Hallo, aktuell fehlt mir der Überblick beim Thema Secure Boot unter Ubuntu. Habt Ihre einen Tipp für mich, wo ich mich hier am besten einlesen kann? Mir geht es im ersten Schritt um ein grundlegende Verständnis. Ein Beispiel, aktuell ist mir nicht klar, wie ich mir anzeigen lassen kann welcher PK (Platform Key), KEK (Key Exchange Key) oder MOK (Machine Owner Key) auf einem System vorhanden ist. Auch der Zusammenhang bzw. die Abhängigkeiten zwischen diesen Schlüsseln ist mir nicht ganz verständlich. Ein weiteres Beispiel, unter https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot steht: "Typischerweise ist der Besitzer des PK der "Platform-Owner"." Hier stellt sich mir die Frage, wer ist der "Platform-Owner"? Der Hersteller das Mainboards oder ich als Anwender. Ihr seht schon, ich muss hier noch einige Wissenslücken schließen. Mit freundlichen Grüßen Guido
https://wiki.ubuntu.com/UEFI/SecureBoot https://www.embedded-software-engineering.de/linux-secure-boot-in-der-praxis-a-689885/
Guido C. schrieb: > Ein Beispiel, aktuell ist mir nicht klar, wie ich mir anzeigen lassen > kann welcher PK (Platform Key), KEK (Key Exchange Key) oder MOK (Machine > Owner Key) auf einem System vorhanden ist. Ich verwende dafür efi-readvar aus dem efitools Paket. > Auch der Zusammenhang bzw. > die Abhängigkeiten zwischen diesen Schlüsseln ist mir nicht ganz > verständlich. PK, KEK, DB. Um den PK key zu ändern braucht man den PK key. Um was an den KEK keys zu ändern, brauchst du den PK key. Um was an den DB keys zu ändern einen KEK key. (Ob man mit einem KEK key KEK keys verändern kann weiss ich nicht.). Mit den DB keys signiert man die EFI files, welche man mit der EFI Firmware beim Boot startet. Ob die EFI Firmware da auch die MOK keys akzeptiert, weiss ich nicht. Jedenfalls können Bootloader wie z.B. grub mit denen umgehen und diese modifizieren. Beim Laden des Kernel durch Grub gehen also sowohl Keys im DB als auch im MOK. Dann gibt es noch dbx, das ist alles, was blockiert wird. Alte schon signierte Bootloader Binaries z.B. Guido C. schrieb: > "Typischerweise ist der Besitzer des PK der "Platform-Owner"." Hier > stellt sich mir die Frage, wer ist der "Platform-Owner"? Der Hersteller > das Mainboards oder ich als Anwender. Normalerweise der Hersteller. Die wenigsten fassen abgesehen vom MOK da irgendwas an. Eventuell machen es auch noch manche Firmen bei ihren Systemen. Bei meinem PC hab ich aber, bei PK, KEK und DB, ein eigenes Zertifikat rein getan. Ist ja schliesslich auch mein PC ;3 In KEK und DB hab ich noch eins von HP gelassen. Ich weiss ja nicht, ob irgendwelche EFI Firmware Anwendungen oder Firmware Updates dieses benötigen. (Und ja, die Firmware Updates gehen noch). MS Zertifikate hab ich raus genommen, aber daran denken, grub ist in der Regel damit signiert, muss man dann auch selbst signieren. Was ich nicht weiss, ist, wo die Zertifikate, mit denen Linux Distributoren ihre Kernels signieren, abgelegt sind.
Das beste an "Secure Boot": Man kann es völlig gefahrlos abschalten.
Harald K. schrieb: > Das beste an "Secure Boot": Man kann es völlig gefahrlos > abschalten. https://www.rodsbooks.com/efi-bootloaders/principles.html
Angehängte Dateien:
-
Secure.png
120 KB
Soll das irgendwas mit meiner Aussage zu tun haben? Falls ja, warum hast Du nicht https://www.rodsbooks.com/efi-bootloaders/secureboot.html verlinkt? (von dort stammt das Bild, man beachte, worum es doch recht oft geht ...)
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.