[lug-ld] secure boot: Ist Linux und Windows auf einem Motherboard moegl.?

[Florian Heiser]

Hallo, kurze Antwort von unterwegs; mit Win11 habe ich mich bisher nicht beschäftigt, Microsoft hat bestimmt das mein Prozessor (i7-7700) zu alt ist. (Was ein Witz!)

Was ich sagen kann, das trifft zumindest auf Fedora zu, ist dass neue dbx files nicht automatisch eingespielt werden. Das kannst du bei Ubuntu Distros bestimmt auch auf manuell einstellen. Hinzu kommt noch, dass Linux die Firmware nur anfassen kann, wenn dein Mainboard von fwupmgr unterstützt wird. 
Das kannst du unter https://fwupd.org/lvfs/devices/ prüfen. 

Wäre es eigentlich vorstellbar Windows in einer virtuellen Maschine zu betreiben? Dann sparst du dir die Dual-Boot Komplikationen komplett. Habe das bei meinem Vater so eingerichtet, der Win nur für eine einzige Software benötigt. Er ist happy mit dem Setup. 

Grüße, Florian

> On Apr 10, 2025, at 14:44, Pahle Heinz <heinz.pahle at gmx.de> wrote:
> 
> Liebe LUGer, mein Mailer wurde mehrfach "verbessert"; frueher stand da
> zur Auswahl "Liste antworten". Jetzt ist das für mich Teffenste "allen
> antworten". Das schreibe ich, weil man mich schon ruegte.
> 
> Liebe LUGer, besonders lieber Florian,
> 
> erst einmal Dank für Deine Arbeit. Dummerweise ist es so, dass ich bis
> jetzt Grundlegendes anders erkannt habe, kann aber als Halbwisser nicht
> auf "ich habe recht" bestehen.
> Zuerst waere das zu nennen: Du schreibst von Win10 und Fedora. Genau
> damit habe ich ueberhaupt keine Probleme! Hier waere der erste Bruch.
> Denn: Win10 kennt kein "secure boot" und mein Ubuntu (aehnliches,
> neuestes Linux, Mint) spuckt beim Start anscheinend Stati aus, wobei
> auch TPM vorkommt. Ein Freund meinte, wenn doch hinterher Linux
> fehlerfrei laeuft, dann sind das keine Fehlermeldungen, sondern nur
> Statusmeldungen.
> 
> Ich habe mein Wissen von heise-Artikeln (c't), von Redakteuren, die
> bestimmt mehr von Computer und Betriebssystemen verstehen, als die
> allermeisten "web-Sabbler".
> Und laut einem Artikel verstand ich das: Der TPM-Chip beherbergt auch
> die Speicherlisten und entscheidend ist es so, dass die Hashliste fuer
> "Verbote" quasi unzulaessig kurz ist, damit grosse Probleme schafft
> (welche, das waere jetzt zu lang). Das gilt für Windows. Anscheinend
> haben Linux-System-Programmierer diese Liste nach aussen verlegt und
> sich so Luft verschafft. Aber in einem anderen Artikel wurden grosse
> Grub-Nachfummel-Probleme genannt, heißt, auch da passierten menschliche
> Fehler. Außerdem verstand ich es so, dass man wegen der Linux-Derivate
> keine Standardloesung für alle schaffen kann (bei Windows einheitlich).
> 
> Mit den Linuxproblemen in grosser Tiefe kann ich mich jetzt nicht auch
> noch befassen, wundere mich schon, dass meine Windows11-Rechner tadellos
> laufen, obwohl heise auch einiges zum 2024-10 angekuendigte (was wohl
> Probleme machen sollte).
> Ganz entscheiden fuer mich ist, dass Linux gestartet, auf dem Board
> "secure boot" abschaltet. Das kriege ich einwandfrei von Windows auf
> Nachfrage angezeigt (msinfo32). So will ich aber kein Windows11 aufrufen.
> 
> Und da kam der Gedanke bei mir auf, wenn ich beim Wechsel, heisst
> Windows hochfahren, vorher, wie auch immer, "secure boot" aktiviere,
> dann muesste ich wissen, ob Linux die ominoesen Tabellen im TPM-Chip
> ueberhaupt anfasst, denn die Tabellen anders "bekritzeln" (zwar im
> Linux-Sinne), waere ein no go für den Windows-Betrieb (alles auf
> gleichem Board).
> 
> Vielleicht hilft es meinen Erstbericht nochmal bezueglich der aktuellen
> Zeilen vorher abzuklopfen.
> 
> Gruss Heinz
> 
> PS:
> Die Linux-Tiefenwisser werden sich bei diversen Meldungen bezüglich
> "secure boot", die sogar Aktion erfordern, nichts dabei denken ("Perform
> MOK management" - bei mir Null Ahnung).
> Die "dummen" Windows11-Anwender werden nirgends mit "secure boot"
> belästigt, weil man eben kein Tiefenwissen von diesen Normali erwarten kann.
> 
>> Am 09.04.2025 um 12:36 schrieb Florian Heiser:
>> Hallo!
>> Vielleicht habe ich deine Frage nicht richtig verstanden, dann tut es
>> mir Leid.
>> 
>> Grundsätzlich hat TPM gar nichts mit Secure Boot zu tun.
>> SecureBoot ist Teil der UEFI Firmware und stellt sicher, dass beim Start
>> nur vertrauenswürdige Software (z. B. Bootloader, Betriebssystem-Kernel)
>> geladen wird.
>> Dann prüft es die digitale Signatur der Boot-Komponenten vor dem Laden.
>> TPM ist daran nicht beteiligt.
>> 
>> GNU Linux macht das meines Wissens nach mit einem shim binary, das von
>> Microsoft signiert ist. (Viele Distros liefern ein signiertes Shim
>> standardmäßig mit aus).
>> 
>> Ich benutze einige Dual-Boot Maschinen (W10 und Fedora) und SecureBoot
>> ist überhaupt kein Problem. Erst wenn man Kernel-modules von Dritten
>> (wie bspw. Nvidia firmware) installieren möchte, ist manuelles
>> Eingreifen erforderlich, aber auch das ist möglich!
>> In Fedora läuft SecureBoot out-of-the-box, Du bekommst es eigentlich gar
>> nicht mit. Das sollte bei Debian/Ubuntu-basierten Systemen nicht anders
>> sein.
>> 
>> Hier ein paar hilfreiche Links (sorry, ist in Englisch, die
>> einschlägigen Maschinenübersetzer im Internet kommen aber damit
>> sicherlich gut klar):
>>  - https://wiki.debian.org/SecureBoot
>>  - https://wiki.archlinux.org/title/
>> Unified_Extensible_Firmware_Interface/Secure_Boot
>>  - https://fedoraproject.org/wiki/Secureboot (nicht sehr ergiebig, hat
>> aber weitere interessante Links)
>>  - https://access.redhat.com/articles/5254641?
>> extIdCarryOver=true&sc_cid=701f2000001OH7EAAW
>>  - https://medium.com/@allypetitt/digging-into-the-linux-secure-boot-
>> process-9631a70b158b
>>  - https://nsfocusglobal.com/secure-boot-101-getting-started-with-
>> secure-boot/
>> 
>> Hilft Dir das weiter?
>> 
>> Win11 erfordert ein TPM2.0, richtig? Sollte SecureBoot unter Linux
>> trotzdem egal sein...
>> 
>> Viele Grüße,
>> Florian
>> 
>> 
>> 
>> Am 2025-04-09 10:41 schrieb Pahle Heinz:
>>> Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.
>>> "Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit (Base64)
>>> Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.
>>> 
>>> Liebe LUGer!
>>> 
>>> Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, die
>>> einen preiswerten, modernen refurbished Rechner kaufen, Windows
>>> belassen, Linux dazu installieren wollen. Immerhin ist manche Geraete-SW
>>> nur unter Android, iOS und Windows zu kriegen, also Windows plaetten
>>> moeglicherweise unklug.
>>> 
>>> Mein Problem (das ich bisher nicht hatte):
>>> Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux
>>> drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei
>>> den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die
>>> ich spannungsmaessig selektieren/aktivieren kann, dazu noch
>>> USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2
>>> meiner Rechner (fuer Windows11 mit secure boot) nach
>>> Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst
>>> unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,
>>> habe ansatzweise verfolgt, dass Linux eine eigene Realisation von
>>> "secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben
>>> werden und ich solle mich mit "Perform MOK management" befassen. Da ich
>>> den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff
>>> bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben
>>> (MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man
>>> sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine
>>> bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen muss.
>>> Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von
>>> Linux nach Windows wechselt, waere moeglich. Aber...
>>> 
>>> Jetzt die technische Fragen, es gilt der Betreff:
>>> Laesst Linux generell/teilweise den TPM-Part in Ruhe?
>>> a)
>>> Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt
>>> wird
>>> b)
>>> "Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt
>>> werden,
>>> mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).
>>> [Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse der
>>> Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von
>>> Linux umgangen wird.]
>>> 
>>> Absicht:
>>> Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und
>>> andere auf beiden System nutze, unter Linux zusaetzlich spezielle
>>> Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur
>>> Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER
>>> SPENDIEREN ZU MUESSEN(, wenn moeglich).
>>> 
>>> Loesungen?
>>> web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, aber
>>> Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja
>>> bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.
>>> 
>>> Gruss
>>> Heinz
>>> 
>>> _______________________________________________
>>> lug-ld mailing list
>>> lug-ld at lists.lug-ld.de
>>> http://lists.lug-ld.de/mailman/listinfo/lug-ld
> 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lug-ld.de/pipermail/lug-ld/attachments/20250410/f1ba9835/attachment-0001.html>