News Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates

[PCGH-Redaktion]

15 Jahre nach ihrer Einführung laufen die für Secure Boot notwendigen Zertifikate aus. Ohne eine Aktualisierung werden Systeme unsicher. Immerhin: In den meisten Fällen wird das Update automatisch installiert.

Was sagt die PCGH-X-Community zu Secure Boot: Zertifikate laufen aus, Microsoft reagiert mit Windows-Updates

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.

 

[Ampere]

Wäre nett, wenn ihr auch etwas zu den Umständen bei Linux dazu etwas schreiben könntet. Bei Linux wird vermutlich nur das manuelle UEFI-Update helfen

 

[EM_EN]

Hatte soeben den gleichen Gedanken, wie verhält es sich mit Linux....

 

[TeSla67]

Hatte soeben den gleichen Gedanken, wie verhält es sich mit Linux....

Dem werde ich mich mal anschließen.

 

[Astorek86]

Können neuere UEFI-Systeme nicht mittlerweile selbst ein UEFI-Update im UEFI-Modus durchführen? Sprich: USB-Stick mit exFAT oder FAT32 formatieren, UEFI-Update-Datei drauf, und im UEFI-Modus dann "Update" auswählen und auf die UEFI-Update-Datei navigieren.

Unter Linux gibt es noch das Tool "fwupd", was bei einigen (aber leider nicht allen) Mainboards funktionieren soll.
https://wiki.ubuntuusers.de/fwupd/

Last but not least (das ist dann aber wirklich der "Techniker-Weg" und sollte man wirklich nur tun, wenn man weiß was man tut!) kann man auch eigene Zertifikate mit beliebigem Ablaufdatum generieren lassen. Nochmal: Nur für Leute, die wissen was sie tun!
https://wiki.archlinux.org/title/Un...rface/Secure_Boot#Assisted_process_with_sbctl

 

[Capucius]

Ich habe vor kurzem erst bei CachyOS den Signierungsprozess von Hand gemacht, also UEFI in den Setup Mode und dann die boot-Dateien mit sbctl mit den von MS gelieferten Keys signieren. Ich denke dieser Prozess bleibt gleich, es werden halt nur neue Keys von MS benötigt.

 

[Tolotos66]

MS macht ein Update? Auweia.
Gruß T.

 

[KleinerLoeschZwerg]

Ein Linux das eine gute Uefi Secure Anleitung anbietet, das auch Secure Boot mit Linux funktioniert, das spielt auch gleichzeitig die neusten Windows Zertifikate ein. Man kann auch schauen, wie es mit einem aktuellen Mainboard Bios aussieht. Eigentlich seit letzten Sommer nichts mehr neues, weil da schon alles über die Bühne laufen sollte.

 

[Black_Beetle]

Das ist nicht ganz korrekt dass durch Windows Updates die Zertifikate aktiviert werden denn es muss zwingend erstmal Secure Boot manuell deaktiviert werden anschließend das Windows neu gestartet werden damit die Zertifikate platziert werden. Danach kann man Secure Boot wieder aktivieren.

Woher ich das weiß? Weil es meine Ereignisanzeige zeigt. Siehe hier aber wenn sich im Juni das Secure Boot dann deaktiviert kann ich weiter faul sein statt ins Bios zu gehen und kurz Secure Boot selber zu deaktivieren :-p

Anbei ein zweites Bild eines anderen Systems. Gleiche Meldung im Ereignisprotokoll

 

[h_tobi]

Ich habe vor kurzem erst bei CachyOS den Signierungsprozess von Hand gemacht, also UEFI in den Setup Mode und dann die boot-Dateien mit sbctl mit den von MS gelieferten Keys signieren. Ich denke dieser Prozess bleibt gleich, es werden halt nur neue Keys von MS benötigt.

Das Prozedere musste ich auch durchgehen, wobei es erst nach einigen Versuchen geklappt hat.
Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.

 

[Capucius]

Das Prozedere musste ich auch durchgehen, wobei es erst nach einigen Versuchen geklappt hat.
Mit meinem Asus MoBo waren die Beschreibungen im Bios sehr verwirrend und ich habe nicht wirklich Lust
den ganzen Kram wieder durchkauen zu müssen. Mittlerweile läuft Cachy schon sehr gut, im Zweifel mache
ich SecureBoot für die Zukunft aus, dann kommt das Zweitsystem (Win11) eben weg, nutze es aktuell eh nicht mehr.

Bei mir ging es auf Anhieb, was hat denn bei dir nicht geklappt?

Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.

 

[BxBender]

na immerhin sorgt das dann ja mal für durchgeführte Zwangsupdates ^^

 

[h_tobi]

Bei mir ging es auf Anhieb, was hat denn bei dir nicht geklappt?

Ich will ja aber auch unter Linux signieren Bootdateien, das ist schon ein deutlicher Schutz gegen persistente Malware.

Keine Ahnung, war ja ganz am Anfang, Cachy konnte nicht installiert werden oder ähnliches, habe dann mittels KI
xxx- Befehlen im Terminal und diverse Resets + neuladen im Bios den Kram irgendwann ohne Fehlermeldung hinbekommen.

Da es aber angeblich über Bios updates gehen soll, habe ich es nicht verstanden, ich update das Bios regelmäßig, hätte also aktuelle Daten haben müssen (laut Artikel). Aber irgendwie hat einer der beiden die Daten nicht gefressen, könnte sogar Win 11 gewesen sein, beim Versuch das andere System zu booten...
Wie gesagt, war mein 2ter Versuch überhaupt, Nobara hatte damals gar nicht geklappt (Reset der Einstellungen) vlt. wegen Dualboot und Secure Boot, wer weiß.

Habe aber Win11 die letzten Wochen nicht mehr benutzt und vermisse es aktuell auch nicht, das letzte Mal war vor 3-4 Wochen, als ich die Corsair K100 RGB Tastatur programmieren musste, habe die G-Tasten belegt und im internen Speicher der K100 hinterlegt, dann brauche ich nämlich keinen Linux Treiber (der existiert eh nicht).
Die G910 Tastatur von Logitech ist deswegen weg, das G430 Headset auch schon, immerhin läuft die G502 Hero ohne Probleme mit der RGB Software von Cachy. In Zukunft wird nur noch Linux kompatibel eingekauft.