[vorerst erledigt] Bugreport: Secure Boot in Debian

[Blackbox]

Hallo Community,

bezugnehmend auf diese News möchte ich einen Wunschlisten-Fehlerbericht fertigen.

Mein Entwurf sieht bisher so aus: 36837.
Die Frage an Euch ist nun, fehlt da noch etwas, oder kann der so abgeschickt werden ?
Danke für die Tipps und Ergänzungen.

[pil]

Möchtest du wirklich deine Linux-Kiste mit Hilfe eines Keys von Microsoft booten? Du scheinst großes Vertrauen in Microsoft zu haben?

Schon allein, wenn man den Begriff "Secure Boot" so ganz ohne Anführungszeichen übernimmt, bezeugt dieses Vertrauen...

[Blackbox]

Möchtest du wirklich deine Linux-Kiste mit Hilfe eines Keys von Microsoft booten? Du scheinst großes Vertrauen in Microsoft zu haben?

Nein, dies war eine völlige Fehlinterpretation !
Ich habe mir zwar auch einen neuen Eigenbaurechner zugelegt, der UEFI benutzt, aber aber »Secure Boot« habe ich auf dem Intel Mainboard nicht.
Mir ging es eher darum, eine Möglichkeit zu schaffen, für Benutzer, die Secureboot nutzen müssen, weil Sie einen Windows 8 Rechner befreit haben und als praktikable Lösung.
Mein Dell und der Thinkpad verwenden ohnehin weder UEFI, noch »Secure Boot«.

Schon allein, wenn man den Begriff "Secure Boot" so ganz ohne Anführungszeichen übernimmt, bezeugt dieses Vertrauen...

Dies hat auch überhaupt nichts mit dem Vertrauen gegenüber Microsoft zutun, denn diese Firma spielt keine Rolle für mich, aber wie kommst du darauf, dass ich Microsoft mein Vertrauen schenke !?
Ich benutze ausschließlich Linux !

[pil]

"Restricted Boot" ist Wettbewerbsbehinderung sondergleichen. Aber da, glaube ich, sind wir uns alle einig.

Was ich gerne wissen würde, ist, warum hier von den zahlreichen Linux-Lobby-Unternehmungen (Linux Foundation etc.) keiner klagt. Die Klage gegen das einseitige MS-Browserangebot in ihrem OS war erfolgreich - zumindest bei der EU-Kommission. Aber diese Einseitigkeit war ein Klacks im Vergleich zum "Secure Boot"-Generalangriff gegen alle.

Mich würde ernsthaft interessieren, warum das von den einigermaßen einflussreichen Linux-Vereinen und -Firmen so einfach hingenommen wird.

(Wobei "hingenommen wird" noch milde ausgedrückt ist. Im Grunde haben sich bestimmten Firmen schon sehr früh quasi mit MS solidarisch erklärt, indem sie sich darum rissen, einen bezahlten Key zu erhalten.)

[hikaru]

Mir ging es eher darum, eine Möglichkeit zu schaffen, für Benutzer, die Secureboot nutzen müssen, weil Sie einen Windows 8 Rechner befreit haben und als praktikable Lösung.

Überlass den Bugreport doch dann bitte den Leuten die wirklich irgendwann davon betroffen sind!
Nach aktuellem Stand muss Secure Boot nach Vorgaben von MS auf x86 immer abschaltbar sein. Falls sich das mal ändert oder ein Hersteller es nicht so genau mit dieser Vorgabe nimmt kann man immer noch handeln. Im Rahmen der Backports wird da im Bedarfsfall schneller was auf den Beinen sein als du schauen kannst. Und gerade um die paar potenziellen Debiannutzer die weder in der Lage sind die Backports einzubinden noch sich shim auf anderem Wege zu besorgen ist es doch nun wirklich nicht schade. Einer dieser anderen Wege wäre z.B. sich das bereits existierende Ubuntupaket zu installieren. Ich habe da mal reingeschaut und es ist wie zu erwarten nicht distributionsspezifisch.

shim und ähnlichen Lösungen wird ja momentan öfter vorgeworfen in vorauseilendem MS-Gehorsam die zweifelhafte Implementierung von Secure Boot durch technische Faktenschaffung abzusegnen. Mit dem Bestreben zum jetzigen Zeitpunkt ohne Not ein entsprechendes Paket in Debian aufzunehmen müsstest du dir den gleichen Vorwurf gefallen lassen. Ich sähe es sogar als positiv an wenn im oben skizzierten hypothetischen Fall der Nichtabschaltbarkeit vorübergehend die Meldung durch's Netz ginge dass Debian kein Secure Boot unterstützt. Das lässt vielleicht doch den einen oder anderen mal kurz nachdenken warum das so ist.
Eine idiotensichere shim-Implementierung kann sowieso bestenfalls nach contrib, da ja der Schlüssel nicht Frei ist.

[Blackbox]

Okay, dann lass ich mal den Fehlerbericht und warte, wie sich dieser Mist weiterentwickelt.
Ich empfinde dieses vorgehen von Microsoft immer noch als Zumutung und bin erstaunt, nein verstört wieso diese Frickelbude so viel Macht hat.

[Ellison]

Nach aktuellem Stand muss Secure Boot nach Vorgaben von MS auf x86 immer abschaltbar sein.

Betrifft das alle aktuellen Kisten auf dem Markt? Ich bin da derzeit nämlich nur durch das Netz informiert, kenne keinerlei aktuellen Geräte. Mein T61 wird im Frühjahr sicher die Grätsche machen, kommt langsam in die Jahre, und sollte dann durch ein neueres Modell der gleichen Firma ersetzt werden, wenn möglich. Fahre seit vielen Jahren mit denen einwandfrei.

Wie verhält es sich denn, wenn ich kein Dual Boot in Anspruch nehmen will, sondern noch vor einem evtl Erststart von Windows8 das ganze gleich wegschieße, also Debian unmittelbar beim Erstboot installiere? Ist das in irgendeiner Form relevant?

[argx3]

Betrifft das alle aktuellen Kisten auf dem Markt?

Zumindest alle aktuellen "Kisten" mit x86-kompatibler Hardware.

Für ein Lenovo IdeaPad Yoga 11 z.B. gilt die Beschränkung nicht.

[frmkrt7]

Betrifft das alle aktuellen Kisten auf dem Markt?

Zumindest alle aktuellen "Kisten" mit x86-kompatibler Hardware.

Für ein Lenovo IdeaPad Yoga 11 z.B. gilt die Beschränkung nicht.

Das heisst also, dass sich auf einem Lenovo IdeaPad Yoga 11 nur Windows 8 RT booten lässt?