[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Installations-Handbuch - UEFI Secure boot

Hallo Zusammen,

Helge Kreutzmann <debian@helgefjell.de> schrieb am 25. Dezember 2021 

> > In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
> > beschrieben. Dieser Artikel <cid:part1.BF0F4AA2.F3F0F13F@web.de>
> > stellt das meiner Einschätzung nach in Zweifel, zumindest wenn es
> > sich um *aktuelle EFI Firmware* handelt.
 
> Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
> (Lokal oder im Web (mit URL))?

mit dem cid-Verweis kann ich nichts anfangen, aber das
Installationshandbuch ist etwas Vertrautes und unter

  https://www.debian.org/releases/stable/i386/ch03s06.en.html
  https://www.debian.org/releases/stable/i386/ch03s06.de.html

online. Die Übersetzungen sind von Holger Wansing und an dem Abschnitt
3.6.4 finde ich keine Schwachstelle. Es ist einfach so, dass im
englischen Original auch nichts genaueres steht; man sich obendrein
ausmalen kann, wo der Hase im Pfeffer liegt. Nämlich, dass freie
Softwareentwickler Lösungen für Probleme finden müssen, die im
Überschneidungsbereich mit kommerziell entwickelter Software kreiert
werden.


> Deiner Beschreibung nach könnte es sein, dass Dein Bericht weniger
> die Übersetzung betrifft, als das eingentliche englische Original.

Das ist bei 3.6.4. der Fall. Das heißt, Thomas Müller müsste irgendwie
dokumentieren, was in welchem Kontext nicht funktioniert. Vielleicht
ist der Kontext so speziell, dass man in einem Installationshandbuch
nicht darauf eingehen kann. Die besten Stellen, hier weiterzukommen,
sind vielleicht die deutsche Benutzer-Mailingliste von Debian oder
eine beliebige IRC-Chatgruppe zu Linux.

Unten Original und Übersetzung des angesprochenen
Anleitungsabschnittes

Viele Grüße
Markus

---------------------------------------------------------------------

3.6.4. Secure boot

Another UEFI-related topic is the so-called "secure boot"
mechanism. Secure boot means a function of UEFI implementations that
allows the firmware to only load and execute code that is
cryptographically signed with certain keys and thereby blocking any
(potentially malicious) boot code that is unsigned or signed with
unknown keys. In practice the only key accepted by default on most
UEFI systems with secure boot is a key from Microsoft used for signing
the Windows bootloader. Debian includes a "shim" bootloader signed by
Microsoft, so should work correctly on systems with secure boot
enabled.

3.6.4. Secure Boot

Ein anderes Problem mit Bezug zu UEFI ist der sogenannte #Secure
Boot"-Mechanismus. Secure Boot ist eine Funktion in
UEFI-Implementationen, die es der Firmware nur erlaubt, Code zu laden
und auszuführen, wenn dieser kryptografisch mit bestimmten Schlüsseln
signiert ist; so wird jeglicher (möglicherweise bösartiger) Boot-Code,
der nicht oder mit unbekannten Schlüsseln signiert ist, blockiert. In
der Praxis ist der einzige Schlüssel, der auf den meisten
UEFI-Systemen mit Secure Boot standardmäßig akzeptiert wird, ein
Schlüssel von Microsoft, der genutzt wird, um den Windows-Bootloader
zu signieren. Debian enthält einen von Microsoft signierten
#shim"-Bootloader, daher sollte es auf Systemen mit aktiviertem Secure
Boot korrekt funktionieren.
Reply to: