Rosendoktor
Well-Known Member
Hi alle,
nachdem ich ja nun meine erste Secure Boot fähige Maschine habe, auf der Debian, FreeBSD und Windows laufen, wollte ich es natürlich wissen...
Okay, Debian kein großes Problem, deren Setup mit Shim funktioniert out of the box, bei Windows muss man eh nichts machen, der Krempel kommt ja von denen, und bei FreeBSD lief es darauf hinaus einen eigenen db (und dbx) Key zu erzeugen, im UEFI zu hinterlegen und den FreeBSD UEFI Loader damit zu signieren. Dann lassen sich alle drei Systeme entweder direkt oder über GRUB im Secure Boot Modus starten.
Debian und Windows führen die Validierung ja weiter über den Kernel bis zu den Modulen/Treibern, FreeBSD aber noch nicht, dessen Kernel und Module liegen aber immerhin auf verschlüsselten Partitionen die vom signierten und validierten UEFI Loader entsperrt werden.
Allerdings frage ich mich nach der ganzen Aktion, was das eigentlich bringen soll. Denn im Grunde kann ja jeder der Zugriff auf das Gerät hat, im UEFI das Secure Boot einfach abschalten und die Bootloader (und ggf Kernel/Treiber, sofern nicht verschlüsselt) beliebig manipulieren. Das UEFI ist zwar mit Passwort gesichert, aber wer weiß schon wie sicher das wirklich ist bei all den verschiedenen Geräten.
Oder hab'ich da einen Denkfehler? Gegen welche Angriffe soll Secure Boot eigentlich absichern?
Grüße,
Robert
nachdem ich ja nun meine erste Secure Boot fähige Maschine habe, auf der Debian, FreeBSD und Windows laufen, wollte ich es natürlich wissen...
Okay, Debian kein großes Problem, deren Setup mit Shim funktioniert out of the box, bei Windows muss man eh nichts machen, der Krempel kommt ja von denen, und bei FreeBSD lief es darauf hinaus einen eigenen db (und dbx) Key zu erzeugen, im UEFI zu hinterlegen und den FreeBSD UEFI Loader damit zu signieren. Dann lassen sich alle drei Systeme entweder direkt oder über GRUB im Secure Boot Modus starten.
Debian und Windows führen die Validierung ja weiter über den Kernel bis zu den Modulen/Treibern, FreeBSD aber noch nicht, dessen Kernel und Module liegen aber immerhin auf verschlüsselten Partitionen die vom signierten und validierten UEFI Loader entsperrt werden.
Allerdings frage ich mich nach der ganzen Aktion, was das eigentlich bringen soll. Denn im Grunde kann ja jeder der Zugriff auf das Gerät hat, im UEFI das Secure Boot einfach abschalten und die Bootloader (und ggf Kernel/Treiber, sofern nicht verschlüsselt) beliebig manipulieren. Das UEFI ist zwar mit Passwort gesichert, aber wer weiß schon wie sicher das wirklich ist bei all den verschiedenen Geräten.
Oder hab'ich da einen Denkfehler? Gegen welche Angriffe soll Secure Boot eigentlich absichern?
Grüße,
Robert