Gut, dass Opas Hammer noch >100 Jahre ohne Zertifikat funktioniert. Wie ich in der PC-Welt las, laufen einige Boot-Zertifikate ab. Ob dann noch alle Maschinen mit PC-Steuerung und verschlüsselter Festplatte so einfach starten? Wahrscheinlich schlummert das Böse im Detail. Ein Thinkpad wollte jetzt schon ein Update.
Angehängte Dateien:
-
Werkzeug_braucht_Zertifikat.jpg
220 KB -
lenovo_update.jpg
41 KB
:
Bearbeitet durch User
Lu schrieb: > Wie ich in der PC-Welt las, laufen einige Boot-Zertifikate ab. Ob dann > noch alle Maschinen mit PC-Steuerung und verschlüsselter Festplatte so > einfach starten? Wahrscheinlich schlummert das Böse im Detail. Ein > Thinkpad wollte jetzt schon ein Update. Nun ja, das Thema wird ja auch erst seit mehr als einem Jahr in sämtliche Medien und Gazetten rauf und runter diskutiert. Du bist da doch etwas spät dran. Oliver
Es sollte eigentlich jeder wissen, dass nicht ablaufende Zertifikate geschaeftsschaedigend sind.
Alle, die jetzt jammern wegen ablaufender Zertifikate, muessen sich durchaus fragen lassen, wieviel Dummbrot sie seit Jahren schon essen.
Lu schrieb: > Gut, dass Opas Hammer noch >100 Jahre ohne Zertifikat funktioniert. Mit wievielen MBit/s ist dein Hammer denn am Netz, welches Betriebssystem nutzt er, welche Malware ist dafür im Umlauf und welche persönlichen Daten speicherst du so darauf, wenn du ihn in diesem Kontext anbringst?
Hammer-Frage! Scheinbar hast Du nur einen PC, der wertlos ist. Bisher hatte ich mit zahlreichen PCs zu tun, die Messgeräte für 100k€ und Maschinen in ähnlichen Werten steuerten. Wenn ich an deren Zukunft denke und wenn es nur im Museum ist, dann sollte man jetzt nachdenklich werden, wie schnell-verderblich unsere neue Technik ist! Der Beitrag sollte eigentlich nur ein Weckruf sein, um später nicht mit leeren Händen dazustehen.
Na ja, man muss irgendwie die Teile zum verschrotten bringen können. Auch wenn der User das nicht will. Mein ICD3 hat bisher schön getan. Windows update, jetzt meint Windows der Treiber sei nicht gut, soll irgendwie jetzt stinken. Man kann natürlich per Hand nicht übersteuern. Also dann, ChatGPT gefragt, er meinte ich soll auf eine Partition runtertauchen und da einen oder mehrere Policy files finden und löschen. Und auch mal das in den Windows Ordner. Na ja, man darf ja dem AI nicht alles glauben, Windows Ordner war zu viel, danach kein Boot mehr. Zum Glück lösche ich Files nie, sondern bewege nur. Aber das geheime Laufwerk war ein treffer. Da 3 files gelöscht, und siehe da ICD3 tut wieder. Wird erkannt und Mplab 8 freut sich. Ehrlich gesagt, so langsam macht das ganze IT scheiß und Embedded immer weniger Spaß so. Es gibt etwas was funktioniert, dann bitte nicht mit Absicht obsolete machen damit man etwas neues kaufen muss, was dann langsamer ist. Ich meine ich würde schon gerne neue uC-s oder Debuggers kaufen wenn die auch schneller sind.
Lu schrieb: > Bisher hatte ich mit zahlreichen PCs zu tun, die Messgeräte für 100k€ > und Maschinen in ähnlichen Werten steuerten. Wer auf solchen PCs Secure Boot oder gar Bitlocker einsetzt, hat kein Mitleid verdient. Und wer mit solchen PCs „zu tun“ hat, und von dem Problem heute in einer PC-irgendwas-Postille das erste Mal was hört, hat mit dem Thema eh nichts zu tun. Oliver
Lu schrieb: > Der Beitrag > sollte eigentlich nur ein Weckruf sein, um später nicht mit leeren > Händen dazustehen. Ich stehe nicht mit leeren Händen da, weil ich mich seitens des OS nicht derart abhängig gemacht habe. Aber ich verstehe deine Intention – ich wollte auch nur darauf hingewiesen haben, dass der Hammer-Vergleich von mir als bescheuert wahrgenommen worden ist.
Dieter D. schrieb: > Es sollte eigentlich jeder wissen, dass nicht ablaufende Zertifikate > geschaeftsschaedigend sind. genauso wie eine Waschmaschine ohne Netzwerkfähigkeit ein Firmware-Update benötigt. Also manchmal sind Be-We-Eller aber mal richtig auf Zack.
Danke für den Weckruf, das ist ja eine spannende Angelegenheit, z.B.: Wer auf seinem Dual Boot PC das Update von Linux aus macht, verliert wahrscheinlich Bitlocker-verschlüsselte Partitionen:
1 | Also note that if you have a dual boot system with Microsoft Windows |
2 | using a TPM unlocked Bitlocker (ie automagically) then that is tied |
3 | to the secure boot measurements, and thus will change when the keys |
4 | used also change. Microsoft Windows supposedly can handle the new |
5 | key / measurements expected… but only if it updates the secure boot |
6 | keys itself, and thus updates the expected measurements to unlock |
7 | the Bitlocker encryption. |
8 | |
9 | I suspect this will be a “fun” transition for any systems not on the |
10 | happy path of very recent hardware, active BIOS updates / vendor, |
11 | single OS boot, update managed by that OS vendor. And anyone with |
12 | TPM / secure boot secured encrypted disks would be wise to have |
13 | good backups (of the recovery keys and disk contents). |
Gibt es überhaupt Firmware Updates für alte Mainboards? Die meisten Hersteller werden froh sein, dass die Leute neue Boards brauchen. Und einer hat dafür eine gute Ausrede :)
1 | Hughes pointed out that at least one manufacturer has lost access to |
2 | the private part of its platform key (PK), which is a vendor-specific |
3 | key burned into the hardware when it is made. That means the platform |
4 | keys in the hardware need to be changed, which is uncharted water and |
5 | "a terrible idea from an attestation point of view". In addition, as |
6 | Gerd Hoffman pointed out, the KEK update process is new as well: |
7 | "a KEK update has never happened before so there are chances that |
8 | bios vendors messed up things and updating the KEK doesn't work". |
https://lwn.net/Articles/1029767/
Da gabs auch hier schon einige Threads dazu. Man kann sich aber schon fragen warum man hier die Zertifikate nicht unbegrenzt oder bis zum 1.1.9999 oder so ausstellt. Austauschen oder Entfernen kann man sie ja trotzdem noch, sollte mal was passieren, oder auch schon vorher. Also wozu soll das gut sein, dass das System irgendwann plötzlich nicht mehr starten kann?
Daniel A. schrieb: > Also wozu soll das gut sein, dass das System > irgendwann plötzlich nicht mehr starten kann? Das richtet sich an die Leute, die dann in Panik verfallen und neues kaufen. anders kannste unser alternativloses System ja nicht mehr am Leben erhalten
Bauform B. schrieb: > And anyone with > TPM / secure boot secured encrypted disks would be wise to have > good backups *(of the recovery keys and disk contents)*. .● Des|ntegrator ●. schrieb: > Das richtet sich an die Leute, > die dann in Panik verfallen und neues kaufen. Neues Blech kaufen geht einfach und was ist mit den wertvollen, alten, schön verschlüsselten Daten von Deiner Platte? Hochzeitsbilder, Messwerte, Briefe Finanzamt,...
Boote und Grösser, werden vom "Lloyd's Register" zertifiziert! Und da der Rost an allem nagt, muss das regelmässig erneuert werden.
Sogar beim uralten Notebook kam, nachdem ich im Thread von Oktober 2025 zur Sau gemacht wurde, aber die dort von einem netten Forenmitglied gezeigten Schritte manuell durchgezogen hatte, in Ereignisanzeige Meldung 1808. "...Protokollname: System Quelle: Microsoft-Windows-TPM-WMI Datum: 01.06.2026 16:07:14 Ereignis-ID: 1808 Aufgabenkategorie:Keine Ebene: Informationen Dieses Gerät hat die Zertifizierungsstelle/Schlüssel für den sicheren Start aktualisiert. Diese Gerätesignaturinformationen sind hier enthalten..... ....BucketConfidenceLevel: High Confidence UpdateType: Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager (2023)..." Wer noch ältere HW benutzt, sollte - und das ist der Notausstieg - Secure Boot disablen. Dann bekommt er aber auch keine diesbezüglichen Extra-Rollouts von Win Update mehr. Die BIOS-Updates würde ich nicht machen, bevor ich nicht wüsste, dass da nichts schief gehen kann. Das Datum wurde von Juli auch wieder postponed auf Oktober. Panikmache ist nicht nötig. Man sollte nur den Systemadmins mal auf die Füße treten, die bislang für Ausfälle und kilometerlange Staus am Ticketschalter verantwortlich zeichnen, weil sie in der Vergangenheit offenbar solche Sachen auf die allzu leichte Schulter genommen hatten. .● Des|ntegrator ●. schrieb: > Daniel A. schrieb: >> Also wozu soll das gut sein, dass das System >> irgendwann plötzlich nicht mehr starten kann? > > Das richtet sich an die Leute, > die dann in Panik verfallen und neues kaufen. Wenn Secure Boot disabled ist, heißt das nicht, dass das System sich überhaupt nicht mehr starten lässt. Soweit wird MS wohl nicht gehen, einfach abrupt den Stecker ziehen. Kann mir nur vorstellen, dass evtl. neuere Programme und Apps. dann nicht mehr installiert werden können. ciao gustav
:
Bearbeitet durch User
Karl B. schrieb: > Das Datum wurde von Juli auch wieder postponed auf Oktober. Wie würde man denn auf uralte ablaufende Zertifikate zugreifen und deren Ende hinauszögern, und auch: wenn man das könnte, warum verzögert man dann nicht bis 2039? Karl B. schrieb: > Kann mir nur vorstellen, dass evtl. neuere Programme und Apps. dann > nicht mehr installiert werden können. Wenn der Rechner so alt ist, das es keine Möglichkeit mehr gibt neue Zertifikate einzuspielen, dann will und kann man keine Software mehr laufen lassen die Secureboot voraussetzt.
Karl B. schrieb: > Wenn Secure Boot disabled ist, heißt das nicht, dass das System sich > überhaupt nicht mehr starten lässt. Wenn das Gerät mit Bitlocker verschlüsselt wurde, was auf eigentlich alle aktuellen Installationen zutrifft, wird das System in der Tat nicht mehr starten, wenn Secure Boot deaktiviert wird.
Jack V. schrieb: > was auf eigentlich > alle aktuellen Installationen zutrifft Dafür sehe ich aber jeden Tag viele vorinstallierte Rechner, die zwar Secureboot aktiv haben, aber keinen Bitlocker. Und ich rede von Dell und Lenovo und "die Person hat das Siegel gebrochen und dann ja und weiter geklickt", also nix aus irgendwelchen überbezahlten IT-Abteilungen. Aber jemand, der SB abschalten kann, kann auch BL vorher deaktivieren. Wenn das überhaupt erforderlich wäre, denn BL und SB erfordern ja eigentlich aktuelle Hardware, die ja auch noch Updates bekommt. Das Problem ist also nichtexistent.
:
Bearbeitet durch User
Jens M. schrieb: > Aber jemand, der SB abschalten kann, kann auch BL vorher deaktivieren. Nicht, nachdem das Zertifikat abgelaufen ist. Wobei – wie ich Microslop kenne, wird’s dann reichen, das Datum im Firmware-Setup zurückzusetzen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.