<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"></div><div dir="ltr">Hallo, kurze Antwort von unterwegs; mit Win11 habe ich mich bisher nicht beschäftigt, Microsoft hat bestimmt das mein Prozessor (i7-7700) zu alt ist. (Was ein Witz!)</div><div dir="ltr"><br></div><div dir="ltr">Was ich sagen kann, das trifft zumindest auf Fedora zu, ist dass neue dbx files nicht automatisch eingespielt werden. Das kannst du bei Ubuntu Distros bestimmt auch auf manuell einstellen. Hinzu kommt noch, dass Linux die Firmware nur anfassen kann, wenn dein Mainboard von fwupmgr unterstützt wird. </div><div dir="ltr">Das kannst du unter <a href="https://fwupd.org/lvfs/devices/">https://fwupd.org/lvfs/devices/</a> prüfen. </div><div dir="ltr"><br></div><div dir="ltr">Wäre es eigentlich vorstellbar Windows in einer virtuellen Maschine zu betreiben? Dann sparst du dir die Dual-Boot Komplikationen komplett. Habe das bei meinem Vater so eingerichtet, der Win nur für eine einzige Software benötigt. Er ist happy mit dem Setup. </div><div dir="ltr"><br></div><div dir="ltr">Grüße, Florian</div><div dir="ltr"><br><blockquote type="cite">On Apr 10, 2025, at 14:44, Pahle Heinz <heinz.pahle@gmx.de> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><span>Liebe LUGer, mein Mailer wurde mehrfach "verbessert"; frueher stand da</span><br><span>zur Auswahl "Liste antworten". Jetzt ist das für mich Teffenste "allen</span><br><span>antworten". Das schreibe ich, weil man mich schon ruegte.</span><br><span></span><br><span>Liebe LUGer, besonders lieber Florian,</span><br><span></span><br><span>erst einmal Dank für Deine Arbeit. Dummerweise ist es so, dass ich bis</span><br><span>jetzt Grundlegendes anders erkannt habe, kann aber als Halbwisser nicht</span><br><span>auf "ich habe recht" bestehen.</span><br><span>Zuerst waere das zu nennen: Du schreibst von Win10 und Fedora. Genau</span><br><span>damit habe ich ueberhaupt keine Probleme! Hier waere der erste Bruch.</span><br><span>Denn: Win10 kennt kein "secure boot" und mein Ubuntu (aehnliches,</span><br><span>neuestes Linux, Mint) spuckt beim Start anscheinend Stati aus, wobei</span><br><span>auch TPM vorkommt. Ein Freund meinte, wenn doch hinterher Linux</span><br><span>fehlerfrei laeuft, dann sind das keine Fehlermeldungen, sondern nur</span><br><span>Statusmeldungen.</span><br><span></span><br><span>Ich habe mein Wissen von heise-Artikeln (c't), von Redakteuren, die</span><br><span>bestimmt mehr von Computer und Betriebssystemen verstehen, als die</span><br><span>allermeisten "web-Sabbler".</span><br><span>Und laut einem Artikel verstand ich das: Der TPM-Chip beherbergt auch</span><br><span>die Speicherlisten und entscheidend ist es so, dass die Hashliste fuer</span><br><span>"Verbote" quasi unzulaessig kurz ist, damit grosse Probleme schafft</span><br><span>(welche, das waere jetzt zu lang). Das gilt für Windows. Anscheinend</span><br><span>haben Linux-System-Programmierer diese Liste nach aussen verlegt und</span><br><span>sich so Luft verschafft. Aber in einem anderen Artikel wurden grosse</span><br><span>Grub-Nachfummel-Probleme genannt, heißt, auch da passierten menschliche</span><br><span>Fehler. Außerdem verstand ich es so, dass man wegen der Linux-Derivate</span><br><span>keine Standardloesung für alle schaffen kann (bei Windows einheitlich).</span><br><span></span><br><span>Mit den Linuxproblemen in grosser Tiefe kann ich mich jetzt nicht auch</span><br><span>noch befassen, wundere mich schon, dass meine Windows11-Rechner tadellos</span><br><span>laufen, obwohl heise auch einiges zum 2024-10 angekuendigte (was wohl</span><br><span>Probleme machen sollte).</span><br><span>Ganz entscheiden fuer mich ist, dass Linux gestartet, auf dem Board</span><br><span>"secure boot" abschaltet. Das kriege ich einwandfrei von Windows auf</span><br><span>Nachfrage angezeigt (msinfo32). So will ich aber kein Windows11 aufrufen.</span><br><span></span><br><span>Und da kam der Gedanke bei mir auf, wenn ich beim Wechsel, heisst</span><br><span>Windows hochfahren, vorher, wie auch immer, "secure boot" aktiviere,</span><br><span>dann muesste ich wissen, ob Linux die ominoesen Tabellen im TPM-Chip</span><br><span>ueberhaupt anfasst, denn die Tabellen anders "bekritzeln" (zwar im</span><br><span>Linux-Sinne), waere ein no go für den Windows-Betrieb (alles auf</span><br><span>gleichem Board).</span><br><span></span><br><span>Vielleicht hilft es meinen Erstbericht nochmal bezueglich der aktuellen</span><br><span>Zeilen vorher abzuklopfen.</span><br><span></span><br><span>Gruss Heinz</span><br><span></span><br><span>PS:</span><br><span>Die Linux-Tiefenwisser werden sich bei diversen Meldungen bezüglich</span><br><span>"secure boot", die sogar Aktion erfordern, nichts dabei denken ("Perform</span><br><span>MOK management" - bei mir Null Ahnung).</span><br><span>Die "dummen" Windows11-Anwender werden nirgends mit "secure boot"</span><br><span>belästigt, weil man eben kein Tiefenwissen von diesen Normali erwarten kann.</span><br><span></span><br><span>Am 09.04.2025 um 12:36 schrieb Florian Heiser:</span><br><blockquote type="cite"><span>Hallo!</span><br></blockquote><blockquote type="cite"><span>Vielleicht habe ich deine Frage nicht richtig verstanden, dann tut es</span><br></blockquote><blockquote type="cite"><span>mir Leid.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Grundsätzlich hat TPM gar nichts mit Secure Boot zu tun.</span><br></blockquote><blockquote type="cite"><span>SecureBoot ist Teil der UEFI Firmware und stellt sicher, dass beim Start</span><br></blockquote><blockquote type="cite"><span>nur vertrauenswürdige Software (z. B. Bootloader, Betriebssystem-Kernel)</span><br></blockquote><blockquote type="cite"><span>geladen wird.</span><br></blockquote><blockquote type="cite"><span>Dann prüft es die digitale Signatur der Boot-Komponenten vor dem Laden.</span><br></blockquote><blockquote type="cite"><span>TPM ist daran nicht beteiligt.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>GNU Linux macht das meines Wissens nach mit einem shim binary, das von</span><br></blockquote><blockquote type="cite"><span>Microsoft signiert ist. (Viele Distros liefern ein signiertes Shim</span><br></blockquote><blockquote type="cite"><span>standardmäßig mit aus).</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ich benutze einige Dual-Boot Maschinen (W10 und Fedora) und SecureBoot</span><br></blockquote><blockquote type="cite"><span>ist überhaupt kein Problem. Erst wenn man Kernel-modules von Dritten</span><br></blockquote><blockquote type="cite"><span>(wie bspw. Nvidia firmware) installieren möchte, ist manuelles</span><br></blockquote><blockquote type="cite"><span>Eingreifen erforderlich, aber auch das ist möglich!</span><br></blockquote><blockquote type="cite"><span>In Fedora läuft SecureBoot out-of-the-box, Du bekommst es eigentlich gar</span><br></blockquote><blockquote type="cite"><span>nicht mit. Das sollte bei Debian/Ubuntu-basierten Systemen nicht anders</span><br></blockquote><blockquote type="cite"><span>sein.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Hier ein paar hilfreiche Links (sorry, ist in Englisch, die</span><br></blockquote><blockquote type="cite"><span>einschlägigen Maschinenübersetzer im Internet kommen aber damit</span><br></blockquote><blockquote type="cite"><span>sicherlich gut klar):</span><br></blockquote><blockquote type="cite"><span>  - https://wiki.debian.org/SecureBoot</span><br></blockquote><blockquote type="cite"><span>  - https://wiki.archlinux.org/title/</span><br></blockquote><blockquote type="cite"><span>Unified_Extensible_Firmware_Interface/Secure_Boot</span><br></blockquote><blockquote type="cite"><span>  - https://fedoraproject.org/wiki/Secureboot (nicht sehr ergiebig, hat</span><br></blockquote><blockquote type="cite"><span>aber weitere interessante Links)</span><br></blockquote><blockquote type="cite"><span>  - https://access.redhat.com/articles/5254641?</span><br></blockquote><blockquote type="cite"><span>extIdCarryOver=true&sc_cid=701f2000001OH7EAAW</span><br></blockquote><blockquote type="cite"><span>  - https://medium.com/@allypetitt/digging-into-the-linux-secure-boot-</span><br></blockquote><blockquote type="cite"><span>process-9631a70b158b</span><br></blockquote><blockquote type="cite"><span>  - https://nsfocusglobal.com/secure-boot-101-getting-started-with-</span><br></blockquote><blockquote type="cite"><span>secure-boot/</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Hilft Dir das weiter?</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Win11 erfordert ein TPM2.0, richtig? Sollte SecureBoot unter Linux</span><br></blockquote><blockquote type="cite"><span>trotzdem egal sein...</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Viele Grüße,</span><br></blockquote><blockquote type="cite"><span>Florian</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Am 2025-04-09 10:41 schrieb Pahle Heinz:</span><br></blockquote><blockquote type="cite"><blockquote type="cite"><span>Die urspr. Mail wurde von GMX nicht ausgeliefert/ging zurueck.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>"Mailerschuld"? "Content-Transfer-Encoding: 8bit" frueher 7Bit (Base64)</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Vieleicht hilft Body in UTF-8(US); mal testen, halt gutes altes ASCII.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Liebe LUGer!</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Problem/Loesung kann auch Linux-Betreiber/Umsteiger treffen/helfen, die</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>einen preiswerten, modernen refurbished Rechner kaufen, Windows</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>belassen, Linux dazu installieren wollen. Immerhin ist manche Geraete-SW</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>nur unter Android, iOS und Windows zu kriegen, also Windows plaetten</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>moeglicherweise unklug.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Mein Problem (das ich bisher nicht hatte):</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Ich habe schon viele Jahre bei allen Rechnern die BS Windows und Linux</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>drauf, mache aber nicht das uebliche Starten (dual boot). Ich habe bei</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>den Rechnern (Desktop, Tower) grosse und kleine Laufwerkschaechte, die</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>ich spannungsmaessig selektieren/aktivieren kann, dazu noch</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>USB-Andockmoeglichkeiten. Das ging gut bis vor wenigen Monaten als 2</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>meiner Rechner (fuer Windows11 mit secure boot) nach</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Linux-Installation/-Aufruf auf dem eben gemeinsamen Motherboard (erst</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>unbemerkt) "secure boot" abgeschaltetet haben. Ich fand noch heraus,</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>habe ansatzweise verfolgt, dass Linux eine eigene Realisation von</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>"secure boot" realisiert. Es musste ein extra Passwort dafuer eingeben</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>werden und ich solle mich mit "Perform MOK management" befassen. Da ich</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>den "secure boot Schaden" fuer Windows11 nicht sofort in den Griff</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>bekamm, wurde ab dieser Zeit Linux nur noch auf Altgeraeten betrieben</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>(MBR bzw. nur Efi). Leider: Meine Fujitsu-PCs koennen ohne Dialog (man</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>sieht nichts) anscheinend "secure boot" (wieder) aktivieren, wenn eine</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>bestimmte Startsequenz durchlaufen wird, die man erst rauskriegen muss.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Haekchen fuer ein/aus gibt es nicht! Stur ausfuehren, bevor man von</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Linux nach Windows wechselt, waere moeglich. Aber...</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Jetzt die technische Fragen, es gilt der Betreff:</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Laesst Linux generell/teilweise den TPM-Part in Ruhe?</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>a)</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Tragbar waere, wenn nur die TPM-Berechnungshardware von Linux benutzt</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>wird</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>b)</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>"Toedlich" waere, wenn interne Tabellen (zulassen/sperren) benutzt</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>werden,</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>mit der Moeglichkeit wechselweiser Ueberschreibung (von Lx/Win).</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>[Ich koennte mir vorstellen, dass, eigentliche Crux, Tabellengroesse der</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Ablehnungen (DBX-Blacklist) innerhalb TPM reicht eigentlich nicht, von</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Linux umgangen wird.]</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Absicht:</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Da ich z.B. schon lange Thunderbird, LibreOffice, Firefox, VLC und</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>andere auf beiden System nutze, unter Linux zusaetzlich spezielle</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Programme starte, moechte ich Linux ueber die Altrechnerzeit (MBR, nur</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Efi) hinueber retten, ABER, OHNE, FUER LINUX EINEN EIGENEN RECHNER</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>SPENDIEREN ZU MUESSEN(, wenn moeglich).</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Loesungen?</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>web-Recherchen halfen mir nicht weiter. Es wurde einiges erklaert, aber</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Antworten wie oben zu a) und b) fand ich nicht. Vielleicht gibt es ja</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>bei LUG "Tiefenfummler", die diesbezueglich Kenntnisse haben.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Gruss</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Heinz</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>_______________________________________________</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>lug-ld mailing list</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>lug-ld@lists.lug-ld.de</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>http://lists.lug-ld.de/mailman/listinfo/lug-ld</span><br></blockquote></blockquote><span></span><br></div></blockquote></body></html>