Secure-Boot unter Stretch?

[Strunz_1975]

Hallo,

unter dem neuen "Ubuntu" kann man bereits bei der Installation "Secure-Boot" abschalten!
Wie sieht es unter "Debian-Stretch" aus?

Mfg
Strunz_1975

[BenutzerGa4gooPh]

Secure Boot einfach abschalten ist doch kunstfrei (momentan BIOS-Option) und nicht Ziel der Sache.

Secure Boot ist ein Teil der UEFI-Spezifikation, der die Echtheit bzw. Unverfälschtheit von wichtigen Software-Teilen der Firmware garantieren soll. Kritische Teile der Firmware, wie der OS-Loader, sollen nur mehr dann ausgeführt werden, wenn sie zuvor durch eine vertrauenswürdige Institution dazu autorisiert wurden. Dadurch werden unter anderem Rootkits ausgeschlossen, die sich schon vor dem Boot des Betriebssystems (OS) einnisten.

Durch kryptografische Mechanismen (Signaturen) wird verhindert, dass nicht vertrauenswürdige Software-Teile ausgeführt werden.

Die Schlüssel in der UEFI-Firmware prüfen die Authentizität von z.B. Bootloadern. Ein Bootloader wird nur dann ausgeführt, wenn er eine gültige "Unterschrift" vorweist.[1] Kann eine Unterschrift nicht überprüft werden bzw. ist sie nicht gültig wird das System am Starten gehindert. Entspricht z.B. die Unterschrift des Bootloaders nicht der, die die UEFI-Firmware erwartet, startet das System nicht.

https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot

Stand Debian:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=820036
https://wiki.debian.org/SecureBoot

Stand Ubuntu:
https://wiki.ubuntu.com/SecurityTeam/SecureBoot
https://wiki.ubuntu.com/UEFI/SecureBoot
(So richtig schlau draus werde ich nicht, my english language is bad.)

[schwedenmann]

Hallo



Nur als Zusatzinfo: Unter Sid kann man anscheinend secure-boot mittlerweile lassen, denn die kernel von unstable sind jeweils in unsignierter und signierter Form vorhanden.


mfg
schwedenmann