ubuntuusers.de

Hallo zusammen,

ich versuche mich zur Zeit mit diesem Thema auseinander zu setzen aber irgendwie will es nicht klick machen. Wie im Linux Magazin kürzlich berichtet http://www.linux-magazin.de/NEWS/Shim-0.2-Bootloader-fuer-UEFI-Secure-Boot hat Matthew Garrett mit Shim 0.2 einen von Microsoft signierten mini Bootloader geschrieben, der es ermöglicht einen beliebigen weiteren Bootloader, beispielsweise Grub2, zu starten. Ich verstehe auch die Vorteile die UEFI gegenüber dem alten BIOS liefert.

Meine Frage wäre ob man die Vorteile von UEFI nicht auch mit abgeschaltetetm Secure Boot hätte bzw. was passiert wenn ich UEFI Hardware habe, Secure boot ausschalte und trotzdem einfach stinknormal meine Linux Distribution installiere. Wenn das geht Frage ich mich wieso diese Debatte über diese Secure Boot überhaupt entstanden ist da mir doch dieses Secure Boot Prinzip als Linux User gestohlen bleiben kann!, oder nicht?

Danke schonmal für die Antworten

Gruß Pete

Meine Frage wäre ob man die Vorteile von UEFI nicht auch mit abgeschaltetetm Secure Boot hätte bzw. was passiert wenn ich UEFI Hardware habe, Secure boot ausschalte und trotzdem einfach stinknormal meine Linux Distribution installiere.

Du hast den Vorteil, dass du dir um signierte Bootloader und Kernel keine Gedanken machen musst.

Das stimmt ja so nicht ganz, denn alle Ansätze der Linux Foundation haben lediglich das Ziel eine beliebige Distribution starten zu können. Die bisherigen Ansätze sind den PreBootloader zu signieren und von dem den eigentlichen Bootloader zu starten. Die Chain of Trust geht ja spätestens beim laden der nicht signierten Treiber in den Kernel ohnehin verloren.

Vorallem da ich bei Linux die Möglichkeit habe mir meinen Kernel auf meine Bedürfnisse anzupassen und zu kompilieren, macht eine Signierung einfach keinen Sinn.

Wenn du SecureBoot deaktivierst, brauchst du aber keinen signierten BootLoader. Damit hast du dann den Zustand vor der Existenz von SecureBoot wieder "aktiviert".

peat-jones schrieb:

Meine Frage wäre ob man die Vorteile von UEFI ...

Welche Vorteile ?

(außer denen für Microsoft)

• Kürzere Bootzeit

• du hast vor dem eigentlichen OS bereits Zugriff auf deine Hardware inklusive kommplettem Netzwerk, was dir Fernwartung etc. ermöglicht

• unterstüzt GPT was dir ohne Workarounds das booten von Festplatten > 2 TB ermöglicht (wobei Grub ohnehin keine Probleme beim booten von GPT platten macht)

peat-jones schrieb:

Meine Frage wäre ob man die Vorteile von UEFI nicht auch mit abgeschaltetetm Secure Boot hätte bzw.

Die Vorteile von UEFI hast Du auch bei abgeschaltetem Secure Boot. Secure Boot erweitert ein UEFI halt einfach um Secure-Boot-Funktionalität. Wenn Du die nicht brauchst oder nutzen willst, dann geht es auch ohne.

Im Prinzip ist aus Linux-Sicht UEFI - mal von einigen konstruierbaren Speziallfällen abgesehen - in der Tat zumindest im Moment überflüssig.

Wenn das geht Frage ich mich wieso diese Debatte über diese Secure Boot überhaupt entstanden ist da mir doch dieses Secure Boot Prinzip als Linux User gestohlen bleiben kann!, oder nicht?

Das Problem ist, dass die Secure-Boot-Debatte nicht gerade sehr sachlich geführt wurde, was man z.B. daran merkt, dass ganz viel glauben UEFI sei gleich Secure Boot. Das bezieht sich jetzt nicht auf die Ausführungen von M. Garrett, das ist einer der wenigen, die sich da von Anfang an sachlich damit auseinander gesetzt haben.

Ansonsten besteht das Risiko von Secure Boot eben darin, dass ein Hardwarehersteller das Abschalten der Funktion nicht sauber implementiert. In einem solche Fall wärst Du dann auf eine Linux-Lösung angewiesen, die mit Secure Boot zusammenarbeitet.

Ich habe bis jetzt in Praxis erst ein Secure Boot System bei einem Bekannten auf dessen Laptop gesehen. Dort war Secure Boot aktiv und man konnte demnach folgerichtig einen 12.04.-Stick bzw. -ISO nicht darauf starten.

Im UEFI konnte man aber Secure Boot deaktivieren, woraufhin der Stick startbar war.

Soweit entspricht das dem Whitepaper von Microsoft zu Secure Boot.

Allerdings steht in dem Whitepaper auch, dass dem Nutzer im UEFI nach Möglichkeit ein Modus bereitgestellt werden soll, bei dem er auch selber Schlüssel im UEFI für Secure Boot im UEFI hinterlegen können soll.

Diese Funktion war bei dem UEFI nicht vorhanden oder sie hat sich mir in der Kürze nicht aufgetan. Man konnte nur Secure Boot aktivieren oder deaktivieren.

Man beachte die Formulierung im Whitepaper. Denn bei dem angesprochenen Modus handelt es sich um eine Soll-Bestimmung und keine Muss-Bestimmung. Das "Muss" gilt nur für das Deaktivieren von Secure Boot, nicht für dessen Konfigurierbarkeit durch den Endanwender.

Secure Boot an sich - nicht unbedingt die aktuelle Umsetzung - ist davon abgesehen IMO nicht so nutzlos, wie es gerne dargestellt wird. Zumeist reduziert sich die Kritik ja in vielen Diskussionen darauf, dass es MS nur eingeführt hat, um andere System auszuboten. Das mag zwar auch eine Roll gespielt haben, aber es wird einer sachlichen Diskussion zu dem Thema nicht gerecht - vor allem dann nicht, wenn es sich in der Praxis bestätigen sollte, dass es stets abschaltbar ist.

Secure Boot ist AFAIK an sich ein weiteres Glied in einer Sicherheitskette, dass das System zwar nicht unangreifbar aber im Bereich der Übergabe von UEFI an Bootloader Manipulationen ausschließen kann.

Ansonsten lies Dir zu dem Thema - wenn Du Englisch kannst - am besten die Veröffentlichungen von M. Garrett durch, der sich damit sowohl kritisch dabei aber auch sachlich auseinander setzt. Es gibt vielleicht noch andere, die das ebenso getan haben, aber die fallen einem nach meiner Erfahrung zu dem Thema nicht gerade vor die Füße.

Gruß, Martin

Wenn es um Informationen zu konkreten Anwendungsfällen geht, dann stand ich bei der Suche bisher meist im Regen. Die gesamte Secure Boot Problematik betrifft mich zwar jetzt nicht, aber ich versuchte mal zu ergründen, "was wäre, wenn", bezogen auf den aktuellen Stand.

Ich nutze hier bspw. ein Dual-Boot-System aus Xubuntu 12.04 und Windows 7 64bit. Sind diese Konstellationen dann überhaupt noch möglich?

Wenn ich ein Betriebssystem habe, welches Secure Boot (SB) erzwingt (Windows 8?), dann könnte ich kein 12.04 von Stick oder CD aus starten, sofern SB aktiviert ist. Deaktiviere ich SB, kann ich sie starten. Wie verhält es sich nun, wenn ich eine Installation durchführen möchte? Ich müsste SB deaktivieren, um 12.04 starten und installieren zu können. Würde das Windows-System dann überhaupt noch zu starten sein, selbst wenn ich SB wieder aktivieren würde? So wie ich die bisher dazu gelesenen Texte verstanden habe, würde solch ein Dual-Boot-System wohl nicht mehr möglich sein.

Capet schrieb:

Würde das Windows-System dann überhaupt noch zu starten sein, selbst wenn ich SB wieder aktivieren würde? So wie ich die bisher dazu gelesenen Texte verstanden habe, würde solch ein Dual-Boot-System wohl nicht mehr möglich sein.

Selbst wenn Du Secure Boot deaktivierst, startet die vorhandene Windows Installation dann noch. Das ist also insofern kein Problem.

Gruß, Martin

Capet schrieb:

Wenn ich ein Betriebssystem habe, welches Secure Boot (SB) erzwingt (Windows 8?), [..]

Windows 8 erzwingt kein SecureBoot. Nur wenn der Hersteller des Rechners einen "Designed for Windows 8"-Aufkleber auf das Gehäuse kleben will, muss es aktiviert sein.

[..] dann könnte ich kein 12.04 von Stick oder CD aus starten, sofern SB aktiviert ist.

Im Moment nicht. Aber mit dem bald erscheinenden Point-Release ".2" von Ubuntu 12.04 wird auch dieses sich mit aktiviertem SecureBoot installieren lassen. Canonical hat die SecureBoot-Fähigkeit von Ubuntu 12.10 auf 12.04 zurückportiert.

[..] würde solch ein Dual-Boot-System wohl nicht mehr möglich sein.

Du kannst ein solches System immer noch einsetzen. Im Zweifelsfall installierst du nach der Installation von Ubuntu 12.04 mit deaktiviertem SecureBoot die signierten Kernel und Bootloader-Pakete. Danach kannst du dann wieder SecureBoot aktivieren. Du kannst es aber auch, wie schon geschrieben, deaktiviert lassen. Windows 8 funktioniert auch ohne SecureBoot einwandfrei.

Danke für eure Antworten.

ich hoffe, es paßt thematisch. Ist das Risiko, das Win8 Gerät zu bricken auch bei deaktiviertem Secureboot nur mit UEFI? Egal ob man dann von Usbstick, CD bootet und versucht so ein Linux zu installieren.

Was meinst du mit "bricken"?

https://bugs.launchpad.net/ubuntu-cdimage/+bug/1040557 hier finde ich nur was von UEFI enabled oder disabled. In anderen Launchpad Geschichten meist mit Samsung war es auch secureboot. Und irgendwo auch ein Lenovo, bei dem man dann mit der CMOS-Batterie resetten konnte.

Jetzt weiß ich was du meinst. Das Problem tritt im Zusammenhang mit UEFI anscheinend öfter auf. Ich hatte ein ähnliches Problem z.B. mit meinem Büro-PC (Irgendein aktueller Packard Bell iMedia, die genaue Modellbezeichnung weiß ich im Moment nicht) auf dem ich Ubuntu 12.04 im UEFI-Modus installiert habe. Dort akzeptierte die UEFI-Firmware nur ein einziges Mal direkt nach der Installation den "ubuntu"-Eintrag. "efibootmgr" zeigt ihn zwar an, aber die Firmware eben nicht. Als ich dann versucht habe alle Einträge zu löschen und nur "ubuntu" einzutragen lassen, fuhr der Rechner nicht mehr hoch (Schwarzer Bildschirm). Ein CMOS-Reset brauchte auch keine Abhilfe.

Die einzige Methode das System wieder in Gang zu bekommen, war die Festplatte und das DVD-Laufwerk von den SATA-Ports abzuklemmen. Danach fuhr der Rechner wieder hoch. Als ich dann die Firmware wieder auf den Werkszustand zurückgesetzt hatte, konnte ich die beiden Laufwerke wieder anschließen und der Rechner lief wieder.

Danach habe ich Ubuntu 12.04 dann im BIOS-Modus installiert (Was aber eine Repartionierung der Festplatte erforderte, da das Mainboard bei GPT-partitionierten Festplatten grundsätzlich versucht im UEFI-Modus zu starten).

Auf meinem Heim-PC funktioniert UEFI dagegen völlig problemlos.

P.S.:

Ubuntu 12.10 lies sich übrigens völlig problemlos mit aktiviertem SecureBoot installieren und starten. Ich wollte aber Ubuntu 12.04 benutzen, da mir bei dem Büro-PC eine dauerhafte Unterstützung wichtiger ist.