Forum

Secure Boot und andere Systeme
September 24, 2011, 14:47:46
Auf neueren PCs soll es in Zukunft im UEFI (also dem, was früher das BIOS war) eine Funktion "Secure Boot" geben.
Bei aktiviertem Secure Boot können nur noch digital signierte Bootloader zum Start eines Systems verwendet werden.

Windows 8 verlangt das Vorhandensein dieser Fähigkeit für zertifizierte PCs. Es wird aber nicht verlangt, dass diese Option abschaltbar ist oder andere als Microsoft-Schlüssel gespeichert sind.

Und was heißt das?
Wenn diese Option eingeschaltet ist, kann nur noch ein unmodifiziertes Betriebssystem gestartet werden, dass vorher signiert wurde. Prinzipiell zunächst einmal eine gute Sache, denn so kann sicher gestellt werden, dass nur ein unmodifiziertes System gestartet wird.
Problematisch wird das ganze, wenn man ein anderes System als Windows 8 starten möchte (Linux z.B.). Wenn im Board nur der Microsoft-Schlüssel hinterlegt ist, kann man kein anderes System mehr starten oder installieren. Wenn, wie einige Hersteller schon sagten, das ganze auch nicht abschaltbar ist, dann kann man es auch nicht umgehen.
Aber selbst wenn andere Schlüssel hinterlegt sind, kann man nur bestimmte (zugelassene) Systeme installieren und nicht frei wählen oder gar selber modifizieren.
Ein System selber zu signieren ist entweder praktisch nicht möglich oder sehr aufwändig.

Weiteres dazu:
http://www.heise.de/newsticker/meldung/Linux-Community-fuerchtet-Windows-Verdongelung-1347168.html
http://www.heise.de/newsticker/meldung/Microsoft-Secure-Boot-schliesst-andere-Systeme-nicht-aus-1349202.html
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Secure Boot und andere Systeme
Antwort #1: Oktober 20, 2011, 10:26:45
Das Thema bleibt aktuell.
"Die Free Software Foundation hat eine Kampagne gestartet, die Hardware-Hersteller auffordert, Windows-8-PCs so zu konstruieren, dass die Besitzer der Rechner beliebige Software darauf installieren können."
Problem ist eben, dass ein PC nur für Win8 zertifiziert wird, wenn er Secure Boot unterstützt. An sich erst einmal nichts schlimmes. Wenn sich das Secure Boot aber nicht deaktivieren lässt, dann lässt sich nur noch Win8 installieren und nichts anderes mehr. Die Kampagne zielt also dahin, dass Secure Boot vom Besitzer auch deaktiviert werden kann.

FSF warnt vor Secure Boot in Windows 8
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Secure Boot und andere Systeme
Antwort #2: November 01, 2011, 11:04:15
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Secure Boot und andere Systeme
Antwort #3: Januar 14, 2012, 07:31:20
Bei x86-Computern reicht es aktuell aus, wenn Secure Boot möglich ist, um eine Zertifizierung für Windows 8 zu erhalten. Microsoft erlaubt es dabei, dass man dieses auch abschalten kann. Allerdings ist es auch erlaubt, Rechner ohne Abschaltmöglichkeit zu zertifizieren (s.o.)

Bei den geplanten ARM-Geräten sieht es anders aus:
Microsoft erzwingt auf Windows-8-ARM-Geräten UEFI Secure Boot
Um eine Windows 8-Zertifizierung zu bekommen, muss Secure Boot vorhanden und nicht abschaltbar sein! Also ein Ausschluss von Fremdsystemen wie bei iOS-Geräten auch.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Secure Boot und andere Systeme
Antwort #4: Januar 14, 2012, 13:18:18
Muss mal danke sagen für Deine guten Beiträge zum Thema.

Reichlich bedenklich, was sich hier tut. Hoffe, die Kartellämter schreiten hier ein, wenn es Markt nich selbst richtet. Und hoffentlich zieht Apple nicht auch noch mit OS X nach.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Secure Boot und andere Systeme
Antwort #5: Januar 17, 2012, 21:43:43
Guckguck, da ist es wieder. Windows 8 verlangt für bestimmte Eigenschaften nach einem Trusted Platform Module (TPM 2.0):
http://www.heise.de/newsticker/meldung/Windows-8-Notebooks-Connected-Standby-nur-mit-TPM-1414556.html
Re: Secure Boot und andere Systeme
Antwort #6: Dezember 03, 2012, 08:46:45
Es ist gibt nun einen Workaround für Linux:
Secure-Boot-Loader für Linux

Der besteht darin, dass man den BootLoader Shim installiert, der von MS signiert wurde, d.h. er kann auch auf per SecureBoot gesicherten Systemen gestartet werden.
Für die Linuxvarianten, die man starten möchte, muss man einen Schlüssel bekommen oder erstellen und diesen dann Shim mitteilen. Shim kann dann ein solches System starten.

Irgendwie ist das meiner Meinung nach zwar ein funktionierender Workaround, aber eigentlich unnötig.
Eigentlich würde es ja ausreichen, wenn man im UEFI nicht nur den MS-Schlüssel ausgeliefert bekommt, sondern auch eigene Schlüssel hinterlegen könnte. Dann wäre der Umweg über einen BootLoader, der von MS signiert werden muss und der dann seinerseits das Speichern von weiteren Schlüsseln erlaubt, nicht nötig.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Secure Boot und andere Systeme
Antwort #9: August 22, 2013, 07:35:48
Aha, also zurückrudern. :)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Secure Boot und andere Systeme
Antwort #11: August 28, 2013, 22:32:37
Natürlich war die Überschrift ein bisschen überzogen… als wäre das nicht journalistischer Alltag. Dann schreiben wir es hier halt mal so: „In Expertenkreisen gibt es Bedenken über Windows 8 in Verbindung mit TPM.“

Microsoft hat sich damit keinen Gefallen getan, i.d.R. halten viele Journalisten in solchen Fällen zusammen und werden das Thema nach vorne ziehen. 
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides

Florian

  • Es lebe der König!
Re: Secure Boot und andere Systeme
Antwort #12: Juli 17, 2020, 23:53:04
Mittlerweile haben auch Macs ihr Secure Boot, das vom T2-Chip überwacht wird.
Wenn ich die richtigen Infos gelesen habe, kann man Linux bestenfalls extern installieren, die interne SSD soll trotz Abschalten von Secure Boot tabu sein.

Für einen Laptop natürlich sehr praktisch, immer eine externe Platte mitzuschleppen.

Falls das so zutrifft, warte ich auch nicht mehr auf die ARM-Macs, dann hole ich mir einen Linux-Laptop oder wieder einen Desktop. macOS schön und gut, aber irgendwann reicht es mir.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Secure Boot und andere Systeme
Antwort #13: Juli 18, 2020, 16:01:07
Das interessiert mich auch. Ist das sicher? Quelle?

Florian

  • Es lebe der König!
Re: Secure Boot und andere Systeme
Antwort #14: Juli 18, 2020, 16:44:09
Das ist es ja, es gibt für alle Varianten Quellen, viele Artikel sind schon älter usw.
Hier z.B. hat man oben ein Box eingeführt, Update vom 28.Juni 2020:
https://www.lifewire.com/dual-boot-linux-and-mac-os-4125733

Demnach geht es nicht.

Auch in vielen Foren ist die Rede davon, im Apple Discussions schwafelt einer, die neuesten Linux-Kernel könnten das, kann es aber nicht untermauern. Finde dazu gar nichts anderswo.
Oder man soll den Kernel selber patchen, was oberhalb meiner Fähigkeiten ist. Also, patchen kann ich, aber den Patch entwickeln nicht.

Ich habe auch keinen T2-Mac zur Verfügung und kann es nicht ausprobieren.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides