debian mit SecureBoot

[gehrke]

Moin *,

wie hier (viewtopic.php?f=15&t=154587#p1034644) beschrieben, versuche ich die UEFI-Fähigkeiten von debian näher zu beleuchten. Insbesondere geht es mir aktuell um die Frage, wie debian in einer Umgebung mit eingeschaltetem SecureBoot installiert und betrieben werden kann.

Hier im Forum habe ich einiges gelesen, aber beinahe immer kam die Aussage, dass SecureBoot abgeschaltet werden solle. So z.B. auch hier: viewtopic.php?f=12&t=141004
(Bei der Gelegenheit herzlichen Dank für diesen tollen Beitrag von NAB)

Es steht IMHO zu erwarten, dass neue Boards zukünftig diese Option des 'Abschaltens' nicht mehr bieten werden, weil die Spezifikation für das Windows10-Logo das nicht mehr ausdrücklich erzwingt (wie noch für Windows8).

Um das testen zu können, verwenden wir virtualisierte Hardware mit TianoCore und OVMF-Images , welche unterschiedliche Zertifikate liefern. Unter Verwendung des Images 'ovmf-x86_64-ms.bin' wird ein aktiviertes SecureBoot mit den Zertifikaten von Microsoft emuliert. Damit lassen sich dann beispielsweise OpenSUSE 13.1 und 13.2 sowie CentOS 7 installieren, welche scheinbar einen mit MS-Zertifikaten signierten shim verwenden.

Bislang ist es mir noch nicht gelungen, debian 7.8 in einer solchen Umgebung zu installieren. Der Installationsprozess läuft nicht an, ich lande in der EFI-Shell.

Wie ist da der aktuelle Stand?
TNX

cu, gehrke

[wanne]

Schätze nicht, das Debian irgend wann Microsoft bezahlen wird. Entsprechend wird der einzige Weg wohl sein über OpenSUSE ein debootstrap zu machen. Und dann den debian kernel mit openSUSE zu sighnen.
https://en.opensuse.org/openSUSE:UEFI
Oder eben vernünftige hardware kaufen.

[gehrke]

Oder eben vernünftige hardware kaufen.

Das wird IMHO in relativ kurzer Zeit ein echtes Problem werden. Insbesondere Umsteiger mit dem herkömmlichen Dual-Boot-Ansatz werden hier scheitern.
http://www.pro-linux.de/news/1/22147/ue ... licht.html
http://www.heise.de/newsticker/meldung/ ... 82371.html

[Inkodiktus]

Habe ich das dann richtig verstanden, dass man dann entweder Linux oder Windows haben kann?

[gehrke]

Habe ich das dann richtig verstanden, dass man dann entweder Linux oder Windows haben kann?

Nein, denn es gibt ja durchaus Lösungen dafür. Wie geschrieben machen aktuelle Linux-Distributionen wie SUSE, CentOS und wahrscheinlich auch Ubuntu es ja vor. Da werden die Boot-Loader dieser Distributionen mit einem Schlüssel von Microsoft signiert und die Installation erfolgt out-of-the-box problemlos.

Nach meinen Tests funktioniert das aber leider nicht für Debian - weder 7.8 noch 8 RC2.

[Inkodiktus]

gehrke: Danke!
Dann ist systemd noch das kleinere Übel für die Devs.
Wie kriegen die das dann hin, damit es läuft?

Dass man irgendwie erst SuSe starten muss, damit man dann Debian installieren kann, das wird alle Umsteiger richtig abschrecken.
Frag mich dann, was mit FreeBSD wird ^^

Gruß

[wanne]

Habe ich das dann richtig verstanden, dass man dann entweder Linux oder Windows haben kann?

Nein. gehrke Vorraussetzung ist dieda:

Insbesondere geht es mir aktuell um die Frage, wie debian in einer Umgebung mit eingeschaltetem SecureBoot installiert und betrieben werden kann.

Es wird natürlich weiterhin die Möglichkeit geben SecureBoot einfach (oder vermutlich eher kompliziert) abzuschalten. (Wer anderes behauptet verbreitet absolut nur FUD.)

Es kann prinzipiell Hersteller geben, die nur noch Microsoft signierte Betriebssysteme erlauben (Fedora, Winsows 8, SUSE) und trotzdem Windows 10 zertifiziert zu werden.
Prinzipiell macht das für den Hersteller aber nur wenig Sinn, andere Betriebssysteme zu verbieten. Hat man die Möglichkeit zum abschalten drin, bekommt man die Zertifizierung genauso. Und bekommt quasi kostenlos noch ein paar Anwender mit anderen Betriebssystemen. (Das gilt ja auch für das allseits beliebte XP....)
Am ende wird es genauso laufen, wie auf den Androiden. Da hat Google auch nie irgendwelche Vorgaben gemacht.
Am ende sind es ein paar wenige HTC und Amazon Geräte, die man nicht ohne irgend welche hacks flashen kann.

[gehrke]

Mal ein kleines Szenario:
1. Mit Win8 führt Microsoft basierend auf seiner Marktmacht zwingend EFI ein. SecureBoot ist für die Intel-Plattform zwingend optional abschaltbar, damit es nicht gleich einen Aufstand gibt.
2. Mit Win10 erlaubt Microsoft, dass SecureBoot auf den Boards unabänderlich aktiv ist. Vermutlich wird es diverse Hersteller geben, die nicht zuletzt aus Kostengründen genau das auch tun werden.
3. Mit Win11 erzwingt Microsoft die ausschließliche Aktivierung von SecureBoot auf allen Boards.
4. Mit Win12 weigert sich Microsoft, Software von anderen Anbietern inkl. OpenSource mit seinem Schlüssel zu signieren. Mögliche Begründung: Freie Software ist unsicher.

Die ersten beiden Punkte sind schon Realität...

EDIT:
Wenn man sich dagegen adäquat wehren will, dann muss man wahrscheinlich erst mal wieder Herr im eigenen Haus werden und die Schlüsselhoheit wiedergewinnen. Vielleicht so:
http://blog.hansenpartnership.com/ownin ... -platform/

[Inkodiktus]

wanne: bei mir ist das Secureboot nicht abschaltbar!
Und ich habe auch schon etwas älteren Laptop.
kannst du mir da mit deinen Hacks helfen?

ansonsten stimme ich gehrke zu 100 % zu!
Ich wundere mich eigentlich, warum das erst jetzt gemacht wird.
Hat er jetzt genug Macht um die Hersteller anzupissen?

Freie Software ist unsicher.

Irgendwie hat er auch recht. Würde keiner wissen, was das Programm macht, würde es weniger Bugs geben

[gehrke]

wanne: bei mir ist das Secureboot nicht abschaltbar!
Und ich habe auch schon etwas älteren Laptop.

Das ist - heute noch - eher ungewöhnlich. Was hast Du denn für ein Board? Oftmals denken sich die Hersteller alternative Bezeichnungen aus, um möglichst viel Verwirrung zu stiften. Vielleicht heißt das bei Dir einfach nur anders?!?

[tomi89]

Der Jessie Kernel soll vom Ubuntu Team weitergepflegt werden, dann kann Debian zukünftig gleich standardmäßig einen vom Ubuntu Team gepflegten Kernel nutzen.

Oder Ubuntu stiftet besser eine Signatur, immerhin basiert es auf Debian.

Oder die Nutzer müssen eben spenden; kostet ja nicht die Welt.

Es sieht eher nach einer Bearbeitungsgebühr aus als das Microsoft etwas verdienen möchte.

[schwedenmann]

Hallo

Würde keiner wissen, was das Programm macht, würde es weniger Bugs geben

Es weiß ja keiner wie das Programm funktioneirt, selbst die Entwickler oder Maintainer wisen das nicht, jedenfalls bei großen Projekten
Deswegen ist Open-source perse genauso unsicher, oder sicher wie closed source.

mfg
schwedenmann

[gehrke]

Ich möchte das bisherige Feedback hierzu nun noch einmal auf den Punkt zu bringen.

Wenn ich das richtig verstanden habe, dann gibt es weder in debian 7 noch in 8 RC2 einen Support für SecureBoot.

Den Usern wird nahegelegt, Hardware zu verwenden, bei der SecureBoot abschaltbar ist und genau dieses dann auch zu tun.
Alternativ soll er selbst mit dem Zertifikat anderer Linux-Distributionen den Bootcode von debian signieren, sonst lässt debian sich in einem solchen Kontext weder installieren noch betreiben.

Habe ich das richtig verstanden?
TNX

[Emess]

Hab mir gerade bei Überlesen gedacht wie hoch der Anteil der Linuxserver im Internet ist?
ich dachte immer der wäre ziemlich hoch. Wenn das der Fall ist, wäre dann nicht bald das Internet tot.
Oder hat zwischenzeitlich auch auf diesem Sektor MS alles infiltriert?

[schwedenmann]

Hallo

@Emess

Hab mir gerade bei Überlesen gedacht wie hoch der Anteil der Linuxserver im Internet ist?

Das aber keine Soho Boards für Normalpc, sonden extra Serverboards, die man in Racks packen kann, meist mit mehreren CPU bestückt.

Das ist eine ganz andere Liga, als die Desktop-PC.

Abe rdas Thema wird eh nicht so heiß gegessen, wie es heir den Anschein hat.
Also mal alle cool und locker bleiben

mfg
schwedenmann

[Inkodiktus]

ich dachte immer der wäre ziemlich hoch. Wenn das der Fall ist, wäre dann nicht bald das Internet tot.

Tja, dann werden eben schnell Win Server installiert, wo liegt da das Problem?

Ah und eigentlich gehört dieses Thema doch schon zum Smalltalk, ne, meine Freunde

Ansonsten wird man sehen, was die Zukunft bringt.

[wanne]

Hab mir gerade bei Überlesen gedacht wie hoch der Anteil der Linuxserver im Internet ist?
ich dachte immer der wäre ziemlich hoch. Wenn das der Fall ist, wäre dann nicht bald das Internet tot.

Vor allem ist da der anteil an selbstgebauten Kerneln richtig hoch. Deswegen wird garantiert keiner (oder fast keiner – egal wie schwachsinnig einer hat die Idee immer...) Serverboards verkaufen, bei denen man SecureBoot nicht abschalten kann. Auf Desktops könnte das anders aussehen. Aber auch da halte ich die Gefahr für relativ gering. Die EFIs sind eh schon mit Grafik und pipapo. Da noch ein abschalter einzubauen. (Bzw. nicht auszubauen. Im Moment ist ja eh alles mit abschalter.) Kostet nichts und erfreut vielleicht den ein oder anderen Kunden. Ich meine auf den Boards sind ja meist sogar massenhaft Anschlüsse die kaum jemand nutzt weil man die billig noch drauf klatschen kann. Glaube zumindest auf Desktops echt nicht, dass das zum Massenphänomen wird. Auf irgendwelchen Tablets oder Ähnlichem sieht das anders aus. Da schmeißen die ihre Gebrändete Software drauf und vergeben gar keine Admin Rechte mehr oder so.