Fedora mit/ohne SecureBoot

Keylan · 1. Juli 2024

Auch Windows 11 braucht kein Secure-Boot.
Es erfordert ein Secure-Boot fähiges Board, aber die Funktion selbst muss nicht aktiviert sein.

Viele Fehlinformationen hier.

Wenn man eine Distro hat die Secure-Boot voll unterstützt spricht sicher nichts dagegen das zu machen, aber grade in der Linux-Welt ist der Sicherheitsgewinn marginal.
Am Ende muss der Distributor jeden Kernel mit Zertifikaten ausstatten und diese beim Upgrade einbinden lassen. Macht meines Wissens nur Ubuntu und Fedora, kann aber inzwischen ganz anders sein.
Bei anderen Distros, kann man selbst Zertifikate für seinen Kernel erstellen, dass muss man aber bei jedem neuen Kernel machen, und da man da nicht eh selbst die Sourcen hätte prüfen müssen hilft das Zertifikat nur für einen Selbst gar nichts.
Entweder man Zertifiziert eine Black-Box, oder man hat wirklich rein geschaut und selbst Kompiliert, dann weis man aber auch ohne Zertifikat was mit dem eigenen Kernel los ist.
Und ob man dem Kernel und den Paketen mit oder ohne Zertifikat traut macht auch keinen Unterschied, den Zertifikat und Binaries kommen aus der selben Hand.

Bei Windows macht es bedingt Sinn, da die Software einen einheitlichen Kernel über den großen Nutzerraum hat und es doch diverse Verbreitungswege für Installationen und Updates auf Basis des selben von MS bereitgestellten Kernels gibt. Sprich, man kann den Install/Update-Sourcen aus zweiter Hand besser vertrauen, weil der Kernel von MS Signiert ist.

Edit:

Grade nochmal gegoogelt. Unter Linux besteht richtiger Support für Secureboot in erster Linie bei den Enterprise Distros, Also SLES, REHL, CentOS und Ubuntu.
Macht Sinn, da gerade in diesem Umfeld mit Angepassten Installationen und alternativen Update-Repositorien gearbeitet wird.

mike78sbg · 1. Juli 2024

simplyroman schrieb:
Hi, kurze Frage... was spricht für eine Fedora Installation mit SecureBoot enabled und was für SecureBoot disabled.

Ich würds deaktivieren.
Secure Boot bringt dir keinen Mehrwert, aber ist eine zusätzliche Fehlerquelle.

Falls du z.B.: einen Zen- Kernel, abseits von den angebotenen Mainlinekernel, installieren willst, wirst du sehr schnell auf Probleme stoßen.

Pummeluff · 1. Juli 2024

Keylan schrieb:
Am Ende muss der Distributor jeden Kernel mit Zertifikaten ausstatten und diese beim Upgrade einbinden lassen.

Jein. Wenn du der Kernel direkt per UEFI bootest, ist das richtig.

In der Praxis wird allerdings meist erst mal Grub gebootet. Grub bringt einen eigenen signierten Minikernel mit. Und ab dem Punkt ist es dann wieder egal, welcher Kernel danach gestartet wird.

Den Weg gehen übrigens auch einige Enterprise-Distributionen.

Keylan · 1. Juli 2024

Pummeluff schrieb:
In der Praxis wird allerdings meist erst mal Grub gebootet. Grub bringt einen eigenen signierten Minikernel mit.

Hab ich mich noch nicht mit beschäftigt, aber wenn das so ist, dann ist der ganze Secure-Boot Kram in der Konstellation ja komplett hinfällig.
Wobei ich bei meinen Systemen komplett von Grub und Konsorten weg bin und alles per GTP mit eigenem EFI und systemd-boot eingerichtet habe. Da würde Secure-Boot zumindest noch greifen wenn ich das den Eingerichtet hätte, was bei meinen Arch-Systemen aber wie beschrieben zwar technisch ginge, aber keinen praktischen Nutzen hätte.

Ich meine, grade bei den genannten Enterprise-Distros macht es vor allem bei immutable Versionen im ersten Moment Sinn.
Wenn ich das mit dem Grub dann lese und an die neue Idee von Pop_OS mit dem immutable-Core denke wird's dann aber auch wieder Hinfällig wenn in der signierten-immutable-Basis eine Umgebung eingebettet ist die doch mit Root-Rechten direkt Kernel-Funktionen aufrufen kann.

foofoobar · 1. Juli 2024

Keylan schrieb:
Hab ich mich noch nicht mit beschäftigt, aber wenn das so ist, dann ist der ganze Secure-Boot Kram in der Konstellation ja komplett hinfällig.

Da Secure-Boot per default Software mit Lücken bootet ist das allen Konstellationen hinfällig.

Gregorie · 1. Juli 2024

Unter Fedora aktuell Version 40, habe ich auch auf secure boot verzichtet.
Weil ich schon bei vorherigen Fedora Versionen es nicht hinbekam dies mit meiner NVIDIA GraKa.
zum laufen zu bekommen. Trotz Anleitungen. Man muss einen Key erzeugen usw.
Auf den properitären NVIDIA Treiber wollte und will ich nicht verzichten.
Mit dem Nouveau Treiber soll es wohl ohne zusätzlichen Aufwand funktionieren.
Da ich Dual Boot verwende, zusätzlich habe ich noch Windows 10, ist für Wiindow auch secure boot nicht aktiviert.
Edit: Laut Blogger soll ab Fedora 41 wieder in der Gnome Software der prop, Nvidia Treiber vorhanden sein.
https://www.phoronix.com/news/GNOME-Software-Better-NVIDIA
In den Kommentaren dort fand eine hitzige User Disskussion zum Thema statt.

Pummeluff · 1. Juli 2024

Mal zu Grub + Secureboot:
https://wiki.gentoo.org/wiki/Shim

The sys-boot/shim package provides a pre-compiled version of shim distributed by Fedora and pre-signed with the 3rd-party Microsoft certificate. This Microsoft certificate is accepted by default on most UEFI-enabled motherboards, this allows users to delegate secure boot key management to shim without having to touch the firmware's default UEFI Secure Boot keys.

nutrix · 1. Juli 2024

Snoop7676 schrieb:
Mal wieder ein richtiger Schlauberger am start, merk schon..

Nur jemand, der sich im Gegensatz zu Dir mit IT-Sicherheit auskennt. Aber klar, die ganzen Laien wollen es ja immer besser wissen. Der Schlauberger bist eher Du, der meint, daß er alles bzgl. IT Sicherheit im Griff hätte.

Ergänzung (1. Juli 2024)

Pummeluff schrieb:
Die Kernisolierung von Win11 ist jetzt an welcher Stelle in Fedora eingebaut?

Auch ganz schlau, Zitate aus dem Zusammenhang zu reisen. Den Link mit der Streichung des klassischen BIOS Support von mir oben hast Du gelesen?

Ergänzung (1. Juli 2024)

Keylan schrieb:
Auch Windows 11 braucht kein Secure-Boot.

Woraus schließt Du das bitte?

Keylan schrieb:
Es erfordert ein Secure-Boot fähiges Board, aber die Funktion selbst muss nicht aktiviert sein.

Was soll das bitte für eine hirnrissige Logik sein?

https://support.microsoft.com/de-de...ure-boot-a8ff1202-c0d9-42f5-940f-843abef64fad

Die Anforderung für ein Upgrade eines Windows 10-Geräts auf Windows 11 ist zwar nur, dass der PC über Secure Boot-Unterstützung verfügt, indem UEFI/BIOS aktiviert ist, sie sollten jedoch auch die Aktivierung oder Aktivierung von Secure Boot in Betracht ziehen, um eine bessere Sicherheit zu gewährleisten.

Das gilt nur bei Migration von 10 nach 11.
Bei 11 steht klar drin:
https://support.microsoft.com/de-de...derungen-86c11283-ea52-4782-9efd-7674389a7ba3

Systemfirmware: UEFI (für Unified Extensible Firmware Interface, eine moderne Version des PC-BIOS) und Secure Boot-fähig. Wenn Ihr Gerät die Mindestanforderungen nicht erfüllt, da es nicht Secure Boot unterstützt, sollten Sie diesen Artikel lesen, um zu sehen, ob es Schritte gibt, die Sie unternehmen können, um dies zu aktivieren. Secure Boot kann nur mit UEFI aktiviert werden, und dieser Artikel hilft Ihnen, potenzielle Optionen zum Ändern von Einstellungen zu verstehen, um dies zu ermöglichen.

Windows 11 erfordert definitiv Secure Boot, wenn Du es neu sauber über ein per MCT erstellen USB-Stick installierst. Außer man greift wieder manipulativ zu Tricks, um das auszuhebeln wie mit Rufus und Co., mit den bekannten Nebeneffekten, wie wir hier ja permanent lesen können.

Keylan schrieb:
Viele Fehlinformationen hier.

Ja eben, schau in den Spiegel.

Keylan schrieb:
Grade nochmal gegoogelt. Unter Linux besteht richtiger Support für Secureboot in erster Linie bei den Enterprise Distros, Also SLES, REHL, CentOS und Ubuntu.

Aha, wie war das nochmal mit den Fehlinformationen?

Keylan schrieb:
Macht Sinn, da gerade in diesem Umfeld mit Angepassten Installationen und alternativen Update-Repositorien gearbeitet wird.

Eben. Und Secure Boot wie EPS und Co. gibts bei z.B. Red Hat schon sehr lange. Android und iOS haben ähnliche Mechanismen. Daher verstehe ich die blinden Vorbehalte gegen Secure Boot nicht.

mike78sbg schrieb:
Ich würds deaktivieren.
Secure Boot bringt dir keinen Mehrwert, aber ist eine zusätzliche Fehlerquelle.

Das wird hier aber zurecht anders gesehen:
https://forum.linuxguides.de/index....ranoia-der-deutschsprachigen-linux-community/

Daher eine bitte von mir an euch alle: Bitte gebt niemanden als ersten Tipp, dass er "Secure Boot" ausschalten soll. Es kann Situationen geben wo man Secure Boot ausschalten muss (z.b. wenn man Virtual Box verwendet, da das Kernel-Modul von Virtual Box nicht sginiert ist). Aber auch da könnte man vorher überlegen ob man vllt nicht besser mit KVM/QEMU arbeitet bzw. virt-manager und gnome-boxes, die dieses Problem nicht haben.

mike78sbg · 1. Juli 2024

nutrix schrieb:
Das wird hier aber zurecht anders gesehen:
https://forum.linuxguides.de/index....ranoia-der-deutschsprachigen-linux-community/

Schön für ihn, dass er das anders sieht, nur schreibt er einen Schwachsinn, indem er end-to-end Verschlüsselung von Whats App mit einer Kernel Signierung vergleicht.

End-to-end Verschlüsselung bedeutet, dass sich zwei Clients auf einen schlüssel einigen, und nur dieser kann dann die Nachrichten ver- und entschlüsseln.

Bei Secure Boot hingegen benötige ich eine dritte Partei, welche mir eine Signatur erstellt. Und der muss ich vertrauen können. Diese Signatur bestätigt mir dann, dass der installierte, und ebenfalls signierte Kernel, nicht manipuliert ist.
1. Tja, etwas Recherche, und du wirst feststellen, dass du der Secure Boot Signatur nicht wirklich vertrauen kannst. Besonders nicht Microsoft, die sich sogar den Master Key von Azure per Hack klauen (kopieren) haben lassen.
2. Es wird dabei der Kernel signiert, und auch die Kernelmodule, damit diese booten können. Das ändert aber nichts daran, dass du dir jede Software installieren kannst, die auch Unfug treiben kann. Und wenn ich eine SW auf deinen Rechner bekomme, und diese mit root rechten ausgeführt wird, kannst du signieren was du lustig bist. Ich bin trotzdem in deinem System drin, oder was auch immer diese SW machen soll. Wenn jemand auf meinen Rechner will, dann wenn ich den Rechner schon längst laufen habe.

Und Malware funktioniert in der Regel auf dieser Ebene. Der User klickt ohne nachzudenken...

Also, wozu benötige ich Privat Secure Boot?

Keylan · 1. Juli 2024

nutrix schrieb:
Windows 11 erfordert definitiv Secure Boot,

Ist schön, dass du die Quellen lieferst, und sogar die relevanten Abschnitte zitierst.

Jetzt noch Lesekompetenz, den die Abschnitte bestätigen genau meine Aussage in beiden Fällen.
Windows 11 verlangt immer nur die Hardwareseitige Unterstützung von Secure-Boot. Eine Aktivierung ist empfohlen aber optional.

Die hirnrissige Logik dahinter musst du bei Microsoft hinterfragen.

nutrix schrieb:
Daher verstehe ich die Blinden vorbehalte gegen Secure Boot nicht.

Du verstehst nicht, dass es ein Sicherheitsmechnismuss ist, der nur einen sehr begrenzten Anwendungsfall hat?
Als Glied in einer Kette zahlreicher Mechanismen, die dann aber sowohl bei der Einrichtung als auch Administration von Systemen bedürfen kann SecureBoot einen Mehrwert bringen. Das bedarf aber mindestens zusätzlich einer Systemverschlüsselung (Bitdefender/Lurks) und hilft am Ende dann auch nur dem Administrator der das System eingerichtet hat, Zugriffe und Manipulationen von Anwendern außerhalb der Laufzeitumgebung des Betriebssystems abzusichern.
Also sowohl Bedingungen als auch Anforderungen die nur im Enterprise-Umfeld Relevanz haben.

Für den Heim-PC spielt Secure-Boot nur eine Rolle, wenn Software auf dem System dies explizit als Anforderung hat. Also zum Valorant zocken.

nutrix · 1. Juli 2024

Keylan schrieb:
Ist schön, dass du die Quellen lieferst, und sogar die relevanten Abschnitte zitierst.

Jetzt noch Lesekompetenz, den die Abschnitte bestätigen genau meine Aussage in beiden Fällen.

Das ist Deine einseitige Interpretation. Wenn Du den Artikel genauer weiter gelesen hättest, steht da noch weiter was von TPM. Lesekompetenz bedeutet, daß man alles mal liest und in den richtigen Kontext setzt.

Keylan schrieb:
Windows 11 verlangt immer nur die Hardwareseitige Unterstützung von Secure-Boot. Eine Aktivierung ist empfohlen aber optional.

Damit funktioniert aber eben kein TPM mehr (was Valorant braucht), und eben die von Dir unten erwähnten Möglichkeiten wie Bitlocker und Co. nicht mehr, oder eben keine Features wie Kernisolierung. Das eine hängt von anderen ab. Und nein, es ist eben nicht zulässig, Dich einseitig darauf zu beziehen, daß es nur optional sei. Ohne Secure Boot nutzt Dir TPM und Co. auch nichts mehr.

Siehe auch:
https://www.pcwelt.de/article/1168759/uefi-und-bios-so-loesen-sie-typische-probleme.html

Das änderte sich jedoch mit Windows 11. Bei der neuesten Version des Betriebssystems erhöhte Microsoft die Anforderungen an die Computersicherheit. Dazu gehörte, dass das Uefi nicht nur eine Secure-Boot-Funktion anbieten muss, sondern dass sie auch aktiviert ist. Falls nicht, erscheint die Meldung „Dieser PC muss Secure Boot unterstützen“, das Upgrade oder Setup von Windows 11 wird abgebrochen.

Daher, Du hast anscheinend bisher noch nirgends mal sauber neu und frisch ein Windows 11 original über MCT installiert, sonst wüßtest Du es, daß es ohne Secure Boot nicht geht!

Keylan schrieb:
Du verstehst nicht, dass es ein Sicherheitsmechnismuss ist, der nur einen sehr begrenzten Anwendungsfall hat?

Den Satz verstehe ich jetzt wirklich nicht. Der Anwendungsfall ist doch eindeutig, mehr und höhere Sicherheit. Und der ist angesichts der Bedrohungslage bitter nötig. Komischerweise hinterfragt das keiner bei Android, wo es schon lange so gemacht wird.

Keylan schrieb:
Als Glied in einer Kette zahlreicher Mechanismen, die dann aber sowohl bei der Einrichtung als auch Administration von Systemen bedürfen kann SecureBoot einen Mehrwert bringen. Das bedarf aber mindestens zusätzlich einer Systemverschlüsselung (Bitdefender/Lurks) und hilft am Ende dann auch nur dem Administrator der das System eingerichtet hat, Zugriffe und Manipulationen von Anwendern außerhalb der Laufzeitumgebung des Betriebssystems abzusichern.

Richtig, und genau das sage ich doch die ganze Zeit, Secure Boot ist ein wichtiges Glied in einer ganzen Kette. Wenn Du das deaktivierst, kannst Du nichts von der gesamten Kette weiter nutzen.

Keylan schrieb:
Also sowohl Bedingungen als auch Anforderungen die nur im Enterprise-Umfeld Relevanz haben.

Warum? Du hast ein privates Notebook, mit dem Du unterwegs bist, soll und darf es kein Bitlocker verwenden oder wie? Und was hindert Dich daran, die Rolle des Admins UND des Anwenders wahrzunehmen? Es gibt genug Leute hier, die trennen das sauber, auch unter Windows.

Keylan schrieb:
Für den Heim-PC spielt Secure-Boot nur eine Rolle, wenn Software auf dem System dies explizit als Anforderung hat. Also zum Valorant zocken.

Und wieder ein großer Denkfehler. Kernisolierung und Co. brauchten das auch.

Sorry, daher bezweifle ich, daß Du diese Kette verstehst. Du theoretisierst nur rum, machst spekulativ Annahmen ohne zu wissen. Das kritisiere ich aufs schärfste, daß Du und andere hier von Dingen reden, sie sie weder verstehen noch anscheinend jemals praktisch ausprobiert haben. Daher, erstelle per MCT ein USB-Stick, und installiere auf einem aktuellen PC Windows 11 auf einem frischen leeren Datenträger, der noch nicht als MBR oder GPT eingestellt ist! Und wenn Du das selbst mal so gemacht hast, dann reden wir weiter.

Keylan · 1. Juli 2024

nutrix schrieb:
Sorry, daher bezweifle ich, daß Du diese Kette verstehst.

Das können wir uns gern Gegenseitig vorwerfen, ohne Erläuterungen zu Details und Funktionen bringt das wenig. Vor allem wenn du von so einem Abstrakten und vielschichtigen Ziel wie "mehr Sicherheit" redest ohne die Aspekte zu beleuchten.

nutrix schrieb:
Das ist Deine einseitige Interpretation. Wenn Du den Artikel genauer weiter gelesen hättest, steht da noch weiter was von TPM. Lesekompetenz bedeutet, daß man alles mal liest und in den richtigen Kontext setzt.

TMP geht natürlich ohne Secure-Boot (TMP ist eine zwingende Voraussetzung für Win11) und hat mindestens den Effekt, das Bitlocker damit deutlich Komfortabler ist.
Das ginge auch ohne, aber dann muss man wirklich immer die Schlüssel bereitstellen (ob als PW oder per Hardwaretoken). Und Bitlocker hat einen erheblichen Sicherheitsvorteil einfach durch den abgesicherten Zugriff auf jegliche Daten (außer den Bootloader).

Du wirst da ganz viel durcheinander.

nutrix schrieb:
Der Anwendungsfall ist doch eindeutig, mehr und höhere Sicherheit. Und der ist angesichts der Bedrohungslage bitter nötig

Inhaltsleere Rhetorik. Bring doch bitte mal einen Punkt. Wie wird hier Sicherheit gewonnen? Welche Bedrohungslage wird adressiert?

nutrix schrieb:
Secure Boot ist ein wichtiges Glied in einer ganzen Kette.

Ist es das? Warum? welche Rolle spielt SecureBoot in der Sichtungskette, und in welchen Fällen ist das Relevant?

Vielleicht beantwortest du mal, was ich als Heim-PC Anwender in deinen Augen nicht
mehr zu befürchten hätte wenn ich SecureBoot nutzen würde.
Und zwar wirkliche Sicherheitsaspekte, nicht, dass eben Software X Prüft ob es da ist und sonst den Dienst verweigert.

nutrix · 1. Juli 2024

Keylan schrieb:
Das können wir uns gern Gegenseitig vorwerfen, ohne Erläuterungen zu Details und Funktionen bringt das wenig. Vor allem wenn du von so einem Abstrakten und vielschichtigen Ziel wie "mehr Sicherheit" redest ohne die Aspekte zu beleuchten.

Was soll ich bitte einem Blinden was von Farben erklären? 🥺 Das ist jetzt weder böse noch abwertend gemeint.

Keylan schrieb:
TMP geht natürlich ohne Secure-Boot (TMP ist eine zwingende Voraussetzung für Win11) und hat mindestens den Effekt, das Bitlocker damit deutlich Komfortabler ist.
Das ginge auch ohne, aber dann muss man wirklich immer die Schlüssel bereitstellen (ob als PW oder per Hardwaretoken). Und Bitlocker hat einen erheblichen Sicherheitsvorteil einfach durch den abgesicherten Zugriff auf jegliche Daten (außer den Bootloader).

Sorry, jetzt faselst Du wieder theoretisierend nur rum. Wir sind doch hier nicht bei hätteste, könnste, wenste, und Wünschdirwas. Zeig es mir bitte und allen anderen Sachkundigen hier und jetzt praktisch! Du wirst sehen, wenn Du eine normale Windows 11 Pro Version nimmst, geht es nicht.

Keylan schrieb:
Du wirst da ganz viel durcheinander.

Ne, eher andersherum.

Keylan schrieb:
Inhaltsleere Rhetorik. Bring doch bitte mal einen Punkt. Wie wird hier Sicherheit gewonnen? Welche Bedrohungslage wird adressiert?

Ach kommt, muß ich es wirklich jedem immer und immer wieder erklären? 🙄 Ließ doch bitte selbst nach, oder verfolgst Du etwa keine Tagespresse zu den Themen?
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html
https://www.bsi.bund.de/DE/Themen/V...ber-Kriminalitaet/Botnetze/botnetze_node.html
https://www.psw-group.de/blog/botnetze-die-automatisierte-gefahr/9313
Und wenn Du wirklich was von Sicherheit verstehen würdest, müßte ich Dir nicht erklären, daß Sicherheit immer nur eine Kette von Maßnahmen ist, so wie Secure Boot eine von vielen ist, und TPM, und VBS, und HVCI und nicht nur ein Ding oder Teil oder eine einzelne Maßnahme! Jede zusätzliche sicherer Maßnahme erhöht prozentual den Grad der Sicherheit! Und Fakt ist Stand heute, Du kannst weder TPM noch HVCI noch VBC unter Windows nutzten, wenn Du kein Secure Boot aktiviert hast.

Keylan schrieb:
Ist es das? Warum? welche Rolle spielt SecureBoot in der Sichtungskette, und in welchen Fällen ist das Relevant?

Steht doch in den von mir genannten Links deutlich drin, Du mußt nur richtig lesen.

Keylan schrieb:
Vielleicht beantwortest du mal, was ich als Heim-PC Anwender in deinen Augen nicht
mehr zu befürchten hätte wenn ich SecureBoot nutzen würde.
Und zwar wirkliche Sicherheitsaspekte, nicht, dass eben Software X Prüft ob es da ist und sonst den Dienst verweigert.

Ergänzung (2. Juli 2024)

mike78sbg schrieb:
Schön für ihn, dass er das anders sieht, nur schreibt er einen Schwachsinn, indem er end-to-end Verschlüsselung von Whats App mit einer Kernel Signierung vergleicht.

Also, wozu benötige ich Privat Secure Boot?

Frag Dich doch mal anders herum, warum implementieren andere Linux Distributionen Secure Boot? Wenns doch so blöd und falsch sein soll?

Keylan · 2. Juli 2024

nutrix schrieb:
Was soll ich bitte einem Blinden was von Farben erklären? 🥺 Das ist jetzt weder böse noch abwertend gemeint.

Oh doch, das ist es. Mehr als deutlich mit welcher Überheblichkeit du daher kommst, aber selbst keine Argument gerade vor bringen kannst.

nutrix schrieb:
Du wirst sehen, wenn Du eine normale Windows 11 Pro Version nimmst, geht es nicht.

Ja sorry, letztes Jahr lief es bei mir (mit Windows 11 pro). Seit dem habe ich privat kein Windows mehr laufen.
Aber selbst wenn es zur Installation benötigt wird hindert das niemanden daran, es direkt nach Installation wieder zu deaktivieren.
Dein Fokus auf Windows allein ohne Verständnis für die einzelnen Module und deren Funktionalität die ja auch Außerhalb von Windows in diesem Linux-Thread relevant wäre ist dabei wenig hilfreich.

nutrix schrieb:
Ach kommt, muß ich es wirklich jedem immer und immer wieder erklären?

Du erklärst ja leider gar nichts. Du machst nur extrem weit gefasste abstrakte Aussagen von denen nicht klar ist wann und wo diese wirklich relevant sind oder .....

nutrix schrieb:
Steht doch in den von mir genannten Links deutlich drin, Du mußt nur richtig lesen.

... oder du lieferst weiter Quellen die deine Aussagen widerlegen. Wenn man diese richtig ließt.

Windows 11 läuft ohne SecureBoot
TMP braucht kein SecureBoot
Bitlocker oder auch andere Verschlüsselungen wie LUKS brauchen kein SecureBoot

Zum konkreten Fall des Fedora-Heim-PC's sagst du nichts spezifisches. Der Lagebericht zur IT-Sicherheit hat da auch einen ganz anderen Fokus.
Aber lenke nur weiter ab, statt mal einen konkreten Angriffsvektor zu benennen der für einen selbst administrierten Heimrechner durch SecureBoot abgesichert wird.

Ich kenne welche, aber du bist hier in der Bringschuld.
Denn meine Beispiele betreffen eben vorwiegend Windows, bzw. das dort etablierte Nutzerverhalten. Das geht unter Linux auch, ist aber nicht üblich.

Ergänzung (2. Juli 2024)

nutrix schrieb:
Frag Dich doch mal anders herum, warum implementieren andere Linux Distributionen Secure Boot? Wenns doch so blöd und falsch sein soll?

Ein weiteres Möchtegern Argument, das inhaltlich nichts liefert und nur darauf verweist, dass es ja so sein muss weil angeblich allgemein etwas so gehandhabt wird.
Welche Linux-Distributionen das machen, welche Anwendungsfälle das im Fokus hat und ob das für die hier gestellte Frage relevant ist wird vollkommen ignoriert.

Beantworte doch die Frage einfach mal!

Warum implementieren diese Linux-Distributionen das? Und warum machen andere das nicht? Zeig doch mal das du auch nur im Ansatz verstanden hast was SecureBoot überhaupt macht und was es leisten kann und wo es Grenzen hat.

nutrix · 2. Juli 2024

Keylan schrieb:
Oh doch, das ist es. Mehr als deutlich mit welcher Überheblichkeit du daher kommst, aber selbst keine Argument gerade vor bringen kannst.

Ich kann nichts dafür, wenn Du die Quellen nicht richtig liest. Ich bin nicht überheblich, ich zeige Fakten.

Keylan schrieb:
Ja sorry, letztes Jahr lief es bei mir (mit Windows 11 pro). Seit dem habe ich privat kein Windows mehr laufen.

Das erklärt einiges.

Keylan schrieb:
Aber selbst wenn es zur Installation benötigt wird hindert das niemanden daran, es direkt nach Installation wieder zu deaktivieren.

Sag mal ernsthaft, liest Du hier im Forum auch aktiv mit? Nicht mitbekommen, was passiert, wenn Du Win 11 mit SB+TPM installierst, und dann deaktivierst Du im UEFI SB?

Probier es doch selbst einfach mal aus. Und nein, Du kannst es nicht so einfach zurückdrehen.

Keylan schrieb:
Dein Fokus auf Windows allein ohne Verständnis für die einzelnen Module und deren Funktionalität die ja auch Außerhalb von Windows in diesem Linux-Thread relevant wäre ist dabei wenig hilfreich.

Du kannst alles bei Microsoft selbst nachlesen. Dazu brauchst Du mich nicht, Du bist erwachsen genug, die Quellen selbst zu studieren.

Keylan schrieb:
Du erklärst ja leider gar nichts. Du machst nur extrem weit gefasste abstrakte Aussagen von denen nicht klar ist wann und wo diese wirklich relevant sind oder .....

... oder du lieferst weiter Quellen die deine Aussagen widerlegen. Wenn man diese richtig ließt.

Es steht doch alles deutlich dort, es ist somit Dein Verständnisproblem allein, was Dein Problem ist.

Keylan schrieb:
Windows 11 läuft ohne SecureBoot

Diese Aussage ist so nicht ganz richtig gefaßt. Ansonsten mache ich mit Dir hier und jetzt eine Wette, daß Du mir live zeigst, wie Du per Standard auf einem neuen System Windows 11 ohne SB installieren willst!
Ja, Win 11 läuft ohne SB NUR, wenn von einem bestehenden Windows 10 ohne SB und mit MBR und ohne TPM migriert wurde, oder wenn man mit Rufus am Win 11-ISO manipuliert. Ansonsten, Neuinstallation, nein!

Keylan schrieb:
TMP braucht kein SecureBoot

Ebenso nicht richtig. Du verstehst die Kette nach wie vor nicht. TPM aktivieren bringt Dir unter Win 11 nichts, wenn Du kein SB aktiviert hast. Ohne SB kein TPM und damit kein VBS und kein HVCI.

Keylan schrieb:
Bitlocker oder auch andere Verschlüsselungen wie LUKS brauchen kein SecureBoot

Ebenso nicht richtig. Bitlocker braucht SB, wenn es TPM verwendet, es braucht u.U. kein TPM (und damit auch kein SB, wenn Du einen USB-Stick verwendest, siehe
https://learn.microsoft.com/de-de/w...system-security/data-protection/bitlocker/faq
Und wenn Du die Kette immer noch nicht verstanden hast, es gibt genug Doku darüber in vielen Artikeln:
https://www.ip-insider.de/tpm-20-und-secure-boot-pcs-fit-machen-fuer-windows-11-a-1090621/

Keylan schrieb:
Zum konkreten Fall des Fedora-Heim-PC's sagst du nichts spezifisches.

Weil Du die Links nicht liest, nicht mein Problem, sondern Deines:
https://forum.linuxguides.de/index....ranoia-der-deutschsprachigen-linux-community/
Warum muß ich hier den Erklärbär machen, wenn alles dokumentiert ist?
https://jfearn.fedorapeople.org/fdo...0.1/html_/UEFI_Secure_Boot_Guide/ch01s03.html
https://fedoraproject.org/wiki/Secureboot

mike78sbg · 2. Juli 2024

nutrix schrieb:
Frag Dich doch mal anders herum, warum implementieren andere Linux Distributionen Secure Boot? Wenns doch so blöd und falsch sein soll?

Weil MS damals Druck gemacht hat, dass es Pflicht wird, aber dann zurückgerudert ist.

Aber das beantwortet meine Frage nicht, sondern soll nur ablenken davon. Was bringt es mir als Privat User?
Verschlüsselung hat auch immer etwas mit dem Usecase zu tun.

End-to-End Verschlüsselung in WhatsApp oder bei Webseiten hat einen gänzlich anderen Usecase als Secure Boot.
Und ja, Kernel Signierungen können durchaus auch Sinnvoll sein in Sicherheitsrelevanten Umgebungen, aber dann nimmt man etwas zuverlässigeres, und außerdem, wie Keylan schon schreibt, verwendet man eine komplett Verschlüsselung des Systems.

Aber selbst die Verschlüsselung und Secure Boot ändert weiterhin nichts daran, dass ich mir Schadsoftware installieren kann, die Unfug treibt.

Es geht hier aber um Privatanwendungen. Also, erklär mal, wozu benötige ich es im Privaten Bereich? Das erklärt nämlich dein link auch nicht, der schwafelt nur herum und Vergleicht Äpfel und Birnen.

foofoobar · 2. Juli 2024

nutrix schrieb:
Damit funktioniert aber eben kein TPM mehr (was Valorant braucht), und eben die von Dir unten erwähnten Möglichkeiten wie Bitlocker und Co. nicht mehr, oder eben keine Features wie Kernisolierung. Das eine hängt von anderen ab. Und nein, es ist eben nicht zulässig, Dich einseitig darauf zu beziehen, daß es nur optional sei. Ohne Secure Boot nutzt Dir TPM und Co. auch nichts mehr.

Was macht "Kernisolierung", "VBS" und "HVCI"?
Wofür schützt "Kernisolierung, "VBS" und "HVCI" und wofür nicht?

Ergänzung (2. Juli 2024)

mike78sbg schrieb:
Aber selbst die Verschlüsselung und Secure Boot ändert weiterhin nichts daran, dass ich mir Schadsoftware installieren kann, die Unfug treibt.

Secure Boot verhindert in keinster Weise das auch Dritte auf deiner Kiste Schadsoftware installieren.

Sicherheit ist mehr als nur weiteres Schlangenöl auf das Problem zu werfen.
Woher kommen eigentlich diese magischen Eigentschaften die Secure Boot immer wieder zugeschrieben werden? Macht M$ da ordentlich Propaganda?

mike78sbg · 2. Juli 2024

foofoobar schrieb:
Secure Boot verhindert in keinster Weise das auch Dritte auf deiner Kiste Schadsoftware installieren.

Hab ich weiter oben geschrieben. Also mir musst du das nicht erklären.

Es wird dabei der Kernel signiert, und auch die Kernelmodule, damit diese booten können. Das ändert aber nichts daran, dass du dir jede Software installieren kannst, die auch Unfug treiben kann. Und wenn ich eine SW auf deinen Rechner bekomme, und diese mit root rechten ausgeführt wird, kannst du signieren was du lustig bist. Ich bin trotzdem in deinem System drin, oder was auch immer diese SW machen soll. Wenn jemand auf meinen Rechner will, dann wenn ich den Rechner schon längst laufen habe.

@nutrix

Hier noch was zum lesen:
Secure Boot

Wie Forscher der Mitre Corporation Mitte 2014 bekannt gegeben haben, weist die Intel-Referenzimplementierung von UEFI zudem eine Sicherheitslücke auf, die das dauerhafte Einschleusen von Malware ermöglicht. Genutzt wird hierfür eine fehlerhafte Update-Funktion, durch die es zu Integer-Overflows kommt und Schadcode ausführbar macht. Viele verwenden den Code der Intel-Referenzimplementierung als Basis für ihr UEFI.

2016 wurde außerdem eine Sicherheitslücke im Microsoft-Bootloader bekannt, die eine Umgehung des Schutzes ermöglichte.

'Hintertür' in Secure Boot: Wichtigster Windows-Schutz ausgehebelt

Kardinalfehler: Microsoft setzt aus Versehen Secure Boot schachmatt

Also alles sehr vertrauenswürdig aus der Hand von einem großen Konzern, der alles andere als für Sicherheit bekannt ist.

Pummeluff · 2. Juli 2024

@nutris: Geht's jetzt hier eigentlich um Windows oder um Fedora?

Ich bin grad auf das Thomas-Krenn-Wiki zu dem Thema gestoßen. Ich denke, da werden die Vor- und Nachteile ganz gut erklärt.

Ich sehe für mich keinen Vorteil für die Verwendung von Secure Boot. Root Kits gibt's auch unter Linux. Allerdings schätze ich die Gefahr vernachlässigbar gering ein, dass ich in meinem privaten Bereich davon betroffen sein könnte. Der Angriffsvektor dürfte wohl auch hier in erster Linie wieder auf Windows abzielen.

rgbs · 2. Juli 2024

Pummeluff schrieb:
Ich sehe für mich keinen Vorteil für die Verwendung von Secure Boot.

Dito. Ich gehe aber noch weiter. Ich bin seinerzeit als der Support von Windows 7 auslief auf Ubuntu als primäres Betriebssystem umgestiegen, da mir die Gängelei von MS bei Windows 10 zu viel geworden war.
Ich werde doch jetzt nicht so blöd sein, das Booten meiner Rechner von etwas abhängig zu machen, was MS signiert hat.

Gruß
R.G.

Fedora mit/ohne SecureBoot

Lt. Commander

Lieutenant

Lt. Commander

Lt. Commander

Rear Admiral

Lt. Commander

Lt. Commander

Vice Admiral

Lieutenant

Lt. Commander

Vice Admiral

Lt. Commander

Vice Admiral

Lt. Commander

Vice Admiral

Lieutenant

Rear Admiral

Lieutenant

Lt. Commander

Banned

Ähnliche Themen

Passend zum Thema