Tina4d ago

#Linux #Firmware #framework #MicrosoftZertifikate

Habe gerade gelernt, dass Hardware-Hersteller (in meinem Fall Framework) die neuen Secure Boot Zertifikate einfach mit dem Firmware Update Tool an alle ausliefern, egal ob man ein Windows-System hat oder nicht. WTF?
Ich war etwas verdutzt, als ich das in den Discover Updates entdeckt habe. Musste erst mal Sohnemann fragen, warum ich den Micro-Shit überhaupt bekomme, weil Secure Boot ist bei mir (wie vmtl bei den meisten Linux Systemen) abgeschaltet.

Show threadStefan 'lerothas' D. 4d ago
@onlytina
Kam bei mir über Solus auch. War sehr erstaunt, aber auch erfreut, dass das funktioniert. Secure Boot ist zwar iwie unsinnig, aber trotzdem gut, wenn ich meinen PC "komplett" benutzen kann. 👍
Show threadthe white wolf 🏳️‍🌈🏳️‍⚧️4d ago

@lerothas @onlytina

Ich hatte gestern auch ein UEFI Update meines Mini Linux PCs gemacht und anscheinend wurde in der neuen UEFI Version seitens Gigabyte auch etwas am Secure Boot geschraubt.
Secure Boot war nämlich plötzlich aktiviert und verhinderte das Booten meines Arch Linux.
Nach Deaktivieren von Secure Boot tut's mein Arch Linux wieder, aber einen Schreckmoment hatte ich schon.

Show threadTina4d ago
@the_white_wolf jepp, genau darauf hab ich eben keine Lust, mein System ist super frisch aufgesetzt und alles funktioniert wie es soll. Man muss echt immer noch als Nicht-Windows Nutzer höllisch aufpassen, dass einem dieser Microsoft-Shit nicht einfach untergejubelt wird 🙄.
@lerothas
Show threadStefan 'lerothas' D. 4d ago

@onlytina @the_white_wolf
Also bei mir ist bei zwei Geräten nichts dergleichen passiert...

Dazu gibt es ja einige immutable distributionen die mit secure boot arbeiten oder arbeiten wollen. So eine trusted chain oder so. Keine Ahnung.

Also ich finde es sehr gut, dass das ausgerollt wird.

Show threadTina4d ago
@lerothas des einen Freud ist des anderen Pein 🤷‍♀️😅. CachyOS ist halt auch Arch-based, da ist das schon wahrscheinlich dass sowas passieren könnte. Will mein neues System mal genießen und nicht schon wieder Problemchen beheben 😅. @the_white_wolf
Show threadStefan 'lerothas' D. 4d ago
@onlytina @the_white_wolf
Deswegen nutze ich Solus. Da passiert nur geprüfter Kram. Dafür wartet man manchmal auf neue Paketversionen, wenn diese nicht sicherheitsrelevant sind.
Show threadTina
@lerothas was meinst du mit "nur geprüfter Kram"? Viele Distros können nicht mit Secure Boot, das hat doch nichts mit geprüft oder ungeprüft zu tun. Bei meinem Sohn war das auch öfter der Fall, er hat Endeavour OS, also auch Arch, und da war das mit den MS Zertifikaten auch eine Pein, weil das OS nicht mehr booten wollte, da MS immer was an den Zertifikaten rumgeschraubt hat. Er hat sich da dann manuell irgendwie mit nem Skript beholfen, soweit ich das weiß. @the_white_wolf
Mar 16 at 3:34pmWeb
Show threadStefan 'lerothas' D. 4d ago

@onlytina Ich meine geprüfte Updates.

Solus ist eine sog. "tested rolling release distribution". D.h. es gibt regelmäßig Upates (Freitag auf Samstag Nacht), aber diese werden vorher geprüft, ob sie funktionieren. Bspw. wird bei KDE meist auf den ersten Point-Release wie 6.6.1 gewartet, der dann schon keine Kinderkrankheiten mehr hat.
Bei Arch und Konsorten bekommt man diese Updates direkt ausgeliefert, ohne Prüfung, ob sie funktionieren.

Und tatsächlich weiß ich garnicht, ob ich secure boot aktiviert habe oder nicht. Ich habe Solus einfach installiert und fertig. xD
Gerade geprüft: Mein CHUWI läuft mit secure boot. Habe noch keine negativen Auswirkungen gemerkt...

Show threadhyourinmaru4d ago

@lerothas @onlytina Vorsicht, hier geht es um was anderes. Das, was du beschreibst, sind die ganz normalen Paketupdates über den Paketmanager (apt/dnf/zypper/pacman). Auch bei Arch Linux gibt es Testing-Zeiträume und -Repositorien (core-testing, extra-testing und multilib-testing), aber die sind häufig kürzer als bei bspw. Ubuntu oder Fedora. Quelle hierbei sind die Paket-Repositorien der jeweiligen Distros.

Neue Versionen der UEFI-Firmwares und Updates an den Secure Boot-Zertifikaten und -Schlüsseln werden aber über fwupd verteilt, die komplett unabhängig sind von den Distros und deren Paket-Repositorien. Die Geräte- und Mainboardhersteller (Framework, HP, MSI etc...) können ihre neuen Firmware-Versionen direkt in der Quelle "lvfs" platzieren, die dann von fwupd installiert werden.

Show threadhyourinmaru4d ago
@lerothas @onlytina fwupd selber ist zwar in den Paket-Repositorien der Distros enthalten, wodurch es auch deinstalliert werden kann. Installiert aber kümmert sich fwupd um die Updates am UEFI (falls der Hersteller dies macht) und den Schlüsseldatenbanken für Secure Boot, weil die Paket-Repositorien der Distros dazu nicht in der Lage sind.
Show threadStefan 'lerothas' D. 4d ago
@hyourinmaru
Gut zu wissen. Danke.
Show threadhyourinmaru4d ago

@onlytina @lerothas @the_white_wolf Tatsächlich waren es immer irgendwelche anderen Dinge, die mein EndeavourOS mal kurzzeitig nicht mehr haben funktionieren lassen, die Windows Updates und die Secure Boot-Updates seitens Microsoft und MSI waren daran interessanterweise nie Schuld. ^^"

Spätestens seitdem ich aber Secure Boot auch mit meinen eigenen Zertifikaten und Schlüsseln neben denen von Microsoft eingerichtet habe und dies aktiv laufen habe, wäre dies bei mir aber auch kein Thema mehr gewesen.
Jetzt kann Microsoft machen, was es will; mein EndeavourOS ist unkaputtbar gegen Windows Updates.