Welche Linux Distributionen unterstützen UEFI Secure Boot?
5 Antworten
Hallo TotalConquest,
fast alle gängingen GNU/Linux-Distributionen unterstützen inzwischen Secure Boot:
Debian GNU/Linux und viele der darauf aufbauenden Distributionen (z.B. Ubuntu und seine Flavours; das Ubuntu-Derivat Linux Mint); Fedora, dessen Spins, das auf Fedora basierende Red Hat Linux Enterprise und seine Derivate (CentOS, Scientific Linux); openSUSE, Suse Linux Enterprise; Arch Linux und seine Derivate (z.B. Antergos)...
Im Prinzip muß der Bootloader via Zertifikat signiert sein. Shim (der Name ist Programm) ist ein solcher - Ich müßte jetzt nochmal schauen, wie Shim die Trustchain erhält, oder ob er diese aufbricht, indem er letztlich beliebige andere Bootloader nachzieht.
Aber, jede halbwegs gescheite UEFI-Firmware bietet einem an eigene Schlüssel/Certs zu hinterlegen. Damit sollte dann im Prinzip alles nach belieben bootbar sein.
Was soll dabei riskant sein?
Ist dein Heim-PC denn so eine Sicherheitsrelevante Peripherie?
Noch vor wenigen Jahren gab es den Secureboot gar nicht und keiner hat deshalb schlecht schlafen müssen.
Auch Bankrechner/Server laufen heute oftmals mit Linux. Was meinst du wie dort das Problem mit dem Secureboot gehandhabt wird?
Alle modernen Distributionen unterstützen heute den Secureboot. Vorausgesetzt man lässt ein anderes Betriebssystem als Windows im UEFI den Schlüssel signieren.
- ubuntu... das Kommerz-Dingsy... LOL https://wiki.ubuntu.com/UEFI/SecureBoot
- debian aba auch: https://wiki.debian.org/SecureBoot
- archlinux: https://wiki.archlinux.org/index.php/Secure_Boot#Secure_Boot_status
- scheinbar geht es da nur um einen Bootloader, der n Certificat braucht...
Okay danke.
Hab im Internet auch irgendwas über ein Zertifikat der Bootloader (im Artikel sind GRUB und Shim vorgekommen) gelesen, welche von Microsoft zertifiziert werden müssen. Dieses Zertifikat, ist zumindest im Artikel so gestanden, war eigentlich nur für UEFI-Treiber, wurde aber auf Bootloader ausgeweitet.
Im Artikel wurde aber nicht genannt welche Distributionen von Microsoft für UEFI Secure Boot zertifiziert wurden, deswegen die Frage.
PS: Welche Ausbildung machst du denn, weil unter „Woher ich das weiß:“ Studium/Ausbildung steht? Ich gehe auf eine Schule (HTL) wo man eine Ausbildung zu einem Informatiker bekommt
- naja... da gibt es wohl verschiedene Zertifikats-Ebenen... die komplizierteste ist wohl die mit Microsoft... darunter gibt es dann auch Zertifikate für aktuelle UEFI Module und wohl auch für den Kernel, sonst wär es ja sinnlos... LOL
- ich bin Dipl.-Inf. und es war n Universitäts-Studium... also von ganz früher... aus den 1990ern... *grins*
- Klingt logisch
- Okay, dann kennst du dich ja ziemlich gut aus
naja... ich weiß noch, dass diese übliche Kryptographie ohne Beweis daherkommt... es kann also sein, dass es eigentlich ganz leicht ist, die Verschlüsselung unwirksam zu machen... z. B. ist nicht bewiesen, dass die Primfaktorzerlegung wirklich viel Zeit braucht...
Ich tu es immer ausschalten , dann geht jede Distribution drauf.
Ich befürchte das ich dir leider nicht weiterhelfen kann. Auf meinen Systemen kommt kein Secureboot zum Einsatz und wo es im BIOS möglich ist verwende ich den Legacymode ohne UEFI. Die einzige Sicherheit die diese Mechanismen bringen ist das es mit ziemlicher Sicherheit Probleme bei der Installation von Betriebssystemen gibt die nicht von Microsoft kommen. Eigentlich sollte man als Linuxuser grundsätzlich schon von der Idee her ein Problem mit solchen Technologien haben.
Selbst einen Schlüssel zu signieren ist mir dann aber trotzdem zu riskant