Secure Boot, TPM und die Paranoia der deutschsprachigen Linux Community

Ich muss mal wieder einen kleinen Rant ablassen. In einem anderen Forum wo es um Windows 11 TPM, Secure Boot und Linux ging wurden wieder so viele falsche Informationen verbreitet - und diese auch noch verteidigt - dass ich manchmal einfach nur noch den Kopf schütteln kann.

Viele von euch werden es kennen. Die paar Tipps die man jemanden mitgibt wenn er das erste mal Linux ausprobieren will. Da sagt man oft vorab geh in dein BIOS und schalte dort TPM und Secure Boot aus sonst funktioniert Linux nicht.

Ausnahmslos alles an diesem Tipp ist falsch. Erstens heisst das nicht mehr BIOS sondern UEFI, alles an Computer, dass nicht älter als 15 Jahre ist wird UEFI und kein BIOS mehr haben. Zweitens hat Linux absolut keine Probleme mit angeschaltetem Secure Boot zu booten.

Und was TPM mit dem Boot-Prozess zu tun haben soll - kann auch niemandem erklären.

Das Problem an diesen "Tipps" ist nicht nru das sie falsch sind, sondern dass massiv die Sicherheit des Computers kompromittiert wird, wenn man diesen Tipps folgt.

Um zu verstehen woher dieses Halbwissen kommt muss man erstmal verstehen was Secure Boot und TPM ist und auch die Geschichte dahinter ergründen.

Secure Boot

Secure Boot wurde mit UEFI in Version 2.3.1 ein Teil der UEFI Spezifikation. Diese Spezifikation definiert das ein Betriebsystem nur geladen werden darf wenn es mit einer Signatur signiert wird, deren Vertrauenswüridigkeit im UEFI hinterlegt ist.

Die Idee dahinter ist, RootKits (und andere Malware) zu verhindern, die sich schon vor dem Booten in das Betriebssystem einnisten können.

Es ist in erster Linie ein Sicherheitsfeature. Es gibt unter Android und iOS bereits vor der Einführung von Secure Boot ähnliche Mechanismen - die haben dann z.b. das Booten von Custom Roms verhindert.

Auf dem PC/Computer Markt wurde Secure Boot mit Windows 8 relevant. Da Microsoft allen Hardware-Herstellern die Windows 8 per Default ausliefern wollen vorgeschrieben hat, dass Secure Boot vorhanden und aktiviert sein muss.

Windows 8 kam 2012 auf den Markt, also vor rund 10 Jahren kam die breite Einführung von Secure Boot.

Was hat das mit Linux zu tun?

Das ist etwas komplizierter. Das Problem an diesem Signatur Verfahren ist, dass man eine Organisation braucht, die diese Signaturen vergibt. Die dürfen aber nich jedem gegeben werden weil sonst Schadsoftware Hersteller ebenfalls an diese Signaturen kommen.

Die grossen Hardware-Hersteller haben sich darauf geeinigt, dass sie nur Signaturen vertrauen die von Microsoft herausgegeben werden. Das macht in Ihrer Logik Sinn, da sie Ihre Computer ja eh mit Windows verkaufen und alternative Betriebssysteme bei Ihnen nicht wirklich auf dem Radar waren.

Es gab vor 10 Jahren in der OpenSource Community dann die grosse Befürchtung, dass man Linux auf seinem Rechner gar nicht mehr installieren kann, da Microsoft die Schlüssel verwaltet und die Computer mit aktiviertem Secure Boot verkauft werden.

Das ganze war aber halb so schlimm, da die UEFI Spezifikation auch die Möglichkeit vorsah, dass man Secure Boot im UEFI ausschalten kann.

Microsoft selbst, hat bereits früh zugesichert, dass alle Betriebsysteme die eine Signatur wollen die auch unkompliziert bekommen sollen - und Microsoft hat dieses Versprechen die letzten 10 Jahre ausnahmslos gehalten.

Daher alle Mainstream-Linux-Distributionen nutzen heute einen von Microsoft siginierten Bootloader um ihr System mit aktivem Secure Boot booten und installieren zu können.

Als die neue Hardware auf den Markt kam, waren aber die meisten Linux Distributionen noch nicht ready. Wir kennen ja alle das Point-Release Modell. Sprich das aktuelle verfügbare Ubuntu hatte noch kein Secure Boot Support -> erst die Version die dann ein paar Monate später erschienen ist.

Daher wurde als Lösung vorgeschlagen im UEFI Secure Boot einfach zu deaktivieren.

Dieser Tipp von damals hat sich leider bis heute gehalten. Viele deaktivieren direkt Secure Boot bevor sie Linux Installieren, statt Linux einfach mit aktiven Secure Boot zu installieren. Obwohl ALLE Main-Stream Dsitributionen (Debian, Ubuntu, Linux Mint, Fedora, openSuse, etc) längst absolut keine Probleme mit Secure Boot hat.

Warum ist das dumm?

Naja immer mehr Software und Service Anbieter verstehen (oder werden politisch dazu gedrängt es zu verstehen), dass die Sicherheit ihrer Nutzer und deren Daten wichtig ist.

Seit Jahren kommunizieren wir bei Kurznachrichten (egal welcher Messenger) mit End-2-End Verschlüsselung. Das war nicht immer so, Wer mag sich noch an die ICQ, MSN und Skype Zeiten erinnern? Das war damals alles Klartext.

Und auch WhatsApp war zu Beginn nicht E2E verschlüsselt.

End-2-End Verschlüsselt bedeutet. Das wenn ich von meinem Gerät eine Nachricht an dein Gerät schicke. Wird diese Nachricht auf meinem Gerät verschlüsselt. Und auf deinem Gerät entschlüsselt. Der Dienstanbieter hat keinen Schlüssel und kann so die Nachrichten nicht mitlesen, da sie nur auf deinem und meinem Gerät in Klartext vorliegen.

Auch Webseiten sind heute beinahe nur noch über https:// erreichbar -> auch das war früher nicht so. Damit können Anbieter von öffentlichen Wlans z.b. nicht mehr die Inhalte der Webseiten mitlesen die oder verändern die du besuchst.

Apple beginnt nun damit ihre Cloud Inhalte E2E zu verschlüsseln (vorerst nur in den USA), so das die nun ebenfalls nicht mehr von dritten gelesen werden können.

Partitionsverschlüsselung ist unter Android, iPhone- / iPad OS, Mac OS und Windows inzwischen per DEFAULT eingeschaltet und aktiv.

Wir haben in den letzten 20 Jahren extrem viel für unsere Datensicherheit erreicht. Das Problem ist, all diese Bemühungen bringen am Ende nichts, wenn unser Boot Prozess auf unserem Computer nicht abgesichert ist.

Es bringt mir nichts, wenn man Nachrichten und Dateien alle schön verschlüsselt sind, wenn eine Schadsoftware sich beim booten in das Betriebssystem einnisten und nach dem booten alle diesen Daten lesen, verarbeiten oder sogar versenden kann.

Daher eine bitte von mir an euch alle: Bitte gebt niemanden als ersten Tipp, dass er "Secure Boot" ausschalten soll. Es kann Situationen geben wo man Secure Boot ausschalten muss (z.b. wenn man Virtual Box verwendet, da das Kernel-Modul von Virtual Box nicht sginiert ist). Aber auch da könnte man vorher überlegen ob man vllt nicht besser mit KVM/QEMU arbeitet bzw. virt-manager und gnome-boxes, die dieses Problem nicht haben.

Aber TPM muss man ausschalten oder?

Erstmals. TPM hat nichts mit dem Boot Prozess zu tun egal ob auf Windows oder Linux. TPM ist nun mit der Veröffentlichung von Windows 11 wieder in den Fokus gerückt.

Da Windows 11 das erste System ist, das (endlich!) zwingend TPM benötigt um benutzt zu werden. Ich sage hier endlich, weil das längstens Zeit wurde. Bevor ich aber näher darauf eingehe kurz eine Erklärung, was TPM eigentlich ist.

TPM ist ein zusätzlicher Chip in deinem Computer. Dieser Chip ist passiv, der macht von sich aus gar nichts ausser er wird vom Betriebssystem direkt angesprochen - deswegen kann TPM auch das booten nicht beeinflussen.

Dieser Chip ist über eine spezielle kryptgrafische Signatur an den Computer gebunden. Wenn man den Chip aus Computer A herausnimmt und in Computer B reinsteckt wird er dort nicht funktionieren und man kann die Daten dort nicht auslesen, da der TPM-Chip dann eben weiss, dass er nicht mehr mit dem Computer verbunden ist für den er ursprünglich hinterlegt wurde.

Damit hat man eine sehr gute Möglichkeit, dass man besonders sensible Daten in den TPM Speichern kann. Dieser TPM Chip kann nur auf deinem Computer und nicht auf anderen Geräten gelesen werden. Was in Kombination mit Secure Boot (das verhindert das Schadsoftware auf dem Computer gebootet werden kann) eine sehr sichere Möglichkeit bietet um dort z.b. biometrische- oder gesundheitsdaten (die zu den besonders schützenswerten Daten gehören) zu speichern.

Solche Chips sind ebenfalls keine Erfindung aus der Computer Welt. Apple dürfte hier der erste gewesen sein, der diese Art von Chip 2013 flächendeckend eingesetzt hat. Damals mit der Veröffentlichung vom iPhone 5s.

Das iPhone 5s war das erste iPhone (und auch so ziemlich das erste Smartphone überhaupt) mit einem Fingerabdruck Scanner (oder wie Apple es nennt - TouchID).

Das iPhone 5s war damit auch das erste iPhone das die (wie Apple es nennt) "Secure Enclave" in seinem SoC verbaut hat. Secure Enclave ist ein Extra Chip der über einen kryptografischen Schlüssel fest mit dem iPhone verbunden wurde und in einem anderen iPhone deswegen nicht funktionieren bzw. gelesen werden konnte. Kommt euch bekannt vor? Ja es ist 1:1 die gleiche Funktionsweise wie TPM.

Apple nutzt bis heute in den iPhones, iPads und auch allen anderen Geräten die man über Fingerabdruck oder Gesichtscan entsperren kann. Der Hashwert der Finger- oder Gesichtsabdrücke werden dort gespeichert - und auch sensible Daten die man in der Gesundheits Apps von Apple hinterlegen kann (Blutgruppe, Allergien, etc).

Das ist auch der Grund, warum man nur eine begrenzte Anzahl an Finger für die Fingerabdrucksperre hinterlegen kann (Speicher ist begrenzt) und das ist ebenfalls der Grund, dass ihr Face- oder TouchID wenn ihr ein neues Gerät kauft immer wieder neu einrichten müsst - da diese Daten nicht über die Cloud synchronisiert werden sondern immer nur in diesem Extra-Chip auf dem jeweiligen Gerät hinterlegt sind.

Als Fingerabdruck Sensoren auf Smartphones normal wurden, wurden auch solche Extra Chips auf Android Geräten normal. Bei Samsung läuft das alles unter dem Thema Samsung Knox, Google nennt ihren Chip "Titan M Chip" - heisst bei jedem Hersteller etwas anders ist aber immer vorhanden.

Zurück zum Computer

Genug Smartphone für heute, gehen wir zurück zu den Computern. Auch hier konnten Computer-Hardware Hersteller plötzlich wieder von der Smartphone-Sparte lernen.

Und TPM ist geboren. Microsoft nutzt TPM in Kombination mit "Windows Hello".

"Windows Hello" ist ein bisschen das was unter Linux PAM ist. Es ist der Authentifizierungsdienst wo man Benutzer an- und abmelden kann. Entweder über Benutzerpasswort, Active Direcotry Accounts, Fingerabdrücke oder Infrarot-Gesichtsscan.

Unter Windows werden diese Daten (sofern TPM vorhanden) im TPM gespeichert. Seit Windows 11 wird das (endlich!) zwingend vorausgesetzt. Das ist gut für mich, für dich und für alle, diese diese biometrischen Entsperrmethoden benutzen.

Wie viele wissen, kann auch Linux mit Fingerabdruck-Scannern und sogar auch mit Infrarot Gesichtserkennung arbeiten und das für die Anmeldung oder für einzelne Apps (z.b. Passwort Manager oder sudo) nutzen.

Das Problem ist, unter keinem System ist das so "unsicher" wie unter Linux. Im Bereich der biometrischen Datenverarbeitung ist Linux das unsicherste Betriebssystem auf dem Markt - weil weder fprint (Fingerabdruck Software) noch howdy (IR-Gesichtserkennung), noch sonstetwas TPM benutzt.

Zurzeit wird hart daran gearbeitet, dass systemd eine Schnittstelle zu TPM einbaut. Und dann dann Dienste wie fprint diese Schnittstelle nutzen können, um die Fingerabdruck-Hashes ebenfalls im TPM zu speichern.

Fertig ist das allerdings noch nicht, und bis es dann - gerade in die LTS Distributionen einfliesst - wird es sicherlich noch ein paar Jahre dauern.

Anfängern aber den Tipp zu geben TPM auszuschalten bleibt quatsch. Da Linux diesen Chip zurzeit nicht nutzt und TPM ein passiver Chip ist tut der unter einer Linux Installation zurzeit gar nichts.

Und wenn Linux dann mal TPM Support hat, und TPM auf dem Rechner der Person aktiv ist -> profitiert er von mehr Sicherheit.

So entschuldigt den langen Text, aber ich musste mir das einfach mal von der Seele schreiben 😅

Ja Pop OS nutzt nicht den offiziellen Ubuntu Kernel sondern einen eigenen. Und kümmern sich nicht um Microsoft Signatur (die sie problemlos bekommen würden).

Der Punkt ist, dass System76 Pop_OS! wird hauptsächlich für ihre eigene Hardware aus - wo sie Secure Boot standardmässig ausgeschaltet haben - warum auch immer.

Und Arch Linux liefert per Default ebenfalls keinen signierten Bootloader aus. Kann man aber selber konfigurieren, das gilt dann auch für Arch Linux Abkömmlinge wie Manjaro.

Grundsätzlich halte ich das für einen Fehler der Distributionen - aber es ist natürliche ihre Freiheit das so zu handhaben wie sie es für richtig halten.

Ändert aber nichts daran, das weder Arch, Manjaro noch PopOS einen abgesicherten Boot-Prozess haben -> was seit vielen Jahren unter Windows, Android, iOS, Mac OS und eigentlich auch Linux der Standard ist.

Naja UEFI schreibt ja nicht vor, dass Microsoft dieser Zertifizierer sein muss. Das haben im Grunde Hardware Hersteller so entschieden.

Der Punkt ist man könnte Alternativen schaffen, wenn man es nervend findet.

Ein gutes Beispiel dazu ist Let's Encrypt. Der Grund warum früher viele Webseiten nicht über https funktioniert haben, war dass die SSL Zertifikate sehr teuer werden. Teilweise über 100 Euro im Jahr.

Natürlich hätte man auch selber zertifizieren können, aber die Browser hätten dieses Zertifikat als ungültig anerkannt, da die Signatur eben von keiner in den Browser hinterlegten vertrauenswürdigen Organisation zertifiziert wurde.

Mit Let's Encrypt wurde ein gemeinnützige Organisation gegründet die kostenlos SSL Zertifikate für alle Webseitenbetreiber zur Verfügung stellt. Und es eben auch geschafft hat als "vertrauenswürdige Organisation" in die Browser zu kommen.

Statt über das böse Microsoft zu fluchen, könnte man seine Zeit und Energie ja für so was einsetzen. Ich denke Microsoft hätte nicht mal was dagegen, diese Zertifizierungen nicht mehr selber machen zu müssen.

Ich bezweifle allerdings das das passiert. Der Leidensdruck ist da geringer. Es gibt sehr viel weniger Distributionen als es Webseitenbetreiber gibt. Und viele Distributionen müssen sich damit gar nicht selber auseinander setzen -> als Beispiel Linux Mint die nutzen 1:1 den Ubuntu Kernel -> müssen sich also nicht selber darum kümmern da sie davon profitieren dass Cannonical sich schon gekümmert hat.

Und selbst wenn man sich als Distribution darum kümmern muss, ist es kein finanzieller Kraftakt. Microsoft verlangt einmalig eine 20 oder 25 Dollar hohe (hab den genau Preis nicht im Kopf, aber eines der beiden ist es) Bearbeitungsgebühr.

Die SSL Zertifikate für Webseiten musste man damals jährlich bezahlen und waren um einiges teurer.

Und ausserdem, sind die die am lautesten gegen alles meckern, in der Regel nicht die Kräfte die selber was auf die Beine stellen können. Sondern eben nur die die Meckern.

Das geht nachträglich. Hier eine Anleitung für Ubuntu: https://wiki.ubuntuusers.de/EFI_Nachbearbe…oot-nachruesten

Da die verschiedenen Dsitributionen Secure Boot immer ein bisschen anders umsetzen - kann es gut sein dass diese Anleitung nicht automatisch auch für Fedora oder andere Distributionen passt.

Ich bin ja der Ansicht, dass man Manjaro aus diversen Gründen meiden sollte -> ist aber eine rein subjektiv persönliche Ansicht und ich will auch niemandem Manjaro madig machen, der gerne Manjaro benutzt.

Am Ende muss man halt für sich selber wissen, wie wichtig einem etwas ist.

Und wenn man Manjaro oder Pop OS liebt und unbedingt nutzen möchte aber auch auf Secure Boot nicht verzichten will -> man kann es bei beiden mit etwas Aufwand und Gebastel nachrüsten.

harihegen unter Ubuntu mit dem Befehl:

sudo mokutil --sb-state

Das gibt dann folgende Ausgabe (Screeshot stammt von virtueller Maschine, daher dort ohne Secure Boot):

Wie gesagt Distributionen implementieren Secure Boot unterschiedlich daher kann der Befehl für Fedora oder andere Distributionen ein anderer sein. Google wird da helfen.

Bzw. wenn man Gnome 43 (oder höher) benutzt, sieht man die Info auch in den Systemeinstellungen da GNOME 43+ inzwischen davor warnt wenn Secure Boot deaktiviert ist.

Das sieht dann so aus:

"verdorben" scheint etwas gar merkwürdig übersetzt sein. Sollte man eventuell mal KDE Lokalisierungsteam mitteilen das die Übersetzungen da etwas abenteuerlich sind.

Wenn du den Nvidia Treiber von der Nvidia Webseite installierst geht Secure Boot nicht. Bzw. du hättest das Nvidia Kernel Modul selber signieren müssen.

Das entfällt wenn man - wie man übrigens immer sollte - das Kernel Modul der Distribution nutzt. Weil beim wenn du den Nvidia Treiber selber installierst musst du das beim nächsten Kernel Update ebenfalls wieder selber manuell machen.

Ich bin nicht so in deinem Thread drinnen, und der sollte auch dort und nicht hier behandelt werden. Aber den Screenshot den du dort angehängt hast, wäre ja der Assistent gewesen der dich durch die Secure Boot Konifguration geführt hätte und den hast du offenbar abgebrochen.