Die Mär von Linux und UEFI Secure Boot “Out of the Box”

9 Kommentare Autor: Jürgen (jdo)

Windows 8 UEFI Secure Boot kein Linux 150x150Und weil ich derzeit schon dabei bin, wieder mal so viel über UEFI Secure Boot zu berichten, hier mal ein Beitrag, was die Distributoren als “Out of the Box” hinnehmen. Ich hatte es heute schon im Beitrag zur FSF-Kampagne gegen Secure Boot geschrieben, dass der Anwender der Depp ist und möchte das mal untermalen. Wie Matthew Garret in seiner Liste der Linux-Distributionen mit UEFI-Secure-Boot-Unterstützung beschreibt, ist Ubuntu 12.10 derzeit die einzige stabile Linux-Version, die mit diesem “Out of the Box”-Support kommt.

Ich persönlich verstehe ja unter “Out of the Box” einlegen und loslegen. Im Falle meines Acer Aspire V3-571G musste ich UEFI Secure Boot deaktivieren, da ich Linux Mint sonst nicht installieren konnte. Nun habe ich gerade eben mal ein Ubuntu 12.10 64-Bit auf einen USB-Stick gebannt und UEFI Secure Boot aktiviert. Der Start davon – Fehlanzeige – nicht vertrauenswürdig. Nun musste ich zunächst ein Supervisor-Passwort in der Firmware anlegen, sonst hätte ich die EFI-Dateien auf dem USB-Stick gar nicht erst in die Datenbank der Vertrauenswürdigen aufnehmen können. Schritt 1 und 2 also: Mit F2 in die Firmware und Passwort festlegen. Nun die restlichen Schritte in Bildern. Den letzten, wo man der vertrauenswürdigen Datei noch einen Namen geben muss, habe ich ausgelassen. Nach dieser Tortur lässt sich dann Ubuntu 12.10 “Quantal Quetzal”, das auch Shim verwendet, tatsächlich im Modus UEFI Secure Boot starten. Installiert habe ich es allerdings nicht – wer weiß, was da noch für Überraschungen warten.

UEFI Secure Boot: Schritt 3

UEFI Secure Boot: Schritt 3

UEFI Secure Boot: Schritt 4

UEFI Secure Boot: Schritt 4

UEFI Secure Boot: Schritt 5

UEFI Secure Boot: Schritt 5

UEFI Secure Boot: Schritt 6

UEFI Secure Boot: Schritt 6

UEFI Secure Boot: Schritt 7

UEFI Secure Boot: Schritt 7

So und nun mal die Frage in die Runde: Sieht das nach “Out of the Box”-Unterstützung aus, die man jemandem zumuten möchte, der Linux nur mal eben ausprobieren will? Ich habe diesen Beitrag auch deswegen geschrieben, weil das Problem oft heruntergespielt wird: Ja mei, da nimmt man den Shim und gut ist es – ich weiß gar nicht, warum sich alle so aufregen. Vielleicht änderst Du Deine Meinung nun, weil die Prozedur nicht ganz so “straightforward” ist – vor allen Dingen für Leute, die nicht mit BIOS, Firmware und so weiter auf Du und Du stehen. Das schreckt ab!

Das ist natürlich noch nicht alles. Sollte Windows 8 Fastboot aktiviert sein, kommt man vielleicht gar nicht erst in die Firmware, weil die Tastatur erst nach dem Start des Betriebssystems initialisiert wird. Somit muss man Windows mit gedrückter Shift-Taste neu starten und dann ein zu startendes Gerät auswählen. Ist mir nun nicht passiert, wurde aber von Matthew Garret beschrieben, der anscheinend einige Berichte zu diesem Problem erhalten hat. In einem Kommentar zu dem Windows-8-Tipp kam eine sehr interessante Frage auf: Was ist, wenn ich die Windows-8-EULA bei einem Erststart nicht akzeptieren möchte (weil ich eh Linux oder ein anderes Betriebssystem auf dem Gerät betreiben will), aber ohne dies zu tun wegen Fastboot nicht in die Firmware komme, um UEFI Secure Boot zu deaktivieren?

UEFI Secure Boot: Eventuell Schritt 7

UEFI Secure Boot: Eventuell Schritt 8

Nun muss entweder der Begriff “Out of the Box” neu definiert werden oder man stellt sich auf die Seite der Leute – dieser Prozess ist ein absolutes Unding! Vor dem Kauf eines PCs oder Notebooks sollte man sich unbedingt informieren, ob man UEFI Secure Boot deaktivieren kann.

Wenn man bedenkt, wie sehr sich die Linux-Community bemüht hat, eine Dual-Boot-Installation so einfach wie möglich zu machen – oder überhaupt die Installation von Linux – und sich das von Microsoft produzierte Theater nun mal genauer ansieht … das ist in meinen Augen schon über der Grenze zu unlauterem Wettbewerb. Es schießt einem unweigerlich der Spruch von Cato dem Älteren in den Kopf: Ceterum censeo Microsoftem esse delendam!

Persönlich würde ich einfach empfehlen, UEFI Secure Boot zu deaktivieren und Windows 8 einfach gar nicht zu starten – man kann ja, wenn man es wirklich braucht, indem man diese Microsoft-Bürde wieder aktiviert. Windows 8 sieht sowieso aus, als hätte man einen Nintendo Gameboy unter dem Einfluss haluzinogener Pilze aus der Heimat hochgefahren.

UEFI Secure Boot an oder aus?

UEFI Secure Boot an oder aus?




 Alle Kommentare als Feed abonnieren

9 Kommentare zu “Die Mär von Linux und UEFI Secure Boot “Out of the Box””

  1. Michael says:

    Toller Bericht. Ich weiss schon warum ich von UEFI nichts halte und es möglichst noch jahrelang vermeiden möchte.

  2. killx_den says:

    Hab mir extra nochmal einen dicken Gaming PC zusammengebastelt vor dem Windoof 8 start, und da läuft jetzt ein schönes Fuduntu drauf =)

    UEFI Secure Boot sollte man verbieten, und die kosten fürs wieder abschaffen sollte M$ übernehmen.

  3. phlK says:

    Sehr interessante Details - Danke! Erklärung: ich arbeite schon länger an einem Artikel zum Thema "Kann ein Kaufvertrag über Hardware mit Windows 8 und Secure Boot überhaupt wirksam erfüllt werden?" (nach deutschen Recht) ... leider habe ich noch immer nicht ausreichend Zeit gefunden, die technische Hintergründe für eine rechtliche Bewertung zu meiner Zufriedenheit zu recherchieren. 🙁 ... Mal sehen vielleicht schaffe ich es dieses Jahr 😉

    So long!

  4. Frieder says:

    Danke für die Anleitung!

    Für alle Windows 8 genervten habe ich hier eine Anleitung bezüglich der Installation von Ubuntu auf einem Ultrabook. Auch hier kann UEFI "aktiviert" bleiben...

    http://www.webstimme.de/2013/01/11/ubuntu-linux-auf-ultrabook-von-sony-installieren-anleitung-howto/

    • Windoof8 says:

      Halte zwar auch nix von UEFI und Windoof, noch weniger von Win8. Da ich aber trotzdem zwischendurch auf Win angewiesen bin, habe ich es auf meinem neuen Notebook HP Compaq CQ58 belassen. Es nahm mich wunder, ob ich Ubuntu 12.10/secure, welches ich nebst anderen BS auf dem ASUS-Desktop-PC montiert habe, auf's Notebook bringe. Kein Problem - mit UEFI-Secure-Boot!
      1. Im UEFI-Bios geprüft, ob Secureboot an; Legacy ausgeschaltet.
      2. Zuerst in Windoof mit der Datenträgerverwaltung (suchen nach Festplattenpartitionen) die C:-Partition verkleinert um 100 GB und dann eine neue Partition (NTFS) => F: angelegt.
      3. Ubuntu-Live-CD-UEFI (Linux Secure Remix) gestartet und mit gparted neue Partition geprüft.
      4. Installation begonnen. Dann wählen bei Installation: Deutsch, Software von Drittanbietern installieren und dann: „Etwas Anderes“.
      5. Sofort angeklickt, dass der Bootloader in sda5 (= in Windows F:) installiert werden soll.
      6. Dann „Ändern“ angeklickt -> Neue Partitionsgrösse: 300 MB (woraus er dann selber 3222 MB gemacht hat (anscheinend das Minimum). Naja, auf ein paar Gigas kommt's nicht an. „Benutzen als: EFI-Boot-Partition“. Mount Point - „Einbindungspunkt: /boot/efi“. Der Mount-Point konnte nicht gesetzt werden. Eigentlich müsste man wahrscheinlich keine neue EFI-Partition machen, wenn man allerdings weitere Linux-Systeme montieren will, dann sollte/muss man das tun, wird gesagt (er hat aber sowieso sda2 genommen, wenn ich mich nicht sehr irre!):
      „Since Ubuntu 12.04, it is possible to re-use an existing Windows7 EFI partition (without formatting it). If you use a previous version of Ubuntu, or if you have several installations of GNU/Linux in EFI mode, it is safer to create a new EFI partition EFI.“
      https://help.ubuntu.com/community/UEFI
      http://www.thomas-krenn.com/de/wiki/OS-Installation_auf_UEFI-Systemen
      http://wiki.ubuntuusers.de/Baustelle/EFI_Installation_Erfahrungsberichte
      7. Mit „Hinzufügen“ habe ich nun den Rest der Partition sda5 (F:) - resp. jetzt die neue Partition „Freier Speicherplatz“ - für den Swap gekürzt um 4 GB und die Partition mit ext4 formatiert auf dem neuen Mount-Point root („Einbindungspunkt: /“) - ergab dann sda7. Auf sda6 ist nun die Recovery-Partition.
      8. Danach noch den Swap mit 4 GB erstellt auf dem restlichen „Freier Speicherplatz“, der nunmehr sda8 wurde.
      9. Der Rest war ein Kinderspiel.
      Beide BS laufen prima, was natürlich nicht besagt, dass das auch auf anderen Kisten funzt.

  5. [...] Bei meiner Suche bin ich auf folgenden Artikel von BITblokes gestoßen, welcher es mit einer kleinen Fotodoku  sehr gut darstellt: http://www.bitblokes.de/2012/12/die-mar-von-linux-und-uefi-secure-boot-out-of-the-box/ [...]

  6. Mike says:

    Also ich kann mich dem Breicht nur anschließen.
    Habe ebefalls den V3 571G und bin Anhänger kleine "lightweight" Distributionen wie Puppy. Diese können bis auf eine Ausnahme kein UEFI. Also keine Chance mit vernünftigen Dualboot. Außer man schaltet ständig im BIOS UEFI aus und benutzt ein externes Bootmedium. (Dazu muß aber zuerst ein Passwort vergeben werden. Nicht mal ACER selbst konnte mir das sagen und es wird auch nirgnds beschrieben).

    "Dann nimm halt den SHIM" heißt es so schön. Ich hab damit herumgespielt und versucht "nicht UEFI" Distis zu starten ... aber bin gescheitert Vielleicht geht das irgendwann mal "einfach".

    Das Dumme ist auch das UEFI eine GPT Partitiontabelle verwendet und auf dieser kein GRUB installierbar ist ... und so kommt erschwerend dazu: Wie die Partitionstabelle umstellen ohne die Windows Wiederherstellungspartition zu verlieren, denn ein Win8 Installationsmedium liegt ja nicht mehr bei.

    Letztendlich habe ich sicherheitshalber meine Orginalfestlatte mit Clonezilla gesichert mir eine Win8-Pro InstallationsDVD geliehen, den Rechner platt gemacht, Dos-Partitiontablle erstellt, Windows8 komlett neu und sauber ohne Crapware installiert ( ich hatte da so meine Bedenken ob das dann mit der Win8 online Aktivierung alles so klappt, aber funktionierte tadellos ), Grub drauf und dann auch meine kleine Pinguine.

    Jetzt habe ich echtes out-of-the-box zurück.

    Mag sein das UEFI Vorteile bietet und auch der gute alte MBR als Boot-Medium nicht mehr wirklich aktuell ist aber das nur noch von Microsoft zertifizierte Bootloader (UEFI) gestartet werden können empfinde ich schon als starkes Stück und soll "out-of-the-box" von nicht Windows OS wohl eher verhindern und erschweren. Aus der Perspektive von Microsoft ein genialer Schachzug!

  7. Papa Schlumpf says:

    Ich habe das Problem auf meine weise gelöst, 1 UEFI abschalten, 2 Festplatte löschen, 3 Linux Mint mit Mate Desktop drauf und ab 2012 ist mein PC Microsoft frei. Dieser Schritt war schon lange überfällig und fühle mich seit dem besser!

  8. Bachsau says:

    Wer nicht in der lage ist, sein BIOS/UEFI richtig einzustellen, der ist auch für Linux zu blöd. Also who cares?