Linux Secure Boot Zertifikate

Andreas1975

Andreas1975

Volt-Modder(in)
Was in der Windows Welt für vermeintlichen Handlungsbedarf sorgt isz für Linux bzw BSD Nutzer nicht relevant.
Soit erübrigt sich eine Frickelkram-Anleitung zum aktualliseiren dieser Zertifikate zu schreiben. Da sollen die windows
Nutzer mal frickeln. Wobei das ja vorerst nicht zwingend notwendig ist.
Keien FK-Anleitung aber einen Artikel dazu:
borncity.com

Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?

Im Juni 2026 laufen UEFI Secure Boot-Zertifikate für Windows ab. Im Oktober 2026 trifft es dann das nächste ablaufende UEFI-Zertifikat für den Secure Boot. Microsoft versucht seit geraumer Zeit…
borncity.com borncity.com
 
Ich weiß nicht, ob man davor unter Linux prinzipiell gefeit ist, außer natürlich man nutzt Secure Boot einfach nicht. Shim usw. sind ja auch gegen ein Zertifikat von MS signiert, das irgendwann ausläuft. Allerdings bleiben bereits signierte Treiber ja wohl erst mal gültig und unter Linux ist es meines Wissens nach so, dass nicht jeder Treiber einzeln signiert ist, sondern der Shim quasi als Bootstrap agiert, der danach alles lädt und der sich quasi nicht ändert.

Falls da jemand mehr Durchblick hat, gerne korrigieren und/oder ergänzen.
 
Ich lerne und arbeite mich ja (seit nun 2 Jahren) immer noch in Linux ein.
Da mein Plan ist, trotzdem ein W11 im DualBoot zu haben für den eventuellen Fall das doch mal eine Software zickt, und prinzipiell weil es nicht das schlechteste ist ein fertig eingerichtetes BS in Reserve zu haben und da man hin und wieder vielleicht doch das ein oder andere Game zocken will was SecureBoot voraussetzt und mir auf meiner Windows Installation dann auch Wurst ist.

Aus diesem Grund nutze ich eh nur Distris (im Dauereinsatz) die SecureBoot Kompatibel sind ohne da Händisch nacharbeiten zu müssen.
So wäre das in meinem Fall:

KDE neon (für die Debian/Ubuntu Familie)
Fedora (RedHat)
Manjaro (Arch)

So verlief in etwa auch mein lern weg.
Am Anfang durch X Distris getestet und von nichts eine Ahnung gehabt.
Mint/Ubuntu/Tumbelweed/Catchy und Konsorten gefiel mir (auf dauer) nicht.

Dann mit KDE neon angefangen langsam das Debian/Ubuntu Universum zu lernen.
Später auf Fedora geswitcht - und als den Mix zwischen Stabilität und Aktualität lieben gelernt.
Und noch später hab ich angefangen mich in Arch einzuarbeiten. Wo ich Anfangs, auch hier im Forum, immer gesagt habe ich werd damit nicht warm, inzwischen aber doch recht warm mit geworden bin.

Manjaro hat dann noch den Vorteil (sofern man Wert drauf legt) das es eine Europäische Distro ist.
 
Andreas1975 schrieb:
Ich wüsste nict warum ich das nutzen sollte?
Zum Vergrößern anklicken....
Naja, man kann nicht sagen, dass es gar keinen Nutzen hat. Dem gegenüber steht halt ein gewisser Verwaltungsaufwand und den Würgegriff, den Microsoft darüber hat. Ich persönlich nutze es auch nicht. Aber auch abseits der bewussten Entscheidung dafür oder dagegen gibt es noch die Möglichkeit, dass man es "ausversehen" nutzt, einfach weil es in aller Regel standardmäßig aktiviert ist und einige größere Distros es unterstützen.
 
"Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?"

Da secureboot eine Microsoft-Erfindung ist und ich unabhängig von MS bin, passiert zumindest bei mir, einfach gar nichts. Juckt mich nicht. Hab secureboot/TPM aus, in meinem UEFI.

Brauche das weder für mein Betriebssystem(edit: aktuell Manjaro, nachdem Cachy letztes Mal nicht installieren wollte), noch für meine Spiele. :-)

MS kann mich mal! :D

Edit: War neugierig, was da noch mal stand, im UEFI.
Extra mit dem Handy gescreenshottet, da ich im UEFI kein Screenshot machen konnte.

PXL_20260216_125340136.jpg PXL_20260216_125351182.jpg
Nix Key. Brauch' ich nich. :)

Edit:

Aber um Win11 User zu beruhigen.

Ganz am Ende des im Topic verlinkten Artikels steht:

"Und Windows 10-Systeme werden auch mit Secure Boot ohne Zertifikatsupdates weiter laufen. Lediglich neue Windows-Versionen werden möglicherweise auf solchen Maschinen Probleme bereiten. Wobei ich das eher als "theoretische" Möglichkeit sehe, denn neue Windows 11-Versionen werden eh immer mehr Hardware-Anforderungen stellen, so dass ein Secure Boot-Zertifikat das geringere Übel darstellt. Und neuere Geräte sollten bereits mit den 2023er Secure Boot-Zertifikaten ausgeliefert werden."

Wer hat also so eine alte Kiste, mit den ersten Zertifikaten, die jetzt ablaufen und dann am besten noch Win11 auf der alten Rappelkiste (Ein Ding der Unmöglichkeit, wegen der Hardware-Anforderungen?)?

Unwahrscheinlich.

Es passiert also: Nix.
Hoffentlich.
 
Zuletzt bearbeitet:
Klar secure boot und tpm/ftpm können ein eindringen ins System erschweren aber eben nicht verhindern.
Erfunden wurde das von MS um ein unsicheres System besser abzusichern. Geklappt hat das so halb.
Stichworte "Black Lotus" Leak von MasterKeys (z.B. MSI um Schadsoftware zu signieren" Schwachstellen im UEFI oder Sniffing.
Am besten hilft immer noch Brain oder ein offline PC.
Ich kenne Leute die eine gecrackte Windowsversion und gecrackte Software benutzen und dann all diese tollen Sicherheitsfunktionen nutzen und sich sicher fühlen, da kannste noch soviel erzählen aber die sind Teflonbeschichtet und da bleibt nix hängen
Ich benutze nichts von den ganzen tollen Erfindungen, weder unter Linux noch unter MS.
 
Tkrei schrieb:
Klar secure boot und tpm/ftpm können ein eindringen ins System erschweren aber eben nicht verhindern.
Zum Vergrößern anklicken....

Dazu 1 Berühmtes Zitat:

"Das schwächste Glied in der Sicherheitskette ist das menschliche Element."

Edit: Wir alle sind Menschen, und Menschen können Fehler machen und / oder übersehen wichtige Dinge, oder können Sachen vergessen usw. usw., sprich: Der Mensch ist nicht Perfekt. :-)
 
Zuletzt bearbeitet:
LDNV schrieb:
Ich lerne und arbeite mich ja (seit nun 2 Jahren) immer noch in Linux ein.
Zum Vergrößern anklicken....

LDNV schrieb:
Am Anfang durch X Distris getestet und von nichts eine Ahnung gehabt.
Zum Vergrößern anklicken....

LDNV schrieb:
Und noch später hab ich angefangen mich in Arch einzuarbeiten. Wo ich Anfangs, auch hier im Forum, immer gesagt habe ich werd damit nicht warm, inzwischen aber doch recht warm mit geworden bin.
Zum Vergrößern anklicken....

Diese Einstellung finde ich sehr gut. :daumen:

You need learning material from the lpi guys ? ;)
 
_Oskar_ schrieb:
Dazu 1 Berühmtes Zitat:

"Das schwächste Glied in der Sicherheitskette ist das menschliche Element."

Edit: Wir alle sind Menschen, und Menschen können Fehler machen und / oder übersehen wichtige Dinge, oder können Sachen vergessen usw. usw., sprich: Der Mensch ist nicht Perfekt. :-)
Zum Vergrößern anklicken....
Umso wichtiger ist es Mechanismen zu haben, die Fehler verhindern bzw. erschweren. ASLR verhindert Buffer Overflows auch nicht vollständig, macht es aber so aufwendig, dass die Häufigkeit seit Einführung um mehrere Größenordnungen geringer geworden ist. Da jammert auch keiner herum, dass es nicht 100% effizient ist. Mit Secure Boot ist es genau so. Ich verstehe ehrlich gesagt nicht, warum ausgerechnet bei Secure Boot Leute der Meinung sind, sich öffentlich dazu äußern zu müssen obwohl sie das Konzept anscheinend nicht verstanden haben.
 
Capucius schrieb:
Umso wichtiger ist es Mechanismen zu haben, die Fehler verhindern bzw. erschweren. ASLR verhindert Buffer Overflows auch nicht vollständig, macht es aber so aufwendig, dass die Häufigkeit seit Einführung um mehrere Größenordnungen geringer geworden ist. Da jammert auch keiner herum, dass es nicht 100% effizient ist. Mit Secure Boot ist es genau so. Ich verstehe ehrlich gesagt nicht, warum ausgerechnet bei Secure Boot Leute der Meinung sind, sich öffentlich dazu äußern zu müssen obwohl sie das Konzept anscheinend nicht verstanden haben.
Zum Vergrößern anklicken....

Ein kurzer älterer Artikel dazu:

www.heise.de

Sicherheit contra Offenheit – ein Kommentar zu Secure Boot

Secure Boot ist kompliziert, frickelig und wird von Microsoft dominiert. Stattdessen brauchen wir offene sichere Systeme, meint Christof Windeck.
www.heise.de www.heise.de
 
Capucius schrieb:
Da jammert auch keiner herum, dass es nicht 100% effizient ist. Mit Secure Boot ist es genau so. Ich verstehe ehrlich gesagt nicht, warum ausgerechnet bei Secure Boot Leute der Meinung sind, sich öffentlich dazu äußern zu müssen obwohl sie das Konzept anscheinend nicht verstanden haben.
Zum Vergrößern anklicken....
Es geht dabei lediglich um das MS Monopol bei der Schlüsselverwaltung.
 
_Oskar_ schrieb:
Ein kurzer älterer Artikel dazu:
Zum Vergrößern anklicken....
Ja, dass es nur in den Händen von MS ist, ist schlecht. Ich hätte gerne auch eine wirklich offene Alternative. Aber solange es die nicht gibt, ist Secure Boot aktiviert zu haben besser als es nicht aktiviert zu haben, da es die Wahrscheinlichkeit persistierte Malware abzukriegen deutlich reduziert.
 
Was soll denn eine "offene Alternative" sein?
Eine für jeden zugängliche Datenbank, die auch jeder manipulieren darf?
 
Capucius schrieb:
Wäre mir neu, dass jeder z. B. die Let's Encrypt root CA manipulieren darf.
Zum Vergrößern anklicken....
Ausschließlich alle beteiligten unterliegen den US Gesetzen und rücken ganz selbstverständlich alle Personen und systembezogenen Daten raus, wenn die Regierung darum bittet.

WAS daran soll anders sein als bei MS?
Das sieht nur auf dem Papier besser aus, unterliegt aber den gleichen Bedingungen.
Tekkla schrieb:
Eine Organisation ähnlich dem ICANN? Jedenfalls eine Organisation, die sich darum kümmert, dass nicht ein Mitglied aus wirtschaftlichen Gründen anderen Anbietern Arme wie Beine und Kopf amputieren kann.
Zum Vergrößern anklicken....
Nenne mir Mal die letzten fünf, populären Beispiele, wo Microsoft das getan hätte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Sven
News Windows 11: Secure-Boot-Frist 2026 ist (k)ein hartes Aus
2
Antworten
20
Aufrufe
1K
Weedotastisch
Weedotastisch
PCGH_Jacky
News Alarm für Secure Boot: Zertifikate laufen im Sommer aus, Microsoft liefert Windows-Tool
2 3
Antworten
54
Aufrufe
4K
Incredible Alk
Incredible Alk
PCGH-Redaktion
News Windows 11: Secure-Boot-Frist im Juni 2026 - das droht ohne Update
2 3
Antworten
52
Aufrufe
3K
_Oskar_
_Oskar_
PCGH_Jacky
News Windows 11: Neues Secure-Boot-Update für alle PCs - so prüfen Sie die Installation
Antworten
19
Aufrufe
972
RotRotGruen
RotRotGruen
PCGH-Redaktion
News Selbst prüfen: Hat Windows 11 die neuen Secure-Boot-Zertifikate bereits angewandt?
Antworten
18
Aufrufe
14K
Andreas1975
Andreas1975
Oben Unten
Zurück