich der aktuellen
Zeilen vorher abzuklopfen.

Gruss Heinz

PS:
Die Linux-Tiefenwisser werden sich bei diversen Meldungen bezüglich
"secure boot", die sogar Aktion erfordern, nichts dabei denken ("Perform
MOK management" - bei mir Null Ahnung).
Die "dummen" Windows11-Anwender werden nirgends mit "secure boot"
belästigt, weil man eben kein Tiefenwissen von diesen Normali erwarten kann.

Am 09.04.2025 um 12:36 schrieb Florian Heiser:
> Hallo!
> Vielleicht habe ich deine Frage nicht richtig verstanden, dann tut es
> mir Leid.
>
> Grundsätzlich hat TPM gar nichts mit Secure Boot zu tun.
> SecureBoot ist Teil der UEFI Firmware und stellt sicher, dass beim Start
> nur vertrauenswürdige Software (z. B. Bootloader, Betriebssystem-Kernel)
> geladen wird.
> Dann prüft es die digitale Signatur der Boot-Komponenten vor dem Laden.
> TPM ist daran nicht beteiligt.
>
> GNU Linux macht das meines Wissens nach mit einem shim binary, das von
> Microsoft signiert ist. (Viele Distros liefern ein signiertes Shim
> standardmäßig mit aus).
>
> Ich benutze einige Dual-Boot Maschinen (W10 und Fedora) und SecureBoot
> ist überhaupt kein Problem. Erst wenn man Kernel-modules von Dritten
> (wie bspw. Nvidia firmware) installieren möchte, ist manuelles
> Eingreifen erforderlich, aber auch das ist möglich!
> In Fedora läuft SecureBoot out-of-the-box, Du bekommst es eigentlich gar
> nicht mit. Das sollte bei Debian/Ubuntu-basierten Systemen nicht anders
> sein.
>
> Hier ein paar hilfreiche Links (sorry, ist in Englisch, die
> einschlägigen Maschinenübersetzer im Internet kommen aber damit
> sicherlich gut klar):
>   - https://wiki.debian.org/SecureBoot
>   - https://wiki.archlinux.org/title/
> Unified_Extensible_Firmware_Interface/Secure_Boot
>   - https://fedoraproject.org/wiki/Secureboot (nicht sehr ergiebig, hat
> aber weitere interessante Links)
>   - https://access.redhat.com/articles/5254641?
> extIdCarryOver=true&sc_cid=701f2000001OH7EAAW
>   - https://medium.com/@allypetitt/digging-into-the-linux-secure-boot-
> process-9631a70b158b
>   - https://nsfocusglobal.com/secure-boot-101-getting-started-with-
> secure-boot/
>
> Hilft Dir das weiter?
>
> Win11 erfordert ein TPM2.0, richtig? Sollte SecureBoot unter Linux
> trotzdem egal sein...
>
> Viele Grüße,
> Florian
>
>
>
> Am 2025-04-09 10:41 schrieb Pahle Heinz:
>> Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.
>> "Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit (Base64)
>> Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.
>>
>> Liebe LUGer!
>>
>> Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, die
>> einen preiswerten, modernen refurbished Rechner kaufen, Windows
>> belassen, Linux dazu installieren wollen. Immerhin ist manche Geraete-SW
>> nur unter Android, iOS und Windows zu kriegen, also Windows plaetten
>> moeglicherweise unklug.
>>
>> Mein Problem (das ich bisher nicht hatte):
>> Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux
>> drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei
>> den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die
>> ich spannungsmaessig selektieren/aktivieren kann, dazu noch
>> USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2
>> meiner Rechner (fuer Windows11 mit secure boot) nach
>> Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst
>> unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,
>> habe ansatzweise verfolgt, dass Linux eine eigene Realisation von
>> "secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben
>> werden und ich solle mich mit "Perform MOK management" befassen. Da ich
>> den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff
>> bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben
>> (MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man
>> sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine
>> bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen muss.
>> Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von
>> Linux nach Windows wechselt, waere moeglich. Aber...
>>
>> Jetzt die technische Fragen, es gilt der Betreff:
>> Laesst Linux generell/teilweise den TPM-Part in Ruhe?
>> a)
>> Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt
>> wird
>> b)
>> "Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt
>> werden,
>> mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).
>> [Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse der
>> Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von
>> Linux umgangen wird.]
>>
>> Absicht:
>> Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und
>> andere auf beiden System nutze, unter Linux zusaetzlich spezielle
>> Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur
>> Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER
>> SPENDIEREN ZU MUESSEN(, wenn moeglich).
>>
>> Loesungen?
>> web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, aber
>> Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja
>> bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.
>>
>> Gruss
>> Heinz
>>
>> _______________________________________________
>> lug-ld mailing list
>> lug-ld at lists.lug-ld.de
>> http://lists.lug-ld.de/mailman/listinfo/lug-ld