Re: (U)EFI-Boot (neu)

[Frank Guthausen]

On Tue, Jul 19, 2016 at 10:05:51PM +0200, Wolfgang Romey wrote:
> 
> Wenn ich einen boot-fähigen Stick oder eine Live-DVDmit z.B. Ubuntu 16.04 
> habe, müßten die nicht im Boot-Menu bei einem UEFI-System angezeigt werden, 
> so 
> daß ich davon booten und dann installieren kann?

Ist das standardisiert? Falls nicht, hängt es von der Implementierung
des Herstellers ab. Aber UEFI-Systeme sollten eigentlich von USB-Medien
booten können.

> Unterfrage: Ist ein Multiboot-Stick ein Hindernis. Wird er also nicht 
> angezeigt?

Was ist ein Multiboot-Stick? Ein USB-Stick mit Dualboot/Multiboot sollte
eigentlich funktionieren. Es scheint aber verschiedene Ansätze zu geben,
wie man sowas baut/partitioniert. Gibt es den Modus Superfloppy noch?

Aber:

Es gibt einige USB-Sticks, die sich "fies" verhalten, weil da noch eine
Zwischenschicht in der Elektronik ist. Solche Sticks kann man u.U. nicht
booten. Ich habe so ein USB-Exemplar hier, von welchem mein Laptop nicht
gebootet werden kann. Das System darauf kann von einem anderen USB-Stick
gebootet werden.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Matthias Kirschner]

* Marcus Moeller  [2016-07-12 21:16:40 +0200]:

> Das Hauptproblem bei UEFI ist, dass es in der Implementierung in den
> Anfangstagen extrem viel Schluderei gab und viele Geräte um 2012 rum
> ziemlich vermurkste Implementierungen haben. Dafür gibts dann in den
> meisten Fällen auch kein Update vom Hersteller.

Neben der technischen Probleme gibt es weiterhin Probleme bei der
Schlüsselkette.

ist dazu leider noch gültig.

Und obwohl die Regierung ein Eckpunktepapier dazu hat
, sieht es immer
noch so aus, als ob sie Probleme haben, Hardware zu bekommen, die diese
Anforderungen erfüllen: 


Viele Grüße
Matthias

-- 
Matthias Kirschner - President - Free Software Foundation Europe
Schönhauser Allee 6/7, 10119 Berlin, Germany | t +49-30-27595290
Registered at Amtsgericht Hamburg, VR 17030  | (fsfe.org/donate)
Contact (fsfe.org/about/kirschner)  -  Weblog (k7r.eu/blog.html)
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Am Donnerstag, 14. Juli 2016, 16:54:21 schrieb Frank Guthausen:
> On Thu, Jul 14, 2016 at 04:51:26PM +0200, RA Stehmann wrote:
> > Frank, auch wenn der jüngste Votrag von Harald in jeder Hinsicht
> > Maßstäbe gesetzt hat, muss nicht jeder künftige Vortrag diesen an Länge
> > überbieten. Es kann auch 'mal "kurz und knackig" sein.
> 
> Ich dachte an 2x 30min
Ich könnte vielleicht was zu dem EMOA68 Projekt anbieten.

Gruß

Wolfgang
-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

On Thu, Jul 14, 2016 at 04:51:26PM +0200, RA Stehmann wrote:
> 
> Frank, auch wenn der jüngste Votrag von Harald in jeder Hinsicht
> Maßstäbe gesetzt hat, muss nicht jeder künftige Vortrag diesen an Länge
> überbieten. Es kann auch 'mal "kurz und knackig" sein.

Ich dachte an 2x 30min
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[RA Stehmann]

Am 14.07.2016 um 16:20 schrieb Frank Guthausen:
> On Thu, Jul 14, 2016 at 03:45:12PM +0200, Wolfgang Romey (woro) wrote:
>>
>> Ja, daß ist wirklich einen Vortrag wert. Wann hältst Du ihn? :-)
> 
> Ich sehe das vom Stoff eher als Halbvortrag. Wenn wir noch einen von
> dieser Sorte haben (oder ein paar lightning talks), wäre das eine neue
> Variante für die Gestaltung des Fellowship-Treffens.
> 
Frank, auch wenn der jüngste Votrag von Harald in jeder Hinsicht
Maßstäbe gesetzt hat, muss nicht jeder künftige Vortrag diesen an Länge
überbieten. Es kann auch 'mal "kurz und knackig" sein.

Will man dann auch noch aufzeigen, wie man die Kisten dennoch befreien
kann oder feststellt, dass es beim besten Willen nicht geht, kommt man,
denke ich, auf eine durchaus ausreichende Länge.

Gruß
Michael




signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Roland Häder]

Von Windows 10 sollte man eh' die Finger fern halten, laut Heise soll 
vermutlich Windows abo-basiert werden. Man hat dort Dienste mit "Subscription" 
im Namen gefunden und sowieso war es verwunderlich, dass plötzlich das Upgrade 
kostenlos sein soll ...

OT: Mit ownCloud Mail geschrieben. :-)

Wolfgang Romey (woro) – Thu., 14. July 2016 15:45
> Am Donnerstag, 14. Juli 2016, 15:37:40 schrieb Frank Guthausen:
> 
> > Ich sehe schon: wir haben wieder ein Thema für einen Vortrag gefunden.
> > Dieses Thema interessiert bestimmt noch andere Leute, die nicht hier auf
> > der Liste mitlesen.
> Ja, daß ist wirklich einen Vortrag wert. Wann hältst Du ihn? :-)
> 
> Vielleicht können wir das dann schon ergänzen mit praktischen Hinweisen für 
> Windows Wechsler. In jedem Fall ist eine erste Konsequenz: Finger weg von 
> Windows 10 beim Update und Kauf!
> 
> Gruß
> 
> Wolfgang
> -- 
> 
> Wolfgang Romey
> Krokusstraße 37
> 47249 Duisburg
> 
> geraspora: pod.geraspora.de/people/9002a1416a4e4a9d
> loadaverage: loadaverage.org/hier
> tox: wolfgang_ro...@toxme.se
> 
> Bitte Anhänge nur in freien Formaten.
> Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
> zugeleitet.
> 
> ___
> fsfe-de mailing list
> fsfe-de@fsfeurope.org
> mail.fsfeurope.org/mailman/listinfo/fsfe-de
> 
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

On Thu, Jul 14, 2016 at 03:45:12PM +0200, Wolfgang Romey (woro) wrote:
> 
> Ja, daß ist wirklich einen Vortrag wert. Wann hältst Du ihn? :-)

Ich sehe das vom Stoff eher als Halbvortrag. Wenn wir noch einen von
dieser Sorte haben (oder ein paar lightning talks), wäre das eine neue
Variante für die Gestaltung des Fellowship-Treffens.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Am Donnerstag, 14. Juli 2016, 15:37:40 schrieb Frank Guthausen:

> Ich sehe schon: wir haben wieder ein Thema für einen Vortrag gefunden.
> Dieses Thema interessiert bestimmt noch andere Leute, die nicht hier auf
> der Liste mitlesen.
Ja, daß ist wirklich einen Vortrag wert. Wann hältst Du ihn? :-)

Vielleicht können wir das dann schon ergänzen mit praktischen Hinweisen für 
Windows Wechsler. In jedem Fall ist eine erste Konsequenz: Finger weg von 
Windows 10 beim Update und Kauf!

Gruß

Wolfgang
-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

On Thu, Jul 14, 2016 at 03:18:25PM +0200, Johannes Zarl-Zierl wrote:
> 
> UEFI Secure Boot ist soweit ich weiß auf X86 *immer* abschaltbar.

Bei Geräten mit Windowslogo ist das heutzutage noch der Fall. Das muss
aber nicht auf ewig so bleiben, wie das Beispiel ARM schon heute zeigt.
Es könnte irgendwann auch auf x86 verpflichtend werden.

> Evtl. wäre "UEFI Secure Boot, Schlüssel ersetzbar" noch einen Punkt wert:

Es gibt dann drei Bits und acht Möglichkeiten für UEFI:

+/- Legacy Option
+/- Secure Boot abschaltbar
+/- Schlüssel austauschbar

Secure Boot nicht abschaltbar, aber trotzdem Legacy Option, werden
wir vermutlich nicht erleben, weil das nun gar keinen Sinn macht.
Daher hatte ich meine Liste nach aufsteigendem Nervfaktor sortiert.

Austauschbare(n) Schlüssel kann man vermutlich noch weiter granulieren,
weil es mehr als einen Slot gibt und der Hersteller die voreingestellten
Schlüssel auch als nicht löschbar ausliefern kann.

Ich sehe schon: wir haben wieder ein Thema für einen Vortrag gefunden.
Dieses Thema interessiert bestimmt noch andere Leute, die nicht hier auf
der Liste mitlesen.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Johannes Zarl-Zierl]

On Donnerstag, 14. Juli 2016 15:10:13 CEST Wolfgang Romey (woro) wrote:
> Am Donnerstag, 14. Juli 2016, 15:05:49 schrieb Johannes Zarl-Zierl:
> > On Donnerstag, 14. Juli 2016 00:30:36 CEST Frank Guthausen wrote:
> > > Vom Hardwareangebot auf jeden Fall. Es gibt folgende Situationen (x86):
> > > 1) BIOS
> > > 2) UEFI mit Legacy Option (CSM?)
> > > 3) UEFI ohne Legacy Option
> > > 4) UEFI Secure Boot, nicht abschaltbar.
> > 
> > Bei Punkt 4 meintest Du wohl "UEFI Secure Boot, abschaltbar".
> > 
> > Secure Boot *muss* auf x86 abschaltbar sein, um der Microsoft Windows Logo
> > Zertifizierung genüge zu tun. (Unter ARM ist die Situation freilich
> > umgekehrt, und wie sich die Situation auf x86 in Zukunft entwickelt wird
> > die Zeit zeigen).
> 
> Muß das icht als zusätzlicher Punkt erscheinen? Ode ist die Legacy Option
> gleich Secure Boot abschaltbar?

Legacy = BIOS Modus. Im BIOS Modus ist Secure Boot natürlich nicht aktiv, ist 
aber nur eine Nebenwirkung.
UEFI Secure Boot ist soweit ich weiß auf X86 *immer* abschaltbar.

Evtl. wäre "UEFI Secure Boot, Schlüssel ersetzbar" noch einen Punkt wert:
Zumindest bei manchen Mainboards ist es möglich, eigene Signaturschlüssel 
einzutragen bzw. auch die Schlüssel von Microsoft zu entfernen.

lg,
  Johannes


signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

On Thu, Jul 14, 2016 at 03:10:13PM +0200, Wolfgang Romey (woro) wrote:
> 
> Muß das icht als zusätzlicher Punkt erscheinen? Ode ist die Legacy Option 
> gleich Secure Boot abschaltbar?

Bei 2) und 3) ist implizit gemeint, dass Secure Boot abschaltbar ist,
weil das auf x86 derzeit den Anforderungen von Microsoft entspricht.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

On Thu, Jul 14, 2016 at 03:05:49PM +0200, Johannes Zarl-Zierl wrote:
> On Donnerstag, 14. Juli 2016 00:30:36 CEST Frank Guthausen wrote:
> > Vom Hardwareangebot auf jeden Fall. Es gibt folgende Situationen (x86):
> > 1) BIOS
> > 2) UEFI mit Legacy Option (CSM?)
> > 3) UEFI ohne Legacy Option
> > 4) UEFI Secure Boot, nicht abschaltbar.
> 
> Bei Punkt 4 meintest Du wohl "UEFI Secure Boot, abschaltbar".

Nein, das ist implizit in 3) enthalten.

> Secure Boot *muss* auf x86 abschaltbar sein, um der Microsoft Windows
> Logo Zertifizierung genüge zu tun. (Unter ARM ist die Situation
> freilich umgekehrt, und wie sich die Situation auf x86 in Zukunft
> entwickelt wird die Zeit zeigen).

Genau diese mögliche Entwicklung in der Zukunft ist mit 4) abgedeckt,
und es steht zu befürchten, dass das genauso laufen wird wie bei ARM.

Das sehe ich als potentiellen und sehr gefährlichen
Angriff auf die Freiheit aller Computerbenutzer.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Am Donnerstag, 14. Juli 2016, 15:05:49 schrieb Johannes Zarl-Zierl:
> On Donnerstag, 14. Juli 2016 00:30:36 CEST Frank Guthausen wrote:
> > Vom Hardwareangebot auf jeden Fall. Es gibt folgende Situationen (x86):
> > 1) BIOS
> > 2) UEFI mit Legacy Option (CSM?)
> > 3) UEFI ohne Legacy Option
> > 4) UEFI Secure Boot, nicht abschaltbar.
> 
> Bei Punkt 4 meintest Du wohl "UEFI Secure Boot, abschaltbar".
> 
> Secure Boot *muss* auf x86 abschaltbar sein, um der Microsoft Windows Logo
> Zertifizierung genüge zu tun. (Unter ARM ist die Situation freilich
> umgekehrt, und wie sich die Situation auf x86 in Zukunft entwickelt wird
> die Zeit zeigen).
> 
> lg,
>   Johannes
Muß das icht als zusätzlicher Punkt erscheinen? Ode ist die Legacy Option 
gleich Secure Boot abschaltbar?

Gruß

Wolfgang
-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Johannes Zarl-Zierl]

On Donnerstag, 14. Juli 2016 00:30:36 CEST Frank Guthausen wrote:
> Vom Hardwareangebot auf jeden Fall. Es gibt folgende Situationen (x86):
> 1) BIOS
> 2) UEFI mit Legacy Option (CSM?)
> 3) UEFI ohne Legacy Option
> 4) UEFI Secure Boot, nicht abschaltbar.

Bei Punkt 4 meintest Du wohl "UEFI Secure Boot, abschaltbar".

Secure Boot *muss* auf x86 abschaltbar sein, um der Microsoft Windows Logo 
Zertifizierung genüge zu tun. (Unter ARM ist die Situation freilich umgekehrt, 
und wie sich die Situation auf x86 in Zukunft entwickelt wird die Zeit 
zeigen).

lg,
  Johannes


signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Danke!

Wolfgang

-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Am Donnerstag, 14. Juli 2016, 00:30:36 schrieb Frank Guthausen:
> Hallo.
> 
> Ich versuche mal, die Situation zu sortieren.
> 
Danke! Das war sehr hilfreich und wird eine gute Orientierung bei der 
Einarbeitung sein.

Gruß

Wolfgang

-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[WD Zimmermann]

Am 13.07.2016 um 22:29 schrieb Michael Kesper:

Am 13.07.2016 um 19:15 schrieb Wolfgang Romey (woro):

Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:



Es scheint mir so, daß die Unterstützung für Leute, die auf GNU/Linux
umsteigen wollen, deutlich schwieriger wird.


Besser noch ist natürlich Libreboot oder Coreboot zu verwenden ;)


O.K., gerne! Wo finde ich denn die an die Vielfalt der Rechner, mit
denen die
Leute zu uns kommen, angepaßte Versionen. Wie geht das ohne Eingriff
in die
Hardware. :-)
Im Ernst: Das Verfahren wäre wohl wesentlich Komplizierter und ich glaube
auch, daß ein größerer Teil der Leute den Eingriff in ihre Hardware nicht
zulassen würden.


Ich finde Euren pragmatischen Ansatz immer wieder erfrischend!

Vielen Dank dafür!


Herzlichen Dank für die Anerkennung!!

Wir sind auch noch sehr auf der Suche nach weiteren "Pragmatikern". Auch 
hier bedarf es einer kritischen Masse!!


Wer sich angesprochen fühlt, möge sich mit mir in Verbindung setzen.


--
Freundliche Grüße  | Diese Nachricht wurde mit
Wolf-Dieter Zimmermann | Freier Software gesendet
E: wd.zimmerm...@posteo.de | U: netzwerk-bildung.net
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Marcus Moeller]

Hallo zusammen.

> Ich versuche mal, die Situation zu sortieren.
> 
> On Wed, Jul 13, 2016 at 07:15:52PM +0200, Wolfgang Romey (woro) wrote:
>> Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:
>> 
>>> UEFI würde ich immer nur mit Secure Boot betreiben, andernfalls ist
>>> es deutlich unsicherer als klassisches BIOS. 
>> 
>> Das verstehe ich noch nicht. Gehört wohl zur Einarbeitung.
> 
> Das würde ich auch gerne verstehen.

Bei UEFI läuft eigentlich alles über die EFI Partition. Somit auch die 
Aktualisierung der Firmware. Einem Angreifer würde es reichen ein modifiziertes 
BIOS dort zu platzieren und das Laden zu triggern.

Intel versucht dem mittlerweile mit „Boot Guard" entgegen zu wirken: 

http://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/4th-gen-core-family-mobile-brief.pdf

was aber dazu führt, dass man auch kein Freies BIOS mehr einspielen kann.

Die Sicherheit von proprietären BIOS Varianten an sich ist allerdings eh 
fragwürdig. Siehe aktuell:

https://github.com/Cr4sh/ThinkPwn

Greets
Marcus
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Frank Guthausen]

Hallo.

Ich versuche mal, die Situation zu sortieren.

On Wed, Jul 13, 2016 at 07:15:52PM +0200, Wolfgang Romey (woro) wrote:
> Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:
> 
> > UEFI würde ich immer nur mit Secure Boot betreiben, andernfalls ist
> > es deutlich unsicherer als klassisches BIOS. 
> 
> Das verstehe ich noch nicht. Gehört wohl zur Einarbeitung.

Das würde ich auch gerne verstehen.

> > Bei Distros wie Ubuntu openSUSE oder Fedora ist das kein Problem, da
> > die Bootloader signiert sind. Bei Archlinux muss man da selbst Hand
> > anlegen und immer wieder die neuen Kernel enrollen. Das ist zwar
> > über ein Helper Tool einfach möglich, aber dennoch etwas nervig.
> 
> Ist das auch bei Xubuntu so? Das verwenden wir ja in Mülheim. 

Bei Ubuntu müssten auch die Derivate den signierten Bootloader shim
enthalten, allerdings finde ich gerade keine explizite Bestätigung
dafür im Netz.

> > Das Hauptproblem bei UEFI ist, dass es in der Implementierung in den
> > Anfangstagen extrem viel Schluderei gab und viele Geräte um 2012 rum
> > ziemlich vermurkste Implementierungen haben. Dafür gibts dann in den
> > meisten Fällen auch kein Update vom Hersteller.
> 
> Was bedeutet das für die Installation von (X)ubuntu auf älteren
> Geräten mit UEFI?

In Einzelfällen kann es sein, dass es nicht geht. Oder das beim Betrieb
ein Sicherheitsrisiko besteht (UEFI hat einen Netzwerkstack). Aber sowas
besteht immer.

> > Ich habe schon von 3 Jahren mein erstes Gerät gekauft, dass nur noch UEFI
> > ohne Fallback hatte und das hat in der ersten Zeit auch ziemlich Theater
> > gemacht. Ein BIOS Update hat dann aber geholfen und seit dem läuft es rund.
> 
> Es scheint mir so, daß die Unterstützung für Leute, die auf GNU/Linux 
> umsteigen wollen, deutlich schwieriger wird.

Vom Hardwareangebot auf jeden Fall. Es gibt folgende Situationen (x86):
1) BIOS
2) UEFI mit Legacy Option (CSM?)
3) UEFI ohne Legacy Option
4) UEFI Secure Boot, nicht abschaltbar.

Dabei ist 1) Geschichte, 2) wird bald Geschichte sein, und 3) könnte es
in der Zukunft auch erwischen, wenn die Marktmacht von Microsoft das so
durchdrücken kann. Bei ARM Windows RT ist Secure Boot schon heute nicht
abschaltbar, aber das ist eben kein x86.

Secure Boot bootet nur Binaries, die mit asymmetrisch privatem Schlüssel
signiert sind; dabei muss der entsprechende öffentliche Schlüssel im UEFI
hinterlegt sein.

In einigen UEFIs kann man selber über die Schlüssel verfügen, dann kann
man sich notfalls selber einen signierten Bootloader bauen. Das ist aber
eher nicht sonderlich praktikabel und massentauglich, und es kann sein,
dass das nicht immer funktioniert, besonders zukünftig. Freiheit ist an
dieser Stelle besonders stark gefährdet.

Im Regelfall sind bereits Schlüssel von Microsoft im UEFI hinterlegt:
a) ein Schlüssel ist 'required' für Microsoft Windows,
b) ein Schlüssel ist 'recommended' und wird für shim benutzt.

Insbesondere benutzt Microsoft verschiedene Schlüssel zum Signieren[1].

| There is one catch here. While Microsoft does sign Linux boot loaders
| with a Microsoft key, these boot loaders are signed with a separate
| key from the one Microsoft uses to sign Windows. PC manufacturers
| arent required to include the Microsoft key for third-party UEFI
| applications as part of the Secure Boot specification, which means
| that these Linux distributions may not actually work on all Secure
| Boot PCs. But, in practice, most PC manufacturers do install this
| Microsoft key.

Mit dem privaten Teil von Schlüssel b) hat Microsoft den Bootloader shim
signiert und einigen Distributionen zur Verfügung gestellt (oder allen,
aber nicht alle nutzen ihn)[1].

| Modern versions of Ubuntu, Fedora, openSUSE, and Red Hat Enterprise
| Linux all just work without disabling or configuring Secure Boot. They
| use a small shim boot loader signed by Microsoft, which in turn
| confirms the main boot loader was signed by the Linux distribution
| before loading it. Some other smaller Linux distributions also use
| shim.

Sofern der Hersteller des Mainboards den Schlüssel b) hinterlegt hat
oder man ihn selber dort irgendwie(TM) hinterlegen kann, kann man auch
mit Secure Boot ein GNU/Linux mit shim betreiben. Xubuntu sollte das
können. Alternativ kann man Secure Boot möglicherweise abschalten.

Problematisch wird es bei Hardware, bei der man keine Schlüssel im UEFI
hinterlegen kann, der Hersteller den Schlüssel b) von Microsoft nicht im
UEFI hinterlegt hat und Secure Boot nicht abschaltbar ist. Dann hat man
ein sehr ernstes Problem. Derartige Hardware kann ich beim besten Willen
nur noch als Bevormundungsmaschinen bezeichnen. Kartellrechtlich stellt
sich die Frage, ob sowas überhaupt zulässig ist in Deutschland und/oder
der EU.


 [1] 
http://www.pcworld.com/article/2951559/operating-systems/how-to-install-linux-on-a-pc-with-secure-boot-enabled.html


-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org

Re: (U)EFI-Boot

[Michael Kesper]

Am 13.07.2016 um 19:15 schrieb Wolfgang Romey (woro):

Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:



Es scheint mir so, daß die Unterstützung für Leute, die auf GNU/Linux
umsteigen wollen, deutlich schwieriger wird.


Besser noch ist natürlich Libreboot oder Coreboot zu verwenden ;)


O.K., gerne! Wo finde ich denn die an die Vielfalt der Rechner, mit denen die
Leute zu uns kommen, angepaßte Versionen. Wie geht das ohne Eingriff in die
Hardware. :-)
Im Ernst: Das Verfahren wäre wohl wesentlich Komplizierter und ich glaube
auch, daß ein größerer Teil der Leute den Eingriff in ihre Hardware nicht
zulassen würden.


Ich finde Euren pragmatischen Ansatz immer wieder erfrischend!

Vielen Dank dafür!
Michael

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:

> UEFI würde ich immer nur mit Secure Boot betreiben, andernfalls ist es
> deutlich unsicherer als klassisches BIOS. 

Das verstehe ich noch nicht. Gehört wohl zur Einarbeitung.

> Bei Distros wie Ubuntu openSUSE
> oder Fedora ist das kein Problem, da die Bootloader signiert sind. Bei
> Archlinux muss man da selbst Hand anlegen und immer wieder die neuen Kernel
> enrollen. Das ist zwar über ein Helper Tool einfach möglich, aber dennoch
> etwas nervig.
> 
Ist das auch bei Xubuntu so? Das verwenden wir ja in Mülheim. 

> Das Hauptproblem bei UEFI ist, dass es in der Implementierung in den
> Anfangstagen extrem viel Schluderei gab und viele Geräte um 2012 rum
> ziemlich vermurkste Implementierungen haben. Dafür gibts dann in den
> meisten Fällen auch kein Update vom Hersteller.
> 
Was bedeutet das für die Installation von (X)ubuntu auf älteren Geräten mit 
UEFI?

> Ich habe schon von 3 Jahren mein erstes Gerät gekauft, dass nur noch UEFI
> ohne Fallback hatte und das hat in der ersten Zeit auch ziemlich Theater
> gemacht. Ein BIOS Update hat dann aber geholfen und seit dem läuft es rund.
> 

Es scheint mir so, daß die Unterstützung für Leute, die auf GNU/Linux 
umsteigen wollen, deutlich schwieriger wird.

> Besser noch ist natürlich Libreboot oder Coreboot zu verwenden ;)

O.K., gerne! Wo finde ich denn die an die Vielfalt der Rechner, mit denen die 
Leute zu uns kommen, angepaßte Versionen. Wie geht das ohne Eingriff in die 
Hardware. :-)
Im Ernst: Das Verfahren wäre wohl wesentlich Komplizierter und ich glaube 
auch, daß ein größerer Teil der Leute den Eingriff in ihre Hardware nicht 
zulassen würden.


Viele Grüße

Wolfgang


-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Wolfgang Romey (woro)]

Vielen Dank für die vielen Hinweise. Da gibt es jetzt Einiges aufzuarbeiten. 
Vielleicht wird ja sogar so etwas wie ein Handreichung daraus.

Viele Grüße

Wolfgang

-- 

Wolfgang Romey
Krokusstraße 37
47249 Duisburg

geraspora: https://pod.geraspora.de/people/9002a1416a4e4a9d
loadaverage: https://loadaverage.org/hier
tox: wolfgang_ro...@toxme.se

Bitte Anhänge nur in freien Formaten.
Die Nachricht ist signiert, der öffentliche Schlüssel wird auf Anfrage 
zugeleitet.



signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Benedikt Geißler]

Am Dienstag, 12. Juli 2016, 19:20:37 CEST schrieb Wolfgang Romey (woro):
>  Kann ich mich bei der Installation entscheiden, ob
> ich (U)EFI-Boot beibehalten will oder das löschen will und weiter aus dem
> mbr boote?

Nach meiner Erfahrung ist es so, dass Ubuntu und Derivate automatisch die 
passende Partitionierung vornehmen. Dies gilt es insbesondere zu beachten, 
wenn der Rechner sowohl UEFI als auch einen Legacy-Modus „beherrscht“ und 
weiterhin ein Windows parallel installiert sein soll. Man kann es daran 
erkennen, dass im Bootmenü des UEFI mit der Auswahl der zu bootenden Laufwerke 
sowohl ein Eintrag á la "UEFI" sowie "legacy" oder "BIOS" vorhanden ist. 

GNU/Linux ist meines Wissens recht flexibel bzgl. UEFI/legacy und GPT/MBR – 
etwa im Arch-Linux-Wiki kann man für alle 4 Kombinationen Hinweise – und egal, 
was man wählt (UEFI oder legacy), sollte anschließend eine bootfähige GNU/
Linux-Installation vorliegen. Probleme hatte ich nur, als bei einem Rechner 
parallel ein Windows 8 installiert war, welches nicht ohne Umschalten von 
Optionen im UEFI gebootet werden konnte (nach Umschalten im UEFI konnte dann 
aber wiederum nicht das GNU/Linux gestartet werden). Ursache war, dass Windows 
via UEFI startete und die Festplatte mit einer GPT (GUID partition table) 
formatiert war, ich das GNU/Linux-Installationsmedium allerdings im 
Legacymodus gebootet hatte und folglich nicht die EFI-Partition (siehe auch 
https://wiki.archlinux.org/index.php/EFI_System_Partition) genutzt wurde. 
Beheben ließ es sich, indem ich einfach die Linuxdistribution erneut 
installierte, diesmal aber "UEFI" wählte, so dass automatisch die EFI-
Partition mitgenutzt wurde. Windows kann nämlich nur die Kombination GPT/UEFI 
oder MBR/Legacy und wenn dann noch eine Linuxdistribution zusätzlich 
installiert werden soll, muss man das beachten.

Bei reinen Linuxrechnern dürfte das Ganze aber eher weniger ein Problem 
darstellen. ;-)

Freundliche Grüße,
Benedikt Geißler
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Libreboot (was: Re: (U)EFI-Boot)

[Michael Kesper]

Hallo zusammen,

Am 12.07.2016 um 21:16 schrieb Marcus Moeller:

Besser noch ist natürlich Libreboot oder Coreboot zu verwenden ;)


Welche halbwegs aktuelle Hardware kommt dafür in Betracht?

Viele Grüße
Michael (von seinem X60 mit Libreboot)

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Marcus Moeller]

Hi allerseits.

> 
> ein UFI-System bietet kein echtes BIOS mehr an. Für sogenannte 
> Legancy-Beriebssysteme wird allenfalls eine BIOS-Emulation (CSM) 
> bereitgestellt.
> 
> Was man nach meinen Erfahrungen vermeiden sollte, ist die Betrieb mit einem 
> Hybrid-MBR. Dieters ist erforderlich, wenn man UEFI-Kompatible Systeme 
> zusammen mit Legancy-Betriebssystemen betreiben möchte.
> 
> Kritischer in diesem B
> Punkt ist der Umgang mit den speziellen Features der aktuellen Windows 
> Versionen und mit Secure Boot.
> 
> wie man bestimmte Einschränkungen von Secure Boot unter Ubuntu. oder Fedora 
> umgehen kann würde in einen Artikel. der Zeitschrift c't beschrieben.

UEFI würde ich immer nur mit Secure Boot betreiben, andernfalls ist es deutlich 
unsicherer als klassisches BIOS. Bei Distros wie Ubuntu openSUSE oder Fedora 
ist das kein Problem, da die Bootloader signiert sind. Bei Archlinux muss man 
da selbst Hand anlegen und immer wieder die neuen Kernel enrollen. Das ist zwar 
über ein Helper Tool einfach möglich, aber dennoch etwas nervig. 

Das Hauptproblem bei UEFI ist, dass es in der Implementierung in den 
Anfangstagen extrem viel Schluderei gab und viele Geräte um 2012 rum ziemlich 
vermurkste Implementierungen haben. Dafür gibts dann in den meisten Fällen auch 
kein Update vom Hersteller.

Ich habe schon von 3 Jahren mein erstes Gerät gekauft, dass nur noch UEFI ohne 
Fallback hatte und das hat in der ersten Zeit auch ziemlich Theater gemacht. 
Ein BIOS Update hat dann aber geholfen und seit dem läuft es rund.

Besser noch ist natürlich Libreboot oder Coreboot zu verwenden ;)

Viele Grüsse
Marcus
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Irmhild Rogalla]

Am 12.07.2016 um 19:20 schrieb Wolfgang Romey (woro):
> Hallo,
> 
> bei unserem Unterstützungsangebot bei der Installation und Nutzung
> von GNU/Linux kommen immer mal wieder Leute, bei denen (U)EFI-Boot
> eingerichtet ist. Das ist dann immer schwierig. Mit der Zeit werden
> das sicher immer mehr Leute werden.
> 
> Kennt jemand eine möglichst einfache Anleitung für die Installation
> von z.B. debian oder (X)ubuntu. Kann ich mich bei der Installation
> entscheiden, ob ich (U)EFI-Boot beibehalten will oder das löschen
> will und weiter aus dem mbr boote?

Ich kann als Informationsquellen
https://wiki.ubuntuusers.de/EFI_Grundlagen/ und
https://wiki.debian.org/UEFI
empfehlen.

Ich habe beim ersten Mal aus Versehen UEFI-Boot genutzt und bin in
diverse Probleme geraten. Die lagen allerdings im Wesenlichen daran
(habe ich aber erst im Nachhinein erkannt), dass UEFI halt etwas ganz
anderes ist, ein völlig anderes Konzept und dementsprechend auch
(scheinbar) merkwürdige Auswirkungen hat.
Von daher kann ich nur empfehlen: vorher *gründlich*
informieren/einlesen ist ganz wichtig!

Viele Grüße
Irmhild

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Jochen Schmitt]

> Am 12.07.2016 um 20:57 schrieb Michael Kesper :
> 
> Hallo zusammen,
> 
>> Am 12.07.2016 um 19:20 schrieb Wolfgang Romey (woro):
>> bei unserem Unterstützungsangebot bei der Installation und Nutzung von
>> GNU/Linux kommen immer mal wieder Leute, bei denen (U)EFI-Boot eingerichtet
>> ist. Das ist dann immer schwierig. Mit der Zeit werden das sicher immer mehr
>> Leute werden.
> 
> Da hast du bestimmt Recht!
> 
>> Kennt jemand eine möglichst einfache Anleitung für die Installation von z.B.
>> debian oder (X)ubuntu.
> 
> Ich grase immer wieder gerne das ArchLinux-Wiki ab, zu UEFI findet sich da:
> https://wiki.archlinux.org/index.php/Unified_Extensible_Firmware_Interface
> 
> Für Debian scheint das hilfreich zu sein:
> 
> https://wiki.debian.org/GrubEFIReinstall
> 
> Kann ich mich bei der Installation entscheiden, ob ich
>> (U)EFI-Boot beibehalten will oder das löschen will und weiter aus dem mbr
>> boote?
> 
> Dafür muss das System überhaupt noch ein klassisches BIOS anbieten.
> Das ist, soweit ich weiß, längst nicht mehr bei allen Geräten der Fall.
> 
> Viele Grüße
> 

Hallo,

ein UFI-System bietet kein echtes BIOS mehr an. Für sogenannte 
Legancy-Beriebssysteme wird allenfalls eine BIOS-Emulation (CSM) bereitgestellt.

Was man nach meinen Erfahrungen vermeiden sollte, ist die Betrieb mit einem 
Hybrid-MBR. Dieters ist erforderlich, wenn man UEFI-Kompatible Systeme zusammen 
mit Legancy-Betriebssystemen betreiben möchte.

Kritischer in diesem B
Punkt ist der Umgang mit den speziellen Features der aktuellen Windows 
Versionen und mit Secure Boot.

wie man bestimmte Einschränkungen von Secure Boot unter Ubuntu. oder Fedora 
umgehen kann würde in einen Artikel. der Zeitschrift c't beschrieben.

Mit freundlichen Grüßen

Jochen Schmitt
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: (U)EFI-Boot

[Michael Kesper]

Hallo zusammen,

Am 12.07.2016 um 19:20 schrieb Wolfgang Romey (woro):

bei unserem Unterstützungsangebot bei der Installation und Nutzung von
GNU/Linux kommen immer mal wieder Leute, bei denen (U)EFI-Boot eingerichtet
ist. Das ist dann immer schwierig. Mit der Zeit werden das sicher immer mehr
Leute werden.


Da hast du bestimmt Recht!


Kennt jemand eine möglichst einfache Anleitung für die Installation von z.B.
debian oder (X)ubuntu.


Ich grase immer wieder gerne das ArchLinux-Wiki ab, zu UEFI findet sich da:
https://wiki.archlinux.org/index.php/Unified_Extensible_Firmware_Interface

Für Debian scheint das hilfreich zu sein:

https://wiki.debian.org/GrubEFIReinstall

Kann ich mich bei der Installation entscheiden, ob ich

(U)EFI-Boot beibehalten will oder das löschen will und weiter aus dem mbr
boote?


Dafür muss das System überhaupt noch ein klassisches BIOS anbieten.
Das ist, soweit ich weiß, längst nicht mehr bei allen Geräten der Fall.

Viele Grüße
Michael
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de