This is a MIME-formatted message. If you see this text it means that your E-mail software does not support MIME-formatted messages.

Hallo Thomas,
On Sat, Dec 25, 2021 at 07:18:38AM +0100, Thomas Müller wrote:

Danke, mein Englisch ist nicht das Beste, weswegen ich eure Arbeit
wirklich sehr schätze.

Gerne.

Trotzdem ist mir bei der Suche nach Informationen zum *Dual-Boot* eine Unschärfe augenfällig geworden.

In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
beschrieben. Dieser Artikel <cid:[email protected]> stellt
das meiner Einschätzung nach in Zweifel, zumindest wenn es sich um
*aktuelle EFI Firmware* handelt.

Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
(Lokal oder im Web (mit URL))?

Deiner Beschreibung nach könnte es sein, dass Dein Bericht weniger die Übersetzung betrifft, als das eingentliche englische Original.

Viele Grüße

Helge

--
Dr. Helge Kreutzmann [email protected]
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/

-----BEGIN PGP SIGNATURE-----

iQIzBAABCAAdFiEEbZZfteMW0gNUynuwQbqlJmgq5nAFAmHGwukACgkQQbqlJmgq 5nBOJA//Qd94Jfov0tUZdOM/md6K2kWdsdt8ZLbqFDxmgTBTKfCBVHfOdJkvOWoz FD8LFpviikUziAwIhAL9pDBwU8jfU96QitJTzwNcR9vmyvgSowHCB+gR3RePvH9v q5JdFeeb+c11QYfqSrCm+yN8cA/sMCcP5yTl+Fh7B+0mihWjrQeooGz1u6WioDs4 /TmqQtdhLiaxiKnIoQcmYnVZg1Sge7JZL22OG2mnP/KIy+VsnE1fTtt3yX7gTW6h PN3cTa1qqTomIfDUbAWzpr/k8on0RoD9spGmRFmzvr4FMFdLHqLp48nFg2uaL9dQ q5WvgYY4vJug9SM+7qS3XE9T5T1kzG35+TBsEjhDJ2/eguKqoDejyb3o1k8eHxTa PgeoobJwSgiAxtlo0Fh5H+Vju51JUk5+YgHPS2F8S3J/WAcESe+YzofcWpxp6gAz vWVhuGmfqrdnkdQxtXcuzPGIN6IZ9HE6h9RkyFp6UPFLh0mku/yoX685WmA7mHcX nfqL5RLS/bUGf6QshF3/0WEV2uLjY7HXLtavnXYFbQIOMtq2TfArb5kmMHnIWwK+ XOCmTAG8N39cj6F63SiHOKqNqPNRqWaqIqZDCQc

Hallo Zusammen,

Helge Kreutzmann <[email protected]> schrieb am 25. Dezember 2021

In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
beschrieben. Dieser Artikel <cid:[email protected]>
stellt das meiner Einsch�tzung nach in Zweifel, zumindest wenn es
sich um *aktuelle EFI Firmware* handelt.

Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
(Lokal oder im Web (mit URL))?

mit dem cid-Verweis kann ich nichts anfangen, aber das
Installationshandbuch ist etwas Vertrautes und unter

https://www.debian.org/releases/stable/i386/ch03s06.en.html
https://www.debian.org/releases/stable/i386/ch03s06.de.html

online. Die �bersetzungen sind von Holger Wansing und an dem Abschnitt
3.6.4 finde ich keine Schwachstelle. Es ist einfach so, dass im
englischen Original auch nichts genaueres steht; man sich obendrein
ausmalen kann, wo der Hase im Pfeffer liegt. N�mlich, dass freie Softwareentwickler L�sungen f�r Probleme finden m�ssen, die im �berschneidungsbereich mit kommerziell entwickelter Software kreiert
werden.

Deiner Beschreibung nach k�nnte es sein, dass Dein Bericht weniger
die �bersetzung betrifft, als das eingentliche englische Original.

Das ist bei 3.6.4. der Fall. Das hei�t, Thomas M�ller m�sste irgendwie dokumentieren, was in welchem Kontext nicht funktioniert. Vielleicht
ist der Kontext so speziell, dass man in einem Installationshandbuch
nicht darauf eingehen kann. Die besten Stellen, hier weiterzukommen,
sind vielleicht die deutsche Benutzer-Mailingliste von Debian oder
eine beliebige IRC-Chatgruppe zu Linux.

Unten Original und �bersetzung des angesprochenen
Anleitungsabschnittes

Viele Gr��e
Markus

---------------------------------------------------------------------

3.6.4. Secure boot

Another UEFI-related topic is the so-called "secure boot"
mechanism. Secure boot means a function of UEFI implementations that
allows the firmware to only load and execute code that is
cryptographically signed with certain keys and thereby blocking any (potentially malicious) boot code that is unsigned or signed with
unknown keys. In practice the only key accepted by default on most
UEFI systems with secure boot is a key from Microsoft used for signing
the Windows bootloader. Debian includes a "shim" bootloader signed by Microsoft, so should work correctly on systems with secure boot
enabled.

3.6.4. Secure Boot

Ein anderes Problem mit Bezug zu UEFI ist der sogenannte #Secure Boot"-Mechanismus. Secure Boot ist eine Funktion in
UEFI-Implementationen, die es der Firmware nur erlaubt, Code zu laden
und auszuf�hren, wenn dieser kryptografisch mit bestimmten Schl�sseln
signiert ist; so wird jeglicher (m�glicherweise b�sartiger) Boot-Code,
der nicht oder mit unbekannten Schl�sseln signiert ist, blockiert. In
der Praxis ist der einzige Schl�ssel, der auf den meisten
UEFI-Systemen mit Secure Boot standardm��ig akzeptiert wird, ein
Schl�ssel von Microsoft, der genutzt wird, um den Windows-Bootloader
zu signieren. Debian enth�lt einen von Microsoft signierten
#shim"-Bootloader, daher sollte es auf Systemen mit aktiviertem Secure
Boot korrekt funktionieren.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi,

Helge Kreutzmann <[email protected]> wrote (Sat, 25 Dec 2021 08:06:35 +0100):

On Sat, Dec 25, 2021 at 07:18:38AM +0100, Thomas M�ller wrote:

Trotzdem ist mir bei der Suche nach Informationen zum *Dual-Boot* eine Unsch�rfe augenf�llig geworden.

In Kapitel 3.6.4 des Handbuchs wird Secure Boot als problemlos
beschrieben. Dieser Artikel <cid:[email protected]> stellt
das meiner Einsch�tzung nach in Zweifel, zumindest wenn es sich um *aktuelle EFI Firmware* handelt.

Kannst Du noch mal den Link angeben, was/wo genau Du gelesen hast?
(Lokal oder im Web (mit URL))?

Der "Artikel" stammt von der Debian-Website: https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/

Deiner Beschreibung nach k�nnte es sein, dass Dein Bericht weniger die �bersetzung betrifft, als das eingentliche englische Original.

Das trifft zu, Thomas' Anmerkungen betreffen nicht prim�r die �bersetzung, sondern erstmal das englische Original.



Zum eigentlichen Thema:

Thomas hat nicht unrecht, die BootHole-Problematik (und das ganze Drumherum) wird im Installationshandbuch nicht genannt.

Ist allerdings ja auch noch relativ neu (Mitte 2020).

Und: wenn wir hier von der Installationsanleitung zu Debian Stable reden, k�nnte man argumentieren, dass Bullseye (als aktuelles Stable) von den Boothole-L�cken nie betroffen war; die L�cken wurden geschlossen, bevor Bullseye als Stable ver�ffentlicht wurde.

Nat�rlich schadet es nicht, es trotzdem zu dokumentieren, wer wei�, was davon noch mal wieder kommt...
(Oder mit anderen Worten: es wurden *nur* die *bekannten* L�cken geschlossen!)

Bleibt aber die Frage, ob die Installationsanleitung f�r Debian der passende Ort ist f�r solche beweglichen Ziele...
Den jeweils aktuellen Stand wird man dort nie dokumentiert haben k�nnen.

Ich werde mal schauen, ob ich zumindest eine Art allgemeinen Hinweis einf�gen kann, um das Thema grunds�tzlich abzubilden.



Holger


--
Holger Wansing <[email protected]>
PGP-Fingerprint: 496A C6E8 1442 4B34 8508 3529 59F1 87CA 156E B076

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)