ubuntuusers.de

Alle Distros: Plötztlich "Secure Boot"-Fehler bei USB-Stick. Was tun?

Status: Gelöst | Ubuntu-Version: Xubuntu 22.04 (Jammy Jellyfish)
Antworten |

Kiko

Anmeldungsdatum:
17. Februar 2023

Beiträge: 4

Hallo an Euch!

Ich habe ein sehr merkwürdiges Problem und bin Laie. Ich hatte mir im vergangenen September ein HP-Notebook mit Windows gekauft, aber sofort Ubuntu installiert; ganz normal mit einem USB-Stick. Das hat bis jetzt (Februar '23) auch immer alles prima geklappt. Ich habe ja immer wieder auch verschiedene Distros ausprobiert. Doch gestern wollte ich Xubuntu installieren, nachdem ich einen Stick erstellt hatte. Es kommt aber immer die Meldung "verification failed ... security violation". Ich glaube, dazwischen steht noch "(0x1A)".

Gut, bei Google nachgeschaut. Das hat wohl etwas mit Secure Boot zu tun. Nur gab es das zuvor nie. Der Stick hat immer funktioniert, ohne daß diese Meldung angezeigt wurde. Ich bin dann über F10 in dieses Einstellungsmenü des Notebooks gegangen - USB/Flash-Dinger sind beim Booten an die erste Stelle gesetzt. Ich kann mich auch wirklich nicht erinnern, im September Secure Boot deaktiviert zu haben. So ein Angsthase, wie ich bin, etwas kaputt machen zu können, daß das Gerät gar nicht mehr funktioniert, müßte ich mich eigentlich daran erinnern.

Ich dachte dann, daß die ISO vielleicht beschädigt ist und habe verschiedene Distros von verschiedenen Servern, die auf Ubuntuusers, Ubuntu.com und Linux Mint sind, heruntergeladen. Ich bin kein Experte und dachte, daß vielleicht ein Server mit irgendwas infiziert war, deshalb verschiedene Server, die mir auf den seriösen Seiten angeboten werden und verschiedene Distros - alles egal, diese Meldung erscheint trotzdem.

Als Startmedienersteller habe ich sowohl das gängige, das auch bei Ubuntu mit dabei ist, als auch ein mir unbekanntes aus dem Softwarecenter verwendet.

Bitte entschuldigt den Roman. Ich will nur sicher sein und mich absichern mit allen Infos für Euch.

Meine Fragen: 1. Warum hat es bisher monatelang geklappt und jetzt nicht mehr? (Ich habe nichts "IM" Notebook verändert.)

2. Da ja offensichtlich mit dem Stick, den Servern und den Distros alles okay ist, soll ich Secure Boot deaktivieren? (Diese Möglichkeit sehe ich im Menü des Notebooks.)

3. Wenn man das macht, besteht doch ein enormes Sicherheitsrisiko, so habe ich es im Internet gelesen, oder?

Könntet Ihr mir konkret auf meine Fragen so antworten, daß ich es verstehe?

(Ich möchte das normale Ubuntu, das ich von Eurer Seite geladen habe, installieren. Derzeit nutze ich Xubuntu.)

Herzlichen Dank und ein schönes Wochenende! ☺ (Ich kann eventuell erst am Sonntag antworten.)

von.wert

Anmeldungsdatum:
23. Dezember 2020

Beiträge: 11082

Kiko schrieb:

Warum hat es bisher monatelang geklappt und jetzt nicht mehr? (Ich habe nichts "IM" Notebook verändert.)

Was Du gemacht hast, was sonst verändert worden ist, kann man von der Ferne nur raten. Neben dem üblichem Kram wie Secure Boot (nicht jede Distribution kann und/oder will damit umgehen) gibt es bei HP noch "HP Secured by HP Sure Start".

soll ich Secure Boot deaktivieren? (Diese Möglichkeit sehe ich im Menü des Notebooks.)

3. Wenn man das macht, besteht doch ein enormes Sicherheitsrisiko, so habe ich es im Internet gelesen, oder?

Ich zittere wie Espenlaub. Mit Secure Boot werden nur entsprechend signierte Bootloader geladen. Unter Linux gibt es Shim, signiert, das dazu genutzt wird, nur kann darüber weiteres, nichtsigniertes geladen werden. Einen wirklichen Sicherheitsgewinn hast Du also nicht, aber Nachteile (nichtsignierte Kernel-Module können nicht geladen werden, z.B. bestimmte Treiber oder VBox-Kernel-Module).

Ergo disable Secure Boot! Fastboot (heißt nur ähnlich, hat damit aber nichts zu tun) disablest Du sowieso (und bei Dualboot mit Windows zwingend).

"HP Secured by HP Sure Start logo" disablest Du auch, mußt Du jedoch nicht unbedingt (ich habe gerade dieser Tage auf HP-NBs/Mini-PCs LJammy daily build gebootet gehabt, das enabled gelassen).

Im UEFI von HP-Rechnern kann man die letzterhältliche UEFI-Version direkt von HP ziehen und flashen. Bei aktuellen Modellen (zBook) geht das auch über WLAN, sicherheitshalber würde ich aber LAN verwenden. DHCP muß aktiv sein, also keine feste IP.

Das Ganze läuft über mehrere Stufen und Reboots. Einmal angestoßen - Geduld und keinesfalls unterbrechen, wie das für jedes Flashen gilt! Anderenfalls brickt man das Mainboard.

das normale Ubuntu, das ich von Eurer Seite geladen hab

Von uude kannst Du gar kein Ubuntu ziehen. Hier gibt es nur Links.

Derzeit nutze ich Xubuntu.

Dann zieh es dort und, wenn es 22.04 sein soll, sinnvollerweise das aktuelle Daily Build, keinen alten Kram vom August!

von.wert

Anmeldungsdatum:
23. Dezember 2020

Beiträge: 11082

Kiko schrieb:

Ich habe ja immer wieder auch verschiedene Distros ausprobiert.

Aber doch nicht nativ, sprich auf Blech! Das macht man in Virtual Machines, bspw. mit VirtualBox:

VirtualBox: Repository in Ubuntu hinzufügen

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16467

Hallo Kiko,

Herzlich Willkommen auf Ubuntuusers.

Ich hatte heute beim Update ein Paket mit den Schlüssel für Secure Boot von Microsoft ..... vielleicht liegt es daran.

Gruss Lidux

von.wert

Anmeldungsdatum:
23. Dezember 2020

Beiträge: 11082

Lidux schrieb:

Ich hatte heute beim Update ein Paket mit den Schlüssel für Secure Boot von Microsoft

Welches Paket meinst Du, das durch Änderung im UEFI (!) relevant für den Threadstarter wäre, sprich das Verhindern des Bootens von Systemen, in seinem Fall von Sticks, mit ungültiger oder keiner Signatur?

Das Paket secureboot-db, das die Updates für DB (Signature Database, die Whitelist) und DBX (Forbidden Signature Database, die Blacklist) enthält, also die Keys, Signatures und Hashes, ist 28 Monate alt.

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5142

von.wert schrieb:

Lidux schrieb: Das Paket secureboot-db, das die Updates für DB (Signature Database, die Whitelist) und DBX (Forbidden Signature Database, die Blacklist) enthält, also die Keys, Signatures und Hashes, ist 28 Monate alt.

Das sagt aber nichts darüber aus, wann das Update dann erfolgreich beim betreffenden System angewendet werden kann. AFAIK und wie es z.B. auch hier,

https://askubuntu.com/questions/1429678/impossible-to-update-uefi-dbx

dargestellt ist, wird das Update - sinnvollerweise - nicht einfach so in die Firmware gebügelt. Hat man auf der EFI-Partition EFI-Boot-Apps, die in der aktuellen - zur Installation bereitstehenden - dbx-Datei geblockt sind, dann wird die dbx in der Firmware nicht aktualisiert. Das ist in Kikos Fall durchaus denkbar, da

Kiko schrieb:

Ich habe ja immer wieder auch verschiedene Distros ausprobiert.

Jedenfalls kann man das nicht* - schon gar nicht aus der Ferne - gänzlich ausschließen, zumal es auch gerade Updates bezüglich grub und shim gibt:

https://www.ubuntuupdates.org/

@Kiko Ich halte auch ein Update der Firmware dbx-Datei für in Deinem Fall wahrscheinlich. Du kannst ja mal mittels

less /var/log/apt/history.log 

ob bei Dir die Tage ein Update fwupd-* installiert wurde.

Außerdem kannst Du, wenn Du Deinen Installations-USB-Stick am Laptop angeschlossen hast

sudo sbverify /media/$USERNAME/<Partitions-Name>/EFI/boot/bootx64.efi 

für Ubuntu 22.04.1 LTS müsste das im Moment also sein,

sudo sbverify /media/$USERNAME/Ubuntu\ 22.04.1\ LTS\ amd64/EFI/boot/bootx64.efi 

prüfen, ob die Verifikation gegen die Secure Boot Database bzw. gegen die Secure Boot Blacklist der Firmware für den Loader des USB-Sticks erfolgreich ist.

Bekommst Du hier kein,

Signature verification OK

dann ist der Hash-Wert der bootx64.efi auf dem Stick in der dbx der Firmware - also in der Blacklist - und wird deshalb geblockt.

Die in der dbx der Firmware verzeichneten Hashwerte kannst Du Dir mittels

mokutil --dbx 

anzeigen lassen. Vom Pfad oben (/media/$USERNAME/Ubuntu\ 22.04.1\ LTS\ amd64/EFI/boot/bootx64.efi) ausgehend, kannst Du so prüfen ob der HASH des USB-Stick-Loaders in der dbx ist:

mokutil --dbx | grep $(sudo sha256sum /media/$USERNAME/Ubuntu\ 22.04.1\ LTS\ amd64/EFI/boot/bootx64.efi | awk '{print $1}') 

Bekommst Du eine Rückmeldung, der Art

<Hashwert>

Dann ist der Hashwert des Loaders in der dbx der Firmware.

Kommt keine Rückmeldung, dann ist der Hashwert des Loaders nicht in der dbx der Firmware.

Kiko schrieb:

3. Wenn man das macht, besteht doch ein enormes Sicherheitsrisiko, so habe ich es im Internet gelesen, oder?

Wenn Du nur *buntu auf dem Rechner verwendest und kein Windows mehr, dann kannst Du bei Problemen Secure Boot deaktivieren. Unter Linux-Desktops gibt es im Moment AFAIK noch keine vollständige Vertrauenskette. Siehe dazu z.B.:

https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html

Daher ist der Gewinn alleine durch Secure Boot unter *buntu zwar nicht Null, aber eben noch nicht vollständig - was allerdings nicht an Secure Boot an sich liegt.

Wenn Du parallel auch noch Windows verwendest, dann würde ich aber Secure Boot nach Möglichkeit schon aktiviert lassen, weil Windows von Secure Boot profitiert, weil es dort am Anfang einer vollständig etablierten Trusted-Boot/Measured Boot-Kette steht und dort die Sicherheit effektiv erhöht.

Wenn Du nur *buntu benutzt, dann ist das Deaktivieren IMO im Moment aber noch vertretbar.

LG, Newubunti

EDIT:

* "nicht" ursprünglich vergessen und eingefügt!

Lidux

Anmeldungsdatum:
18. April 2007

Beiträge: 16467

Hallo Kiko,

Hast du das Windows noch auf dem Rechner ? Falls ja, auch MS hat die DB schon mal mit einer KB Nr. geändert ....

Newubunti & von.wert sind da wesentlich besser mit / und in der Materie.

Gruss Lidux

Webmark

Avatar von Webmark

Anmeldungsdatum:
10. Mai 2009

Beiträge: 441

Den "Secure Boot" Fehler habe ich ebenfalls seit Freitag bei der Installation von Ubuntu 22.04.1 LTS.

Rechner/UEFI BIOS unverändert. Am Donnerstag wurde der USB-Stick noch mit aktiviertem Secure-Boot erkannt. Am Freitag wurde der Stick jedoch mit dem erwähnten "Secure Boot" Fehler abgewiesen. Nachdem ich dann Secure Boot deaktiviert hatte funktionierte der Stick.

Da ich dies nicht nachvollziehen konnte, habe ich Testweise Ubuntu 22.10 auf den Stick gezogen und hier wurde der Stick trotz aktiviertem Secure Boot akzeptiert.

Webmark

Avatar von Webmark

Anmeldungsdatum:
10. Mai 2009

Beiträge: 441

Ergänzung: Ich habe dann Ubuntu 22.04.1 LTS mit inaktivem Secureboot installiert und anschließend Secureboot wieder aktiviert, was auch problemlos funktioniert.

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5142

@Webmark:

Hast Du auch ein Rechner von HP wie Kiko? Ich kann das Problem erst mal nicht nachvollziehen. Wenn man die Hashwerte der EFI-Apps in /EFI/boot der ISO-Datei bzw. des USB-Sticks von 22.04.1 und 22.10 vergleicht, dann sind die alle gleich. Überprüft man die Dateien mit sbverify --list sieht man auch keine Unterschiede bei den verwendeten Zertifikaten.

Die ermittelten Hashwerte finden sich auch nicht in der aktuellen Revocation- bzw. Blacklist:

https://uefi.org/revocationlistfile

LG, Newubunti

Webmark

Avatar von Webmark

Anmeldungsdatum:
10. Mai 2009

Beiträge: 441

Nein, habe ich nicht, der Rechner ist selbst zusammengestellt. Ich hatte den USB-Stick analog zur Veröffentlichung von Ubuntu 22.04.1 LTS erstellt.

Da ich aus diversen und hier nicht relevanten Gründen des Öfteren eine komplette Neuinstallation durchführe, habe ich zuletzt am Donnerstag eine Neuinstallation mit dem USB-Stick durchgeführt. Als ich am Freitag Morgen erneut installieren wollte, erhielt ich den Secure Boot Fehler. Am Rechner, bzw. UEFI-BIOS wurde garantiert nichts geändert.

Zunächst dachte ich an einen Fehler des Sticks, doch auch ein weiterer USB-Stick produzierte den selben Fehler.

Irgendetwas muss sich ja hinsichtlich Secure geändert haben, zumal ich wie dieser Thread zeigt, nicht der einzige betroffene bin.

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5142

Danke schon mal für die Rückmeldung!

Webmark schrieb:

Als ich am Freitag Morgen erneut installieren wollte, erhielt ich den Secure Boot Fehler.

Am 17.02.2023 sind unter anderem folgende Updates erschienen, die IMO etwas damit zu tun haben könnten:

  • grub2-signed

  • shim-signed

  • fwupd-signed

  • fwupd-efi

Am Rechner, bzw. UEFI-BIOS wurde garantiert nichts geändert.

Kannst Du 100% ausschließen, dass bei Dir über fwupd am Freitag nicht doch eventuell ein Update gelaufen ist?

Ist auf Deinem System ein Update der Rechner-Firmware über fwupd grundsätzlich möglich? Was zeigt die Ausgabe von

fwupdmgr get-history 
fwupdmgr get-devices 

und was zeigt

fwupdmgr get-plugins 

?

Kiko

(Themenstarter)

Anmeldungsdatum:
17. Februar 2023

Beiträge: 4

Hallo und guten Abend an alle!

Herzlichen Dank für die zahlreichen Rückmeldungen. Also ich bin wirklich ein totaler 08/15-Nutzer und selbst unter diesen sehr einfach; nur Surfen, altmodisch E-Mails, ein bißchen Musik hören, Familienfotos und noch ein paar private Videos, wobei ich so gut wie nie Musik höre oder Familienvideos anschaue. Privater Ordner gerade mal 11 GB oder so, habe jetzt nicht nachgeschaut.

Insofern verstehe ich hier fast nichts, schon gar nicht mit den Terminalbefehlen. Bei mir reicht's gerade für "sudo apt-get install shotwell", wenn das nicht bei einer Distro dabei ist. 😉

Nein, Windows ist nicht mehr auf dem Laptop. Das wollte ich nie nutzen.

Da Webmark das gleiche Problem hatte, deaktiviere ich jetzt einfach mal Secure Boot. Ob ich es nach der Installation wieder aktiviere, weiß ich nicht, denn im Netz habe ich gelesen, daß man dann irgendwelche Schlüssel wieder anlegen muß, wenn ich das richtig verstanden habe. Davon laß ich lieber die Finger.

Ach so, die Frage: Doch, ich habe die einzelnen Distros (Ubuntu, Xubuntu, Linux Mint Xfce, Ubuntu Budgie, Zorin OS, Linux Mint Cinnamon und Elementary OS alle normal installiert, um sie zu testen.)

Vielen, vielen Dank, wegen Secure Boot bin ich auf jeden Fall beruhigt, daß da nichts infiziert war und ich es einfach deaktivieren kann.

Euch noch einen schönen Abend und eine gute Woche!

Kiko

(Themenstarter)

Anmeldungsdatum:
17. Februar 2023

Beiträge: 4

Hi!

Nur die Rückmeldung, daß alles ganz unspektakulär war. Secure Boot deaktiviert, über den Stick das System installiert und Secure Boot wieder aktiviert. Ich hätte mir gar nicht so 'nen Kopf zu machen brauchen.

Danke schön!

Newubunti

Anmeldungsdatum:
16. Februar 2008

Beiträge: 5142

Hallo Kiko,

danke, für die Rückmeldung!

Was ich noch erwähnen wollte:

Kiko schrieb:

... Ich dachte dann, daß die ISO vielleicht beschädigt ist und habe verschiedene Distros von verschiedenen Servern, die auf Ubuntuusers, Ubuntu.com und Linux Mint sind, heruntergeladen. Ich bin kein Experte und dachte, daß vielleicht ein Server mit irgendwas infiziert war, deshalb verschiedene Server, die mir auf den seriösen Seiten angeboten werden und verschiedene Distros - alles egal, diese Meldung erscheint trotzdem. ...

Das mehrfache Downloaden kannst Du Dir grundsätzlich ersparen. Wenn Du sicher gehen willst, dass der Download des Ubuntu-Installations-Mediums weder beschädigt noch kompromittiert wurde, dann kannst Du den Download im Terminal überprüfen: Ubuntu-Downloads überprüfen

Ja, ich weiß. Ist leider wieder alles im Terminal. Aber beachte, dass Du die dargestellten Befehle einfach mit der Maus kopieren und ins Terminal einfügen kannst. Also Du musst die für einen Laien kryptisch und lang wirkenden Befehle nicht abtippen. Aber dieses Prozedere - also Befehl kopieren und ins Terminal einfügen - solltest Du Dir schon über kurz oder lang aneignen und beherrschen.

Du wirst hier in der Regel nämlich keine "Klick erstens hier, zweitens dort, drittens ..." bekommen, da für Helfende zu aufwendig zu beschreiben. Stattdessen kommen Hilfsmaßnahmen hier in der Regel in From von Terminal-Anweisungen. Das ist für den Laien erst mal gewöhnungsbedürftig, führt aber in der Regel schneller und sicherer ans Ziel. Außerdem gibt es manchmal gar keine GUI-Alternative zu den Terminal-Befehlen, wie es z.B. bei Secure Boot auch der Fall ist.

Davon abgesehen finde ich es aber auch merkwürdig, dass bei einer Distribution wie Ubuntu, das Überprüfen des Downloads doch relativ umständlich und nicht einfach über den Dateimanager mittels GUI möglich ist. Das könnte schon Endanwender-freundlicher sein.

LG, Newubunti

Antworten |