Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
25.10.2020, 03:27:28

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 24683
  • Letzte: xenior
Statistiken
  • Beiträge insgesamt: 690499
  • Themen insgesamt: 55894
  • Heute online: 507
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online
Mitglieder: 2
Gäste: 293
Gesamt: 295

Autor Thema:  UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??  (Gelesen 7861 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Hallo,
jetzt ärgere ich mich schon seit über 4 Wochen immer wieder mit dem Linux Mint/Ubuntu-Setup auf einem 299,- Eur-Notebook von Aldi/Medion, Type: Multitouch-Notebook E1232T (MD99410),  mit vorinstalliertem Win 8.1, rum. Habe unzählige Kernel-Boot-Parameter-Kombinationen ausprobiert und festgestellt dass Grub, bzw der Kernel, bzw bestimmte IROs an bestimmten Stellen durch die Secure-Boot-Mechanik geblockt werden!!

An Hand dieser Anleitung http://www.rodsbooks.com/refind/secureboot.html  bin ich jetzt soweit dass ich im NVRAM des Notebooks meine eigenen Moks (Machine Owner Keys) ablegen kann. Mit  meinen eigenen Moks startet jetzt mein Live-USB-Stick  mit dem Bootmanager reFInd (ohne Grub2) zuverlässig. So konnte ich Linux Mint und Ubuntu vom Live-USB-Stick auf andere USB-Sticks (jeweils Scandisk Ultra USB 3.0)  installieren..

Bei der Installation vom Live-USB-Stick auf externe Festplatte, Fabr. Touch-Drive (älteres Modell) stürzt das Setup-Programm ab!!

Kennt jemand eine Lösung? Wer weiß welche Module/Kernel/Treiber/Binarys.. mit welchen Zertifikaten signiert sind?

Grub2 wird über shimx64.efi  (als "Fallback-Loader" mit dem Namen "Bootx64.efi" ) gestartet.   shimx64.efi prüft ob die Signatur von GRub/Kernel/Modulen.. im NVRAM vorhanden ist. Wenn nicht wird geblocket.. MokManager.efi ist dafür zuständig die Signaturen in den NVRAM zu "enrollen"..

Hat sich schon mal jemand damit beschäftigt, z.B. mit dem hier: http://mjg59.dreamwidth.org/20303.html?thread=798799
Kann mir jemend Tipps geben?

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #1 am: 02.09.2014, 10:39:38 »
Secureboot abschalten, da kann Mint nicht mit umgehen.

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #2 am: 23.01.2015, 15:51:45 »
ich weiß jetzt wie es geht.. siehe anhang

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #3 am: 26.01.2015, 20:08:40 »
Hallo 0x00ff00!

Zitat
ich weiß jetzt wie es geht.. siehe anhang

Super daß Du weißt wie es geht, aber ich werde daraus nicht schlau. Sei doch bitte so gut und erkläre es ein wenig mehr wie es geht.
Ich nehme an, im Anhang sind Screenshots vom 'BIOS' zu sehen. Wie kommst Du dann an die richtigen Keys?

Glück auf!

Rorohiko

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #4 am: 27.01.2015, 01:58:21 »
Zitat
Wie kommst Du dann an die richtigen Keys??

Es geht auch ohne die Keys von Microsoft.. die auf allen neuen Computern mit Win8 fest vorinstalliert sind..

Es gibt auch "Machine Owner Key's"  (MoK).  das sind einfache hashwerte die mit dem programm "hashtool.efi" vom bootloader und vom kernel erstellt werden und in das NVRAM eingetragen werden.

google: Hashtool.efi  PreLoader.efi

oder hier:
http://www.google.de/url?q=http://www.linuxtag.org/2013/fileadmin/www.linuxtag.org/slides/Dr._Udo_Seidel_-_UEFI_Secure_Boot__The_story_behind_and_where_Linux_stands.e343.pdf&sa=U&ei=0uHGVN6qHIH3UObTgbgD&ved=0CEoQFjAI&usg=AFQjCNFkzS_BNimcqBzqFRsS7AWxXuc-aA
http://www.pro-linux.de/news/1/19434/zwei-wege-zu-uefi-secure-boot-mit-linux.html
http://blog.hansenpartnership.com/linux-foundation-secure-boot-system-released/
« Letzte Änderung: 27.01.2015, 02:10:08 von 0x00ff00 »

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #5 am: 27.01.2015, 03:59:25 »
Hallo 0x00ff00!!

Zunächst mal vielen Dank für die Infos; nach dem Studium dieser stehe ich immer noch total auf dem Schlauch. Die Theorie ist klar, man ersetzt die Keys die MS vorgegeben hat durch neue, die man selbst erstellt.
Wie genau bist Du vorgegangen?

Ich habe Linux Mint 17.1 installieren wollen und dafür 'Secure Boot Control' auf 'Disable' und 'Secure Boot Mode' auf 'Custom'  eingestellt. Doch erstens dauert das Booten sehr lang und zweitens läßt sich offensichtlich nichts auf die Festplatte schreiben. Nun benötige ich eine Beschreibung, wie die Einstellungen im UEFI sein müssen und die Keys zu implementieren sind, um dann Linux Mint zu installieren.

Ich danke im Voraus.

Glück auf!

Rorohiko

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #6 am: 27.01.2015, 11:49:11 »
Wenn du SecureBoot komplett abschaltest, dann brauchst du keine Keys.

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #7 am: 27.01.2015, 13:08:37 »
Zitat
Wenn du SecureBoot komplett abschaltest, dann brauchst du keine Keys.

bei rechnern ohne legacy-bios-boot-modus kann man SecureBoot nicht komplett abschlaten.
denn diese rechner booten grundsätzlich nur im UEFI-Modus.
 
man kann/muss beim Unified Extensible Firmware Interface (UEFI)
http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
nur den SETUP-MODUS einschalten.

Im Setupmodus kann man dem NVRAM eigene bootloader und kernel als "trusted" hinzufügen.
wenn das bootmenü des  Unified Extensible Firmware Interface keine Option zum
hinzufügen eigener bootloader und kernel hat braucht man ein spezielles programm von der Linux Foundation.

das spezielle programm heißt "hashtool.efi".
https://www.bitblokes.de/2013/02/linux-foundation-secure-boot-system-ist-veroffentlicht/
hashtool.efi wird mit PreLoader.efi geladen..

um hashtool.efi und PreLoader.efi zu laden muss man die zm bootfähigen USB-Stick hinzufügen und in das Bootmanagement
einbinden.. wie das geht steht hier...
http://www.rodsbooks.com/efi-bootloaders/secureboot.html
 

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #8 am: 27.01.2015, 14:02:22 »
Techniken und Möglichkeiten
Ablauf eines Systemstarts mit EFI

http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
Die EFI-Schnittstelle soll (angeblich) die Nachteile des BIOS beseitigen und neue Möglichkeiten eröffnen. Dazu gehören laut EFI-Spezifikationen:

    Einfache Erweiterbarkeit (z. B. für Digital Rights Management)
    Eingebettetes Netzwerkmodul (zur Fernwartung)
    Preboot Execution Environment (universelles Netzwerkbootsystem)
    Unterstützung für hochauflösende Grafikkarten schon beim Start des Computers
    BIOS-Emulation (für Kompatibilität zu alten Betriebssystemen die UEFI nicht unterstützen und zu manch alter Firmware) durch ein „Compatibility Support Module“ (CSM)[4]
    eine Shell, über die beispielsweise EFI-Applikationen (*.efi) aufgerufen werden können
    Treiber können als Modul in das EFI integriert werden, so dass sie nicht mehr vom Betriebssystem geladen werden müssen. Damit sind, wie bei Open Firmware, systemunabhängige Treiber möglich.
    Das System kann in einem Sandbox-Modus betrieben werden, bei dem Netzwerk- und Speicherverwaltung auf der Firmware laufen anstatt auf dem Betriebssystem.
    Das EFI bietet eine Auswahlmöglichkeit für die auf dem System installierten Betriebssysteme und startet diese; damit sind (den Betriebssystemen vorgeschaltete) Boot-Loader überflüssig.
http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface

Das bedeutet:
1) der user/besitzer/eigentümer verliert die kontrolle über SEINEN PC
2) totale überwachung wird möglic
h...

denn der user/besitzer/eigentümer hat keine kontrolle mehr darüber ob ein in UEFI integrierter netzwerktreiber gerade seine Fingerabdrücke, Bankdaten, bilder, schriftstücke, sog. raubkopien.....  zwischendurch an microsoft oder die NSA meldet..

bisher war es so dass der user an der tastatur des rechners nicht eindeutig identifiziert (und verklagt) werden konnte...
das wird durch
1) UEFI mit eingebautem netzwerktreiber
2) "Fingerabdruckscanner",
3) automatische Gesichtserkennung aller auf dem rechner gespeicherten bilder (wie schon lange bei z.B. Google-Picasa)
4) automatische Gesichtserkennung bei WebCam's
5) automatische Gesichtserkennung bei selbst aufgenommenen, importierten Videos..
6) "Biometriedienst" in Windows 8
7) verschlüsselter "Microsoft Reserved Partition" bei vorinstalliertem Windows 8 http://en.wikipedia.org/wiki/Microsoft_Reserved_Partition
8.) automatische Erkennung von Stimmen  .... usw...
geändert.

in den USA stehen bereits über 1 Million Leute auf der NO-FLY-LIST.
Es gibt sogar Leute die auf der Terrorristenliste der USA stehen und im Knast sitzen weil sie bei Google als Suchbegriff "Kochtopf + Rucksack" eingegeben haben... (bei dem Anschlag in Bosten wurde ein Rucksack und ein Schnellkochtopf verwendet..)

Alles was in den USA geschied kommt früher oder  später nach Europa und Deutschland...


Peinlicher Fehler deckt die Unterwanderung von Windows (98) durch die NSA auf
Duncan Campbell 09.09.1999
Die Entdeckungen von Nicko van Someren und Andrew Fernandes.
Ein unbedachter Fehler von Microsoft-Programmierern hat offengelegt, dass spezielle Zugriffscodes, die von der US-amerikanischen National Security Agency präpariert worden waren, heimlich in das Windows-Betriebssystem eingebaut worden sind. Das Zugriffssystem der NSA wurde in jede Windows-Version eingebaut, die derzeit benutzt wird, abgesehen von frühen Ausgaben von Windows 95 und dessen Vorgängerversionen.
http://www.heise.de/tp/artikel/5/5274/1.html
usw...
http://www.heise.de/tp/artikel/5/5267/1.html
http://www.heise.de/newsticker/meldung/GCHQ-und-NSA-stecken-angeblich-hinter-ausgefeilter-Spyware-Regin-2463042.html

Google: China verbietet Windows 8

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #9 am: 27.01.2015, 14:20:11 »
Zitat
bei rechnern ohne legacy-bios-boot-modus kann man SecureBoot nicht komplett abschlaten.
Ich denke das wurde verboten, das es sich nicht abschalten lässt.

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #10 am: 27.01.2015, 15:48:04 »
Zitat
Ich denke das wurde verboten, das es sich nicht abschalten lässt.

An die Verbotsdiskussion, im Bundestag, im Eu-Parlament oder im amerikanischen Kongress/Abgeordnetenhaus...
kann ich mich garnicht erinnern.. haste da mal einen link?

Wer hat denn wo einen Gesetzesentwurf eingebracht?
Waren dass Grünen, die CSU doe AFD oder Die Linke..... ??

Wo wurde das Gesetz verabschiedet? in China?

Steht das hier: http://www1.bgbl.de/ ?
oder hier : http://www.bundesanzeiger-verlag.de/bundesgesetzblatt.html ?

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #11 am: 27.01.2015, 15:50:15 »
Microsoft selber hatte das so verfügt, soweit ich mich entsinne.
Kein Gericht.
Zitat
Doch vor allem der Linux-Gemeinde ist eine spezielle Vorgabe in Bezug auf die mit UEFI 2.3.1 eingeführte Funktion Secure Boot ein Dorn im Auge: Einerseits ist positiv zu vermerken, dass Microsoft verlangt, dass Secure Boot bei x86-Computern abschaltbar sein muss.
Sprich es muss abschaltbar sein.
Bei Arm Prozessoren sieht es dann anders aus.
Zitat
Andererseits wiederum dürfen Windows-8-Systeme mit ARM-SoCs ausschließlich im Secure-Boot-Modus starten. Diese Vorgabe erzwingt den Einsatz von digital signierten Bootloadern, was wiederum den Start von Linux erschwert oder gar unmöglich macht.
« Letzte Änderung: 27.01.2015, 15:57:40 von DocHifi »

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #12 am: 27.01.2015, 16:21:16 »
@DocHifi
hast du auch einen link zu deiner quelle?
   
nochmal
Zitat
Linux Foundation Secure Boot System ist veröffentlicht
....
KeyTool.efi war ursprünglich Teil des komplett unterzeichneten Pakets. Während der Tests hat Microsoft herausgefunden, dass sich in einer der UEFI-Plattformen (angeblich) ein Bug befindet, womit sich der (Microsoft-) Plattform-Schlüssel entfernen lässt und somit das (Microsoft-)UEFI Sicherheits-System untergraben kann. Bis dieser Fehler behoben ist (man hat einen bestimmten Anbieter im Auge), wollte man KeyTool.efi nicht unterzeichnen. Wer es laufen lassen möchte, kann den Hash manuell authorisieren.
https://www.bitblokes.de/2013/02/linux-foundation-secure-boot-system-ist-veroffentlicht/

Bei dem UEFI-Key-Management gibt es übrigens einen MASTER-Key, eine Serie abgestufter Unterschlüssel... und eine Liste der "verbotenen" Key's
Damit kann MS bestimmen welche Programme ausgeführt werden können/dürfen und welche Programme nicht mehr ausgeführt werden dürfen..

notepad++ funktionierte bei mir unter Win8.1 ohne erkennbaren Grund nicht mehr...!
Das lag mit Schicherheit nicht an notepad++

Wozu brauche ich einen Public-Key im NVRAM und mit Private-Key von Microsoft signierte Programme wenn ich mit Microsoft-Spyware nichts zu tun haben will??

Warum ist MS dagegen das ich mit KeyTool.efi den MS-Masterschlüssel, die MS-SubKey's und ggf. die Liste der "verbotenen" Key's aus dem NVRAM MEINES Rechners lösche und durch MEINE eigenen Key's ersetze?

Zitat
Die EFI-Schnittstelle soll (angeblich) die Nachteile des BIOS beseitigen und neue Möglichkeiten eröffnen. Dazu gehören laut EFI-Spezifikationen:
    Einfache Erweiterbarkeit (z. B. für Digital Rights Management)
    Eingebettetes Netzwerkmodul (zur Fernwartung)

Das bedeutet z.B. dass über die UEFI-Firmeware festgestellt werden kann welche Programme installiert sind...
Außerdem kann die Liste der "verbotenen" Key's, bzw Programme über das Internet mal schnell auf den aktuellen Stand gebracht werden...

« Letzte Änderung: 27.01.2015, 16:33:39 von 0x00ff00 »

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #13 am: 27.01.2015, 16:27:46 »
Zitat
hast du auch einen link zu deiner quelle?

Jupp
http://www.heise.de/ct/meldung/Microsoft-erzwingt-auf-Windows-8-ARM-Geraeten-UEFI-Secure-Boot-1413109.html
Oder hier:
Zitat
Microsofts schreibt aber auch vor, dass UEFI Secure Boot über das Setup der UEFI-Firmware ausschaltbar sein muss – bei manchen Systemen ist es allerdings alles andere als offensichtlich, wie man das macht.

http://www.heise.de/ct/hotline/FAQ-UEFI-Secure-Boot-und-Linux-2056294.html

Re: UEFI-Seure-Boot - DIE Ursache aller Setup-Probleme??
« Antwort #14 am: 27.01.2015, 16:52:26 »
Anstatt im Bundesgesetzblatt zu lesen bringt eine einfache Suche im Internet viele Treffer zum Thema
Wahllos herausgegriffene Beispiele :
Zitat
Secure Boot ist nicht abschaltbar
Das ist falsch: Microsoft fordert in den Bedingungen für die Auslieferung eines PCs mit Windows 8 zwingend, dass Secure Boot abschaltbar ist, also we­nigstens UEFI-kompatible Systeme ohne Secure Boot Unterstützung (beispielsweise Windows 7 64 Bit) installiert werden können. Allerdings ist die Bezeichnung im Setup für den entspre­chenden Schalter nicht immer eindeutig: Meist ist er unter „Security“ zu finden, stellenweise heißt er aber „OS Support“: Die Aktivierung der Windows 7 Unterstützung schaltet hier Secure Boot ab.
http://www.pc-magazin.de/ratgeber/uefi-microsoft-secure-boot-legenden-fakten-windows-8-boot-mechanismus-1544437.html

http://answers.microsoft.com/de-de/windows/forum/windows8_1-windows_install/win81-secure-boot-deaktivieren/55733df1-3796-429c-b097-72ea36c5b90c

http://www.giga.de/downloads/windows-8/tipps/secure-boot-abschalten-im-bios-das-uefi-sicherheitsfeature-deaktivieren/

http://www.giga.de/downloads/windows-8/tipps/secure-boot-abschalten-im-bios-das-uefi-sicherheitsfeature-deaktivieren/

http://www.pcworld.com/article/242865/linux_foundation_secure_boot_need_not_be_a_problem.html

http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx :
Zitat
...In the screenshot below you will notice that we designed the firmware to allow the customer to disable secure boot. However, doing so comes at your own risk...
« Letzte Änderung: 27.01.2015, 17:07:34 von aexe »