TPM und Win11/Linux

[spinstone]

Aus den FAQ's:

"
Linux und Windows parallel installieren?

Natürlich lassen sich beide Systeme parallel installieren. Dies kann sowohl auf einer, als auch getrennt auf separaten Festplatten erfolgen. Ob nun HDD, SSD oder NVME ist hierbei vollkommen egal. Dank UEFI muss bei der Installation keine besondere Reihenfolge mehr eingehalten werden. Die Auswahl des Betriebssystems kann über das Bootmenü des Mainboards getroffen werden. Für etwas mehr Bequemlichkeit kann auch der grafische Bootmanager von Linux genutzt werden. Eine Anpassung der Bootreihenfolge ist hierfür eventuell notwendig. Beide Systeme teilen sich eine EFI-Partition.
Ist eine strikte Trennung der Betriebssysteme gewünscht, sollte während der Installation nur das Ziellaufwerk angeschlossen sein. Jedes Betriebssystem nutzt so eine eigene EFI-Partition."

Ich habe Win 10 und Ubuntu 18.04 auf verschiedenen SSD's installiert und starte Linux über den Boot-Manager im UEFI. So möchte ich das auch beibehalten. Meine Frage nun: funzt das auch angesichts TPM 2.0 und Secure Boot weiterhin mit Win 11 und der aktuellen LTS-Version von Ubuntu, also 22.04? Mein derzeitiger PC ist über 10 Jahre alt und damals gabs nicht mal Secure Boot. Bei Win 11 müssen ja TPM und Secure Boot zwingend aktiviert sein, bei Linux nicht.

 

[madmax2010]

Ja, geht.
Hast du eine Frage?

 

[mibbio]

Secure Boot ist meines Wissen keine Pflicht bei Windows 11. Soweit ich weiß, ist das nur eine Auflage für OEMs bei vorinstalliertem Windows, wenn sie einen Windows 11 Aufkleber draufkleben wollen.

Nur TPM ist verbindlich, aber auch das lässt sich zur Not umgehen und Windows 11 auch ohne TPM installieren.

 

[spinstone]

Die Anleitungen zum "Umgehen" in der Registry kenne ich, ich möchte aber eine saubere Installation beider Betriebssysteme haben, ohne Trickserei. Nochmal meine Frage: kann ich Ubuntu 22.04 mit aktiviertem TPM Chip und eingeschaltetem Secure Boot installieren? Oder, wenn zur Installation beides ausgeschaltet werden muss (also im alten Legacy Mode), startet danach Ubuntu bei wieder eingeschalteten Optionen? Wie gesagt: auf zwei getrennten HD's, auch möglichst ohne GRUB beim Linux, gestartet nur über das Auswahlmenü im UEFI (also das mit F11 oä.). Ich habe keine Lust, jedesmal vor dem Linux-Start ins UEFI zu steigen, um Secure Boot und TPM zu deaktivieren.
Dieser neuere Beitrag hier von Heise läßt mich aber ziemlich stutzen (alles wie 2013? Da habe ich mal nächtelang an einem DELL-Laptop rumgefummelt, bis ich endlich Ubuntu neben Win 8 installieren konnte, aber das ist eine andere Geschichte): https://www.heise.de/select/ct/2022/20/2223813341738463324
PS: es soll ein Eigenbau werden, kein fertiger PC.

 

[kim88]

TPM hat keinen Einfluss auf die Linux Partition und Ubuntu hat (wie alle Mainstream Distributionen) kein Problem mit Secure Boot.

Die Empfehlung die es oft in Foren gibt „Secure Boot“ bei der Installation auszuschalten kommt von Menschen die nicht verstehen was „Secure Boot“ ist (das ausschalten ist sicherheitstechnisch völliger Quatsch) oder von Personen die ihr Linux Wissen noch aus dem Jahr 2012 oder so beziehen.

 

[mibbio]

Wie gesagt, Secure Boot ist keine Pflicht bei Windows 11 und das wäre da einzige, was beim Installieren von Linux Probleme machen könnte.

Ich habe selber auch kein Secure Boot aktiv und konnte Windows 11 ganz normal ohne Tricks installieren. Nur TPM hab ich aktiviert.

 

[spinstone]

Sorry, ihr habt den Beitrag in Heise gelesen?

 

[mibbio]

Ja, das ändert aber nichts daran, dass du Secure Boot gar nicht erst aktivieren musst, denn das ist auch bei Windows 11 keine Pflicht. Nur TPM muss aktiviert sein, das geht aber unabhängig von Secure Boot. Und ohne Secure Boot ist der Artikel auch völlig irrelevant.

 

[kim88]

@spinstone hast du ihn gelesen?

Die Folge ist, dass sich zum Beispiel das noch bis 2025 gepflegte Ubuntu 20.04 LTS nicht mehr vom USB-Stick booten lässt – weder für Reparaturarbeiten noch für eine Neuinstallation. Ähnlich verhält es sich mit anderen Linux-Distributionen mit Langzeitunterstützung: Ältere Installationsmedien funktionieren nicht mehr. In den letzten Monaten aktualisierte Linux-Installationen auf Festplatte sollten hingegen einen neuen Bootloader erhalten haben, der nicht auf Microsofts Blacklist steht. Damit gibt es dann keine Bootprobleme. Auch der Installationsdatenträger von Ubuntu 22.04 LTS enthält einen neueren Bootloader mit noch gültiger Signatur und lässt sich deshalb uneingeschränkt verwenden.

Du willst ja Ubuntu 22.04 installieren, also alles kein grosses Thema. Ich bin auch ziemlich sicher, dass Canonical inzwischen die Installationsmedien für 16.04, 18.04, 20.04 mit dem neuen Schlüssel aktualisiert hat.

Microsoft hat ein paar alte Schlüssel aus Sicherheitsgründen deaktiviert, das bedeutet nicht dass Linux Distributionen keine neuen Schlüssel mehr bekommen. Bzw. die neueren Schlüssel die aktuelle Distributionen nutzen sind eh nicht betroffen.

Das ganze war eine Ente mit viel Clickbait Titeln à la "Microsoft verhindert installation von Linux" mit der Realität hatte das aber wenig zu tun.

 

[spinstone]

Bemerkenswert ist nach wie vor (seit immerhin 2013), wie MS als absoluter Monopolist das bestimmen kann. Und das ärgert mich ungmein.
Ob der Beitrag eine "Ente" war kann ich nicht beurteilen, 2013 flogen jedenfals die Emotionen nicht ohne Grund (auch aus beschriebener eigener Erfahrung) ziemlich hoch. Und Heise incl. ct habe ich seit Anfang der 90er immer für kompetent gehalten (was man von den restlichen Printmedien aus dieser Zeit nun nicht mehr behaupten kann).
Vllt. sollte ich ich auch Win10 wieder nutzen beim Neuaufbau. Support ja noch bis 10/25. Der Nutzer-Vorteil von Win11 ist mir eh ein Rätsel.. (aber ok, ich schweife ab vom Thema.)
PS: Wichtig an Win sind mir ausschließlich Lightroom und manchmal Photoshop. Ohne die beiden könnte ich auf MS gerne verzichten.

 

[kim88]

Bemerkenswert ist nach wie vor (seit immerhin 2013), wie MS als absoluter Monopolist das bestimmen kann. Und das ärgert mich ungmein.

War hier aber nicht das Thema. Ausserdem so tragisch wie das manchmal in der OpenSource Szene diskutiert wird ist das nicht.

Irgenjemand muss die Schlüssel von Secure Boot ausstellen und verwalten. Dieser irgendjemand muss das seriös und richtig machen, weil sonst das ganze System "Secure Boot" keinen Sinn macht.

Seit der Einführung von Secure Boot ist dieser Schlüsselverwalter Microsoft. Das gab damals 2013 dieser riesen Aufschrei.

Das ist nun beinahe 10 Jahre her. In diesen 10 Jahren hat noch nie auch nur eine Linux Distribution darüber gejammert, das Micosoft hier irgendwelche Macht ausspielen.

Jede Distribution die wollte hat eine Signatur bekommen, absolut ohne Probleme. Daher wäre es cooler, wenn die Zertifikatsvergabe von einer gemeinützigen Organisation vergeben werden? Ja vielleicht auf dem Papier. Fakt ist das die jetzige Lösung in der Praxis KEIN Problem darstellt.

Die Frage bei einer Organisation die das macht, ist dann wer verwaltet diese Organisation und wie finanziert sie sich. Jetzt kostet so ein Schlüssel von Microsoft 20 oder 25 Dollar Bearbeitungsgebühr - Microsoft macht damit keinen Gewinn.

Wenn eine Organisation dann plötzlich Personal braucht, etc reichen da 20-25 Dollar aber nicht mehr und die Preise müssen hoch - und gerade für die kleinen Community Distributionen dürfte das sicherlich nicht wünschenswert sein.

Daher eben die jetzige Lösung funktioniert seit 10 Jahren, sie ist kosteneffizient.

Ob der Beitrag eine "Ente" war kann ich nicht beurteilen, 2013 flogen jedenfals die Emotionen nicht ohne Grund (auch aus beschriebener eigener Erfahrung) ziemlich hoch. Und Heise incl. ct habe ich seit Anfang der 90er immer für kompetent gehalten (was man von den restlichen Printmedien aus dieser Zeit nun nicht mehr behaupten kann).
Vllt. sollte ich ich auch Win10 wieder nutzen beim Neuaufbau. Support ja noch bis 10/25. Der Nutzer-Vorteil von Win11 ist mir eh ein Rätsel.. (aber ok, ich schweife ab vom Thema.)

Heise bzw die Ct ist ein seriöses Medium. Dennoch leben die von Klicks. Deswegen ist der Titel halt desaströs. Im Artikel schreiben sie ja dann ganz klar wo die Probleme sind.

Das Problem ist folgendes: Wenn du im April 2020 eine Ubuntu 20.04 ISO heruntergeladen und damit einen Bootstick erstellt hast - funktionierte dieser Bootstick irgendwann im Sommer 2022 nicht mehr -> weil Microsoft die damals erstellten Zertifkate inzwischen (wegen einer Sicherheitslücke) zurückgezogen hat.

Daher technisch kann man sagen "Microsoft verhindert das booten von Linux". Wenn du im Sommer 2022, aber eine Ubuntu 20.04 ISO heruntergeladen und damit einen Boot Stick erstellt hast war das kein Problem -> da Canonical da bereits neue Schlüssel hinterlegt hat.

Da man gerade bei LTS Releases bei Neuinstalationen ja eh die Point-Releases installieren will. Du willst heute wenn du 20.04 nutzen willst nicht das 20.04 ISO sondern das 20.04.5 ISO installieren (wegen weniger Updates die du danach machen musst und besserem Hardware Support) war da sganze also auch eher ein theoretisches Problem.

Ob du Windows 10 oder 11 Installieren willst musst du selber wissen.

Keine Ahnung was für eine Maschine das du dir zulegen willst. Aber wegen Adobe CC nutze ich auch noch Windows. Und ich virtualisere Windows 11 mit LXD und das läuft bei mir (Dank starkem Prozessor und genügend Arbeitsspeicher) Extrem flüssig.

Ich nutze Windows 11 quasi im Vollbildmodus auf einem virtuellen Desktop und das fühlt sich dort wie ein natives Windows an, ist für mich das angenehmere Setup als Dual Boot - muss nicht dauern neustarten und man kann auch bequem Dateien zwischen Windows und Ubuntu hin- und herschieben.

Canonical hat hier eine Schritt für Schritt Anleitung wie man ein Windows 11 Setup inerhalb von LXD einrichtet: https://ubuntu.com/tutorials/how-to-install-a-windows-11-vm-using-lxd#1-overview

 

[spinstone]

Danke, aber ich möchte keine virtualisierte Win11-Maschine. Ob darauf LrC u.a. einwandfrei laufen, wage ich zu bezweifeln. Ich möchte einfach nur "saubere" Installationen ohne alle Tricks. Und der neue PC wird keine Supermaschine, ich dachte da an i5-12600K mit der GT 1650.

 

[mibbio]

Ich möchte einfach nur "saubere" Installationen ohne alle Tricks.

Kannst du doch, der ganze Zirkus um Secure Boot ist dabei total egal und du machst dir wegen etwas den Kopf, das dich gar nicht betrifft. Weder für Windows 10 noch für Windows 11 musst du Secure Boot einschalten. Lediglich TPM ist für W11 notwendig und das sperrt dir aber kein Linux aus, weil komplett andere Baustelle.

 

[spinstone]

Also läuft Ubuntu 22.04ff. einwandfrei mit diesem aktivierten TPM Chip?

 

[mibbio]

Dem TPM Chip spielt überhaupt keine Rolle für die Installation eines OS. Der stellt nur cryptografische Funktionen bereit und kann Daten verschlüsselt speichern. Damit, welches OS man installieren und booten kann, hat der gar nichts zu schaffen. Der Chip an sich ist im Grunde passiv und macht nix, bis ein OS oder Programm die oben genannten Features verwenden möchte (bspw. als Passwortspeicher).

 

[kim88]

Ja TPM hat überhaupt keinen Einfluss auf Linux, bzw TPM soll ja auch nicht irgendwas blockieren. Windows nutzt TPM vorallem in Kombination mit "Windows Hello" um die die Hash Werte von Fingerabdrücken oder der IR - Entsperrung -> kryptographisch in einem gesichertem Chip (TPM) gespeichert werden.

Unter Linux ist TPM leider noch nicht soweit (deswegen sollte man unter Linux auch keine Biometrie nutzen (also Fingerabdrücke, Gesichtsentsperrung, etc) da ist Linux zurzeit das unsicherste Betriebssystem auf dem Markt.

Der Entwickler von systemd arbeitet da aber schon seit einiger Zeit daran, dass TPM auch unter Linux sinnvoll anwendbar wird: https://www.golem.de/news/tpm-und-s...verschluesselung-unter-linux-2109-159846.html

 

[Iqra]

TPM halt halt das Problem, daß es an EINE (1) Betriebgsumgebung gebunden wird.

Man MUSS es nicht nutzen, offensichtlich. ABER: Wenn man Win11 einsetzt, dann greift der sich das TPM und dann steht es für Linux nicht mehr zur Verfügung.
Oder genauer: Tut es. Man kann auch unter Linux noch das TPM einrichten... aber man macht es dann für Windows unbrauchbar (und umgekehrt).

Daher gut überlegen ob man es nutzen WILL (und wenn ja, wie und wo) oder ob es nur genutzt werden soll weil Windows das halt verlangt und sonst nix.

 

[spinstone]

Im Grunde bin ich jetzt so schlau wie vorher.... das man heute - nach fast 10 Jahren - überhaupt noch darüber diskutieren muss, macht mich doch sehr stutzig. Arme PC-Welt 2022/23... (damit bin ich wieder beim Monopolvorwurf.. wir drehen uns irgendwie im Kreise hier)

 

[mibbio]

Warum bist du jetzt immer noch nicht schlauer als vorher, nachdem dir hier alles genau erklärt wurde? Ich hab eher das Gefühl, du hast was gelesen, was du selber gar nicht wirklich verstehst bzw. falsch verstehst und siehst dadurch irgendein Problem, das gar nicht existiert.

 

[kim88]

Ok ganz einfach:

Secure Boot ist bei allen Main-Stream Diskussionen kein Problem.
TPM ist bei allen Linux Distributionen kein Problem.

Egal ob Single oder Dual Boot.

Installier einfach Windows 10/11, mach danach ein Ubuntu Boot Stick, boote davon udn wähle im Installer Dual Boot aus.

Es ist wirklich nicht kompliziert. Ich verstehe dein Problem nicht.