Opensuse Bootloader und KB5025885
Hallo Liste, in der ct 9/2024, Seite 148 und in der ct 12/2024 wird ja von den Plänen von Microsoft berichtet, "unsichere" Bootloader auszusperren. Inwieweit betrifft das mich als jemanden, der sein Windows nur in einer Virtual Box betreibt, aber dort regelmässig updatet und inwieweit betrifft das Opensuse im allgemeinen? Zu letzterem Punkt gibt Microsoft nur begrenzt Auskunft und verweist auf die jeweilige Distribution: https://answers.microsoft.com/en-us/windows/forum/all/kb5025885-update-impac... leicht beunruhigt grüßt Rainer -- Rainer Gubanski Hannover
Am 23.05.24 um 22:31 schrieb Rainer Gubanski:
Hallo Liste, in der ct 9/2024, Seite 148 und in der ct 12/2024 wird ja von den Plänen von Microsoft berichtet, "unsichere" Bootloader auszusperren. Inwieweit betrifft das mich als jemanden, der sein Windows nur in einer Virtual Box betreibt, aber dort regelmässig updatet und inwieweit betrifft das Opensuse im allgemeinen? Zu letzterem Punkt gibt Microsoft nur begrenzt Auskunft und verweist auf die jeweilige Distribution: https://answers.microsoft.com/en-us/windows/forum/all/kb5025885-update-impac... leicht beunruhigt grüßt Rainer
-- Rainer Gubanski Hannover
Hi, zu 2. kann ich nix sagen. Ich mach's genauso, ansonsten haben wir, soweit unvermeidbar, gleich originäre Windows-PCs, die sich dann zum Linux connecten... aber an der VM sollte sich da nix ändern. Die Windose sieht doch nur die Ihr als nacktes Eisen vorgehaltene VDISK und darf darauf installieren, was sie will, also auch ihr UEFI-Zeugs, das Dich dann dort ausschließen könnte... wenn Du auf dem selben Image ein paralleles Linux installieren wölltest... wirst Du ja wohl nicht vorhaben... -- cu jth
Rainer Gubanski schrieb:
in der ct 9/2024, Seite 148 und in der ct 12/2024 wird ja von den Plänen von Microsoft berichtet, "unsichere" Bootloader auszusperren. Inwieweit betrifft das mich als jemanden, der sein Windows nur in einer Virtual Box betreibt, aber dort regelmässig updatet und inwieweit betrifft das Opensuse im allgemeinen?
Es gibt ja den "Deal" zwischen den Linux-Distributionen und Microsoft mit dem "shim.efi". Das ist eine Zwischenschicht ("shim" ist im Englischen die Unterlegscheibe) zwischen EFI und dem eigentlichen Bootloader. D.h. shim.efi ist von Microsoft signiert und bringt mit "MOK" noch mal eine eigene Signatur-Mimik oben drauf mit. D.h. z.B. der von OpenSuse mitgelieferte grub hat eine Signatur, die in der MOK-Datenbank registriert ist. Will man ein eigenes EFI-Binary starten, kann man es auch selbst signieren und den eigenen Public Key in der MOK-Datenbank ablegen. Microsoft hat das in soweit in der Hand, als dass alte "unsichere" shim-Versionen (also solche mit echten Sicherheitslöchern) "gesperrt" werden können, indem das entsprechende Zertifikat revoket werden kann. Das ist auch vor einiger Zeit mal geschehen. Langer Rede kurzer Sinn: Es ist extrem unwahrscheinlich, dass es jemals Probleme geben wird, wenn nicht eine Distri mal glaubt, sich mit Microsoft anlegen zu müssen. -- Manfred Härtel, DB3HM mailto:Manfred.Haertel@rz-online.de http://rz-home.de/mhaertel
participants (3)
-
Jörg Thümmler -
Manfred Haertel, DB3HM -
Rainer Gubanski