• Re: Installations-Handbuch - UEFI Secure boot

    From Helge Kreutzmann@21:1/5 to All on Sat Dec 25 08:10:02 2021
    This is a MIME-formatted message. If you see this text it means that your E-mail software does not support MIME-formatted messages.

    Hallo Thomas,
    On Sat, Dec 25, 2021 at 07:18:38AM +0100, Thomas Müller wrote:
    Danke, mein Englisch ist nicht das Beste, weswegen ich eure Arbeit
    wirklich sehr schätze.

    Gerne.

    Trotzdem ist mir bei der Suche nach Informationen zum *Dual-Boot* eine Unschärfe augenfällig geworden.

    In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
    beschrieben. Dieser Artikel <cid:part1.BF0F4AA2.F3F0F13F@web.de> stellt
    das meiner Einschätzung nach in Zweifel, zumindest wenn es sich um
    *aktuelle EFI Firmware* handelt.

    Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
    (Lokal oder im Web (mit URL))?

    Deiner Beschreibung nach könnte es sein, dass Dein Bericht weniger die Übersetzung betrifft, als das eingentliche englische Original.

    Viele Grüße

    Helge

    --
    Dr. Helge Kreutzmann debian@helgefjell.de
    Dipl.-Phys. http://www.helgefjell.de/debian.php
    64bit GNU powered gpg signed mail preferred
    Help keep free software "libre": http://www.ffii.de/

    -----BEGIN PGP SIGNATURE-----

    iQIzBAABCAAdFiEEbZZfteMW0gNUynuwQbqlJmgq5nAFAmHGwukACgkQQbqlJmgq 5nBOJA//Qd94Jfov0tUZdOM/md6K2kWdsdt8ZLbqFDxmgTBTKfCBVHfOdJkvOWoz FD8LFpviikUziAwIhAL9pDBwU8jfU96QitJTzwNcR9vmyvgSowHCB+gR3RePvH9v q5JdFeeb+c11QYfqSrCm+yN8cA/sMCcP5yTl+Fh7B+0mihWjrQeooGz1u6WioDs4 /TmqQtdhLiaxiKnIoQcmYnVZg1Sge7JZL22OG2mnP/KIy+VsnE1fTtt3yX7gTW6h PN3cTa1qqTomIfDUbAWzpr/k8on0RoD9spGmRFmzvr4FMFdLHqLp48nFg2uaL9dQ q5WvgYY4vJug9SM+7qS3XE9T5T1kzG35+TBsEjhDJ2/eguKqoDejyb3o1k8eHxTa PgeoobJwSgiAxtlo0Fh5H+Vju51JUk5+YgHPS2F8S3J/WAcESe+YzofcWpxp6gAz vWVhuGmfqrdnkdQxtXcuzPGIN6IZ9HE6h9RkyFp6UPFLh0mku/yoX685WmA7mHcX nfqL5RLS/bUGf6QshF3/0WEV2uLjY7HXLtavnXYFbQIOMtq2TfArb5kmMHnIWwK+ XOCmTAG8N39cj6F63SiHOKqNqPNRqWaqIqZDCQc
  • From Markus Hiereth@21:1/5 to Helge Kreutzmann on Sat Dec 25 11:10:02 2021
    Hallo Zusammen,

    Helge Kreutzmann <debian@helgefjell.de> schrieb am 25. Dezember 2021

    In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
    beschrieben. Dieser Artikel <cid:part1.BF0F4AA2.F3F0F13F@web.de>
    stellt das meiner Einschätzung nach in Zweifel, zumindest wenn es
    sich um *aktuelle EFI Firmware* handelt.

    Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
    (Lokal oder im Web (mit URL))?

    mit dem cid-Verweis kann ich nichts anfangen, aber das
    Installationshandbuch ist etwas Vertrautes und unter

    https://www.debian.org/releases/stable/i386/ch03s06.en.html
    https://www.debian.org/releases/stable/i386/ch03s06.de.html

    online. Die Übersetzungen sind von Holger Wansing und an dem Abschnitt
    3.6.4 finde ich keine Schwachstelle. Es ist einfach so, dass im
    englischen Original auch nichts genaueres steht; man sich obendrein
    ausmalen kann, wo der Hase im Pfeffer liegt. Nämlich, dass freie Softwareentwickler Lösungen für Probleme finden müssen, die im Überschneidungsbereich mit kommerziell entwickelter Software kreiert
    werden.


    Deiner Beschreibung nach könnte es sein, dass Dein Bericht weniger
    die Übersetzung betrifft, als das eingentliche englische Original.

    Das ist bei 3.6.4. der Fall. Das heißt, Thomas Müller müsste irgendwie dokumentieren, was in welchem Kontext nicht funktioniert. Vielleicht
    ist der Kontext so speziell, dass man in einem Installationshandbuch
    nicht darauf eingehen kann. Die besten Stellen, hier weiterzukommen,
    sind vielleicht die deutsche Benutzer-Mailingliste von Debian oder
    eine beliebige IRC-Chatgruppe zu Linux.

    Unten Original und Übersetzung des angesprochenen
    Anleitungsabschnittes

    Viele Grüße
    Markus

    ---------------------------------------------------------------------

    3.6.4. Secure boot

    Another UEFI-related topic is the so-called "secure boot"
    mechanism. Secure boot means a function of UEFI implementations that
    allows the firmware to only load and execute code that is
    cryptographically signed with certain keys and thereby blocking any (potentially malicious) boot code that is unsigned or signed with
    unknown keys. In practice the only key accepted by default on most
    UEFI systems with secure boot is a key from Microsoft used for signing
    the Windows bootloader. Debian includes a "shim" bootloader signed by Microsoft, so should work correctly on systems with secure boot
    enabled.

    3.6.4. Secure Boot

    Ein anderes Problem mit Bezug zu UEFI ist der sogenannte #Secure Boot"-Mechanismus. Secure Boot ist eine Funktion in
    UEFI-Implementationen, die es der Firmware nur erlaubt, Code zu laden
    und auszuführen, wenn dieser kryptografisch mit bestimmten Schlüsseln
    signiert ist; so wird jeglicher (möglicherweise bösartiger) Boot-Code,
    der nicht oder mit unbekannten Schlüsseln signiert ist, blockiert. In
    der Praxis ist der einzige Schlüssel, der auf den meisten
    UEFI-Systemen mit Secure Boot standardmäßig akzeptiert wird, ein
    Schlüssel von Microsoft, der genutzt wird, um den Windows-Bootloader
    zu signieren. Debian enthält einen von Microsoft signierten
    #shim"-Bootloader, daher sollte es auf Systemen mit aktiviertem Secure
    Boot korrekt funktionieren.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Holger Wansing@21:1/5 to Helge Kreutzmann on Sat Dec 25 13:20:01 2021
    Hi,

    Helge Kreutzmann <debian@helgefjell.de> wrote (Sat, 25 Dec 2021 08:06:35 +0100):
    On Sat, Dec 25, 2021 at 07:18:38AM +0100, Thomas Müller wrote:
    Trotzdem ist mir bei der Suche nach Informationen zum *Dual-Boot* eine Unschärfe augenfällig geworden.

    In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
    beschrieben. Dieser Artikel <cid:part1.BF0F4AA2.F3F0F13F@web.de> stellt
    das meiner Einschätzung nach in Zweifel, zumindest wenn es sich um *aktuelle EFI Firmware* handelt.

    Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
    (Lokal oder im Web (mit URL))?

    Der "Artikel" stammt von der Debian-Website: https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/

    Deiner Beschreibung nach könnte es sein, dass Dein Bericht weniger die Übersetzung betrifft, als das eingentliche englische Original.

    Das trifft zu, Thomas' Anmerkungen betreffen nicht primär die Übersetzung, sondern erstmal das englische Original.



    Zum eigentlichen Thema:

    Thomas hat nicht unrecht, die BootHole-Problematik (und das ganze Drumherum) wird im Installationshandbuch nicht genannt.

    Ist allerdings ja auch noch relativ neu (Mitte 2020).

    Und: wenn wir hier von der Installationsanleitung zu Debian Stable reden, könnte man argumentieren, dass Bullseye (als aktuelles Stable) von den Boothole-Lücken nie betroffen war; die Lücken wurden geschlossen, bevor Bullseye als Stable veröffentlicht wurde.

    Natürlich schadet es nicht, es trotzdem zu dokumentieren, wer weiß, was davon noch mal wieder kommt...
    (Oder mit anderen Worten: es wurden *nur* die *bekannten* Lücken geschlossen!)

    Bleibt aber die Frage, ob die Installationsanleitung für Debian der passende Ort ist für solche beweglichen Ziele...
    Den jeweils aktuellen Stand wird man dort nie dokumentiert haben können.

    Ich werde mal schauen, ob ich zumindest eine Art allgemeinen Hinweis einfügen kann, um das Thema grundsätzlich abzubilden.



    Holger


    --
    Holger Wansing <hwansing@mailbox.org>
    PGP-Fingerprint: 496A C6E8 1442 4B34 8508 3529 59F1 87CA 156E B076

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)