K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa (diskuse)

AbcLinuxu:/ Blogy / Poradna / K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa / K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

7.6.2018 20:29 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Odpovědět | Sbalit | Link | Blokovat | Admin

Vitejte!
Kdyz pomoci Gparted vytvorite na disku 4 primarni partition tak uz windows si zadnou nevytvori a nejak se smiri s tim ze musi mit jen jeden oddil k cinnosti. Tedy jeden oddil ntfs pro windows, druhy ext4 nebo jiny Vam blizky pro / Vasi distribuce, dalsi ntfs na spolecna data a posledni swap. Toto plati pro legacy. Jak to bude s UEFI si nejsem zcela jist.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

7.6.2018 21:30 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Skvělá myšlenka, díky za ní! Škoda, že mě to nenapadlo při instalaci Windows. Teď už mám vše odladěno a zabralo to poměrně dost času a znovu to už dělat nebudu. Leda, že by to přímo vadilo šifrování. To bych pak musel. Každopádně si to do budoucna budu pamatovat. Ještě jednou díky.

9.6.2018 22:24 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

No, trochu jsem googlil a myslím, že při UEFI by mi to nepomohlo, protože tam (GPT) může být údajně až 128 primárních oddílů. I když fiktivně by to vytvořit šlo, ale jak psal Max, pro Windows je MSR dobrý.

8.6.2018 00:21 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Odpovědět | Sbalit | Link | Blokovat | Admin

Nejdříve je třeba pochopit, jak funguje legacy boot, jak funguje UEFI, jak to funguje na Win a jak na linuxu.
I MS má v tomto ohledu celkem ok dokumentaci.

Jinými slovy, pokud jedeš legacy boot (bios boot + MBR), tak ti stačí rozložení :

1. primary - Windows OS
2. primary - Linux OS
3. primary - společná data na NTFS
4. primary - linux swap

Pokud si toto rozložení vytvoříš předem, tak win se s tím sžijí a použijí ji a nevytváří si svoje vlastní nastavení.

Jinak standardně win rozdělují v legacy tak, že si vytvářejí boot partition (+ případně i recovery, asi od win10), tj. pro win přívětivější rozdělení pak vypadá :

1. primary - Windows boot 300MiB
2. primary - Windows OS
3. primary - Recovery
5. logical - Linux OS
6. logical - společná data na NTFS
7. linux swap

Pokud jde o UEFI + GPT, tak standardní rozložení u win je :

1. partition - EFI System Partition (FAT + boot soubory Win)
2. partition - Microsoft reserved partition (MSR - od Win10, používá se 16MiB velikost). Dřív se pro dynamické disky u Win rezervovalo volné/hidden místo na konci disku, což mělo velikost asi 7-8MiB. To s GPT už není tak dobře možné, proto Win používají MSR (pro metadata dynamických disků - LDM a věci s tím spojené, připomenu, že pokud chceš mít ve Win sw RAID, tak musíš použít dynamické disky)
3. partition - Windows OS
4. partition - Recovery (jsou tam base věci pro recovery konzoli, něco podobného jako recovery v rámci instalačního dvd), nemusí existovat, můžeš jí odstranit a v případě nouze prostě použít instalační dvd/flash disk

Jinak rozložení UEFI s Win + Linux dual boot bych pak viděl takto :

1. partition - EFI (Windows + Linux loader)
2. partition - MSR
3. partition - Windows OS
4. partition - Windows Recovery
5. partition - Linux OS
6. partition - společná data na NTFS
7. partition - linux swap

Pokud tedy řešíš, jak se zbavit 16MiB MSR, tak rovnou říkám, že to není dobrý nápad. Standard je MSR mít a Win s tím počítají.
Zdar Max

Měl jsem sen ... :(

8.6.2018 00:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Jinak pro úplnost ještě dodám, že v linuxu existuje ještě tzv. "BIOS_GRUB" partition (BIOS Boot Partition). Ta slouží k bootu z UEFI pomocí legacy režimu. Tzn. máš GPT rozdělení, ale nemáš MBR, kde by jsi měl first stage pro grub. Tato partition tento problémek řeší. Velikost může být 1-2MiB
Jinými slovy, pro čistý boot z UEFI by neměla být potřeba.
Některé distribuce mají ale součástí instalátoru i nutnost tuto partition vytvořit. V takovém případě bych rozdělení viděl takto :

1. partition - EFI (Windows + Linux loader)
2. partition - MSR
3. partition - Windows OS
4. partition - Windows Recovery
5. partition - BIOS_GRUB
6. partition - Linux OS
7. partition - společná data na NTFS
8. partition - linux swap

Toto rozložení nemám vyzkoušené. Zatím jedu všude buď linux only, nebo mám dual boot na starých věcech, kde ještě jen bios.
Zdar Max
PS: pokud se pletu, tak mně někdo opravte, díky

Měl jsem sen ... :(

8.6.2018 13:19 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Díky moc za ten odkaz na tu dokumentaci. Ten MSR si tedy nechám. Recovery nechci (když tak použiju DVDčko), protože partyšnu na data chci mít mezi Windows a Linuxem, abych mohl oddíly zvětšovat, nebo zmenšovat podle potřeby. Swap taky nechci. Takže takhle:

1. Loader (UEFI)
2. MSR
3. Windows
4. Data
5. Linux

Chci Windows šifrovat VeraCryptem (nástupce TrueCryptu) a Linux bude na LUKS a LVM. Otázkou je, jaké oddíly mám tím VeraCryptem šifrovat? Loader nemůžu. Chci pro oba systémy používat UEFI a secure boot. Co MSR? Windows, zde je to jasné. Ještě je otázka, jestli mi vůbec dá VeraCrypt na výběr a nazašifruje to celé (1., 2. a 3.).

Pak je další otázka, jestli se nějak (trim) nemůžou objevit data z tempu ve Windows na partyšně s daty? Např. před pár dny jsem zjistil, že "Koš" ve Windows na mém desktopu je nastaven na druhý disk, než na kterém je systém. Ten mám na SSDčku a koš byl defaultně nastaven na plotňák. To by pak bylo celé šifrování k ničemu, kdyby si Windows uložily něco do tempu a nějaká fičura by to uložila na partyšnu s daty. Vím, že když je disk rozdělen, tak se jedná o logické rozdělení, ale nerozumím tomu. Tak se raději ptám.

8.6.2018 19:43 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

diky na venovani tveho blogu me :-)

) ale koukam ze uz mas odpovedi od lidi co s Windows 10 maji vetsi zkusenosti :-)

ohledne Kose, Windows si vytvari pro kazdy disk kos na tomtez disku, tzn. nemel bys mit vyhozena data do kose v disku 1 v kosi na disku 2, pokud se neco nepodelalo, nebo to nepodelali Windows10...
ohledne tempu, 1 TEMP mas nastavenej na systemovej oddil a druhej TEMP do profilu uzivatele (tedy take na systemovy disk), oboje snad zobrazi v prikazovem radku prikaz "set", pokud systemovy oddil bude sifrovanej nevadi ze by v TEMP neco zustalo... vyjimkou muzou byt programy ktere bys mel nainstalovane na datovem oddilu a ukladali si docasne soubory k sobe, nebo pokud bys nejaka aplikace ukladala docasne soubory do adresare a/nebo k datum na datovem oddilu, to si budes muset pohlidat sam...

porad nemam telo, ale uz mam hlavu... nobody

8.6.2018 20:23 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Pohlídám.

Teď už budeme řešit jen Linux, takže pokračovat budu v původním vláknu.

11.6.2018 07:22 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Odpovědět | Sbalit | Link | Blokovat | Admin

Tak současný stav je takový, že teď mám (C), i (D), které je zatím bez dat šifrované BitLockerm a vše funguje i se secure boot. Tedy Linux zatím není nainstalován. Rozhodl jsem se ale, že chci používat VeraCrypt. Má otevřený kód a je podle mě lepší (a ne jen podle mě). Nejde mi to ale zprovoznit se secure boot. Jak už jsem tu na abc zmínil, když zašifruji systémový disk VeraCryptem, tak po restartu se objeví okno s chybovou hláškou. Kliknu na OK a nic se dál neděje. Po restartu vypnu secure boot a pak se při startu ntb objeví dialog na zadání hesla. To zadám a Windows naběhnou. Takhle to ale nechci. Chci používat secure boot. Linux Mint by měl být digitálně podepsaný, takže z tohoto úhlu pohledu cajk. Já si s tím ale nevím rady, jak to rozjet. Byl by prosím někdo ochotný mi s tím (krok po kroku) pomoci? Např. ty Maxi. Vím, že tomu docela rozumíš. Nebo klidně někdo jiný. Mimochodem, založil jsem ohledně tohoto na zive.cz vlákno a jeden člověk mi tam odpověděl, že v práci má taky Windows na Lenovo, šifrované VeraCryptem a nemusel ani nic nastavovat. Po zašifrování mu to prý i se secure boot normálně funguje. Tak nechápu. Tady jsou nějaké informace, ale já z toho moudrý tedy nejsem.

Zatím zdarec

11.6.2018 07:40 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Ahoj,
veru nepoužívám, ale podle tohoto : src / Boot / EFI / a podle toho, co jsi ty poslal, má Veracrypt podepsaný loader jen svým veřejným certifikátem. Není podepsán tím od MS, který je součástí všech Secure Boot UEFI blabla.
Řešením je tedy nastavit si v Secure Bootu certifikát pro ten, kterým je podepsán VeraCrypt.
Je možné, že některé shitky ořezané toto nepodporují (vlastní custom certifikát pro SecureBoot), tzn. toto nejde nastavit na všech strojích s UEFI. Předpokládal bych, že nedobře na tom hlavně budou některé notebooky, případně značkové sestavy.
Zdar Max

Měl jsem sen ... :(

11.6.2018 14:22 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

podivej se do BIOSu co z zda lze nastavit u SecureBoot, ja nemam HW s takovou moznosti, ale melo by tam byt moznost(jak je uvedeno na tom linku) prepnout Secure Boot do Setup ci Custom rezimu, nasledne pak tim postupem z Windows nainstalovat do UEFI "platform certificate" od VeraCrypt kterym je ten VeraCrypt UEFI SecureBoot zavadec podepsan... resp. dle tohoto to mozna jde primo v "BIOSu" ze souboru (nerikam ze to tak ma tva deska, ale aspon je to z Gigabyte :-)

porad nemam telo, ale uz mam hlavu... nobody

11.6.2018 17:24 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

melo by tam byt moznost(jak je uvedeno na tom linku) prepnout Secure Boot do Setup ci Custom rezimu

Mám to tam. Přepl jsem to na Custom. Je tam na výběr více klíčů:

PK
KEK
db
dbx

Defaultně to bylo na PK, tak jsem to tak nechal. Na stránce, na kterou jsi mi dával link se píše něco o PK a KEK, ale vůbec nevím co s tím. Teď dělám několik věcí naráz a nevím co dřív, ale pak sem napíšu všechny položky z "BIOSu" v notebooku, které se týkají Secure Bootu.

nerikam ze to tak ma tva deska, ale aspon je to z Gigabyte

To sis popletl :) Gigabyte mám v desktopu. V laptopu mám Dell Inc. 0R58C3 (U3E1).

11.6.2018 17:47 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

nevim co vybrat, mozna to jen zobrazuje pripadne klice :-)

ale postup na tom linku uvedenej(ve Windows):

powershell -ExecutionPolicy Bypass -File sb_set_siglists.ps1

ten ps1 script stahnes na odkazu co vede z toho linku... konkretne:
https://sourceforge.net/p/veracrypt/code/ci/master/tree/src/Boot/EFI/sb_set_siglists.ps1

kdyz se do scriptu podivas, ocekava 5 souboru podpisu v podadresari "siglists" kterej musi byt tam kam das (a odkud budes poustet) ten ps1 script, stahnout zde:
https://sourceforge.net/p/veracrypt/code/ci/master/tree/src/Boot/EFI/siglists/

BTW: jen prekladam strucneji info co tam je, nejsem odpovednej za pripadne skody ;-)

porad nemam telo, ale uz mam hlavu... nobody

11.6.2018 18:18 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

BTW: jen prekladam strucneji info co tam je, nejsem odpovednej za pripadne skody

Buď v klidu, Clonezilla to jistí ;-)

11.6.2018 18:42 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

kdyz se do scriptu podivas, ocekava 5 souboru podpisu v podadresari "siglists" kterej musi byt tam kam das (a odkud budes poustet) ten ps1 script, stahnout zde:
https://sourceforge.net/p/veracrypt/code/ci/master/tree/src/Boot/EFI/siglists/

No jo, ale těch souborů je tam 15 a u všech je stejné datum. Co mám prosím tě stáhnout?

11.6.2018 22:06 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

ty uvedene v tom ps1 scriptu ;-)

porad nemam telo, ale uz mam hlavu... nobody

13.6.2018 18:16 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

ty uvedene v tom ps1 scriptu

No jasně. Problém byl v tom, že jsem do toho 4x koukal v Poznámkovém bloku ve Windows a ten nezachovává formátování. Jen šlo nastavit zalamování textu, takže souvislý text svrchu až dolů. Proto jsem se v tom nemohl zorientovat. Když jsem ten skript zobrazil v editoru v Linuxu, tak to bylo hned jasné.

Jinak v tom návodu stojí: execute from admin command prompt:

powershell -ExecutionPolicy Bypass -File sb_set_siglists.ps1

Když jsem to udělal, tak mi to napsalo něco ve smyslu -File is invalid parameter. Tak jsem odmázl -File a skončilo to jinou chybou s hodně dlouhým textem. Tak jsem dal na ten skript nakonec pravomyš a z kontextového menu jsem vybral "Run with PowerShell". Něco se provedlo a PowerShell se sám ihned zavřel. Po rebootu jsem přepl na Secure Boot a nefunguje to. Nemůže být problém v tom, že návod a možná i skript s těmi soubory jsou pro VC 1.18 a já mám verzi 1.22?

13.6.2018 18:47 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

pro jistotu vis co je "admin command prompt"? ve startu das vyhledat "prikazovy radek" nebo jeho prikaz "cmd", tuknes na vysledek pravou mysi a vyberes "Spustit jako spravce"

porad nemam telo, ale uz mam hlavu... nobody

13.6.2018 18:57 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

pro jistotu vis co je "admin command prompt"?

Dobře, že tak smýšlíš :) Tohle jsem zrovna věděl :)

13.6.2018 18:53 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

jinak parametr -File to rozhodne podporuje, prepsal sem ten tebou vlozenej radek zacinajici powershell a normalne se mu ve W10 zacal poustet, samozrejme to zkonci na tom ze jde o virtual bez aktivovaneho uefi, ale pusti se... tzn, mozna ho spatne prepisujes, nebo jestli ho kopirujes z toho odkazu, tak jestli misto - se neprevede na jinej znak, zkus to znovu a prepis rucne...

porad nemam telo, ale uz mam hlavu... nobody

13.6.2018 19:02 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Zkusím (kopíroval jsem). A kde je ten skript je jedno? Jasně, že musí být ve stejné složce, jako ta složka s těmi 5 soubory. Já jsem to všechno původně dal do Stažených, pak spustil z plochy příkazový řádek jako admin a skončilo to tou chybou. Tak jsem to dal na plochu a zase chyba. V kontextovém menu ve stažených není nic jako "spustit zde příkazový řádek".

13.6.2018 19:22 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

ano, je jedno kde script je, pokud u toho je i ta slozka siglists obsahujici tech 5 spravnych souboru...
ale kdyz pustis prikazovy radek, musis pomoci "cd \adresar\kde\mas\script" se prepnout do adresare kam si ten script dal, tvuj profil je v \users\tvojejmeno , jen si dej pozor ze W10 pak maji adresare v profilu pojmenovane realne anglicky, takze misto Stazene je Download, mistso Plocha je Desktop atd... bud muzes napsat "cd" a zmacknout/mackat TABulator a zobrazuje ti to postupne vse co v tom kde jsi je, nebo pouzij prikaz "dir", kterej ti vylistuje obsah aktualniho adresare...

porad nemam telo, ale uz mam hlavu... nobody

13.6.2018 22:07 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Tak skript jsem spustil a vše proběhlo IMHO OK. Nicméně se zapnutým Secure Boot mi Windows stále nenabíhají. Zítra sem (jak už jsem zmínil) napíšu všechny položky z UEFI, které s tím souvisí a to jak to mám nastaveno.

13.6.2018 23:26 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

podivej se do "BIOSu" zda u tech polozek PK, KEK, DB jsou ty doinstalovavane soubory (pokud to je podobne jako na tom z Gigabyte kde maji jit exportovat nebo mazat)...
pak me jeste napada, zda neni potreba VeraCrypt znovu aktivovat, nebo v GUI pod Windows neco nastavit, sice to nepisou v tom postupu, ale treba se pocita ze nejdriv nahodis klice a pak teprve instalujes VeraCrypt...

porad nemam telo, ale uz mam hlavu... nobody

11.6.2018 17:28 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Jinak teda asi bude dobrý sem dát odkaz na ten noťas. Takže je to tenhle.

14.6.2018 15:32 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Odpovědět | Sbalit | Link | Blokovat | Admin

Včera jsem napsal, že vše proběhlo IMHO OK, ale neproběhlo. Díval jsem se do toho "BIOSu" na ty klíče (mimochodem myslím, že by tam měly jít nahrát rovnou z "BIOSu") a pak jsem si nebyl jistý, jestli jsem jeden nesmazal a tak jsem ten skript spustil znovu. Když jsem si jej pořádně přečetl, tak jsem zjistil, že to postrádalo jiných 5 souborů. Ty samé, ale za názvem ještě vždy chybělo _Serialization.bin.p7. Tak jsem je stáhl, v adresáři siglists jsem smazal těch 5 původních souborů a nahradil je těmito. Po spuštění skriptu to zase postrádalo těch prvních 5 souborů :) Tak jsem je tam přidal a zase to nedopadlo dobře. Tak jsem tam nakonec přidal ještě těch posledních 5 souborů, co jsou na té stránce a spustil skript. Tady je výpis:

Microsoft Windows [Version 10.0.17134.112]
(c) 2018 Microsoft Corporation. Všechna práva vyhrazena.

C:\Windows\system32>cd c:\a

c:\a>powershell -ExecutionPolicy Bypass -File sb_set_siglists.ps1
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:4 char:1
+ Set-SecureBootUEFI -Name PK -Time 2015-09-11 -Content $null
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:5 char:1
+ Set-SecureBootUEFI -Name KEK -Time 2015-09-11 -Content $null
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:6 char:1
+ Set-SecureBootUEFI -Name db -Time 2015-09-11 -Content $null
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:7 char:1
+ Set-SecureBootUEFI -Name dbx -Time 2015-09-11 -Content $null
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Setting self-signed PK...
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:10 char:1
+ Set-SecureBootUEFI -Time 2016-08-08T00:00:00Z -ContentFilePa
th siglis ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Setting PK-signed KEK...
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:13 char:1
+ Set-SecureBootUEFI -Time 2016-08-08T00:00:00Z -ContentFilePa
th siglis ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Setting KEK-signed DCS cert in db...
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:16 char:1
+ Set-SecureBootUEFI -Time 2016-08-08T00:00:00Z -ContentFilePa
th siglis ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Setting KEK-signed MS cert in db...
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:19 char:1
+ Set-SecureBootUEFI -Time 2016-08-08T00:00:00Z -ContentFilePa
th siglis ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand

Setting KEK-signed MS UEFI cert in db...
Set-SecureBootUEFI : Incorrect authentication data: 0xC0000022
At C:\a\sb_set_siglists.ps1:22 char:1
+ Set-SecureBootUEFI -Time 2016-08-08T00:00:00Z -ContentFilePa
th siglis ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (Microsoft.Se
   cur...BootUefiCommand:SetSecureBootUefiCommand) [Set-Secu
  reBootUEFI], UnauthorizedAccessException
    + FullyQualifiedErrorId : SetFWVarFailed,Microsoft.Secure
   Boot.Commands.SetSecureBootUefiCommand


c:\a>

14.6.2018 15:41 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Zde to samé, ale bez řešení.

14.6.2018 15:48 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

A co říkáš na tohlePrý to nemá řešení.

14.6.2018 15:50 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Vypadá to na ten BitLocker. No co, proti NSA nebojuju :)

15.6.2018 19:48 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Odpovědět | Sbalit | Link | Blokovat | Admin

Objevil jsem docela zajímavé vlákno, ve kterém na dotaz jednoho člověka odpovídá přímo tvůrce VeraCryptu. Myslím, že stojí za přečtení.

15.6.2018 23:36 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

uff, no uz se v tom popravde takhle naslepo ztracim ;-)

odkazuje na dasli vlakne kde se resi ze na nekterem HW ten script co si poustel maze certifikaty vyrobce, kvuli tomu pripravil nastroj co ty certifikaty z HW/EFI vytahne a ty mu je posles aby je prozkoumal a nasledne zkusil udelat lepsi script pro instalace veracrypt certifikatu do EFI... dal se vraci k tomu ze muzes podepsat veracrypt efi loader vlastnima certifikatama, nicmene celkove z toho stejne nejsem moudrej :-)

to co si posilal v podstate certifikaty nenahrava protoze je deska asi odmitne... zkus je nahrat primo z BIOSu jestli ta moznost je (pises ze asi je) :-)

jeste mozna zkus poslat ty foto moznosti kolem SecureBoot, pripadne pokud sem prehlidl, jakej ze model notebooku vlasne resis, treba se dohleda jeste neco i primo podle toho...

porad nemam telo, ale uz mam hlavu... nobody

16.6.2018 00:09 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

No model notebooku jsem ti dával sem

Pokud certifikátama myslíš klíče, tak je tam klidně zkusím nahrát ručně, ale potřebuji od tebe pomoc. Jak jsem psal, jsou tam 4 položky (PK, KEK, db, dbx). U každé (myslím) lze něco naimportovat. Potřebuji tedy poradit položky, u kterých mám něco importovat (PK, KEK atd.) a pak bych potřeboval poradit, jaké soubory tam mám z těch 15 naimportovat.

Dnes jsem ještě čekal na tebe, ale rozhodl jsem se, že zítra napíšu na to fórum VC. Když budu mít štěstí, tak mi odpoví přímo programátor VC. Doposud jsem se tomu bránil, protože neumím anglicky. Rozhodl jsem se ale, že to přeložím strojově. Snad to pochopí.

Ještě se chci zeptat. Já jsem udělal jen tohle: V "Expert Keys Management" jsem zaškrtnul políčko "Custom". Stáhl skript, uložil jej na (C) do adresáře "a" a v tom adresáři jsem vytvořil další adresář "siglists" a do něj dal všech těch 15 souborů. Pak jsem spustil cmd jako admin, přepl se do "a" a spustil ten příkaz, který spustí ten skript. Jo, a taky jsem ještě vypnul Windows Boot Manager a nechal zapnutý jen ten VC manager. Je to tak OK? V tom návodu, cos na něj dával link je toho totiž více. Nic z toho jsem ale nedělal.

Pro dnešek končím, jsem na kompu skoro celý den. Zdarec a díky :)

PS: jestli z toho nejsi moudrý ty, jak z toho mám být moudrý já? :-)

16.6.2018 00:18 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

postup zni ok i dle toho odkazu co sem posilal :-)

rucni primo v biosu, je treba PK, KEK a db, soubory vezmi ty co mas pripravene, ASI je mas nahrat na USB (FAT32?) primo do korene, nevim zda deska umi cist z jineho formatu a nebo ze slozky...

porad nemam telo, ale uz mam hlavu... nobody

16.6.2018 20:35 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

je treba PK, KEK a db, soubory vezmi ty co mas pripravene

Nejsem schopen posoudit, který soubor/soubory mám nahrát do PK, který do KEK a který do db. Mohl bys mi to prosím tě napsat?

16.6.2018 20:54 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Ktere kam je videt v tom ps1 scriptu ;-)

porad nemam telo, ale uz mam hlavu... nobody

16.6.2018 21:14 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Omlouvám se, ale nemohu se v tom zorientovat :-(

16.6.2018 23:35 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

ve scriptu mas napr. "Setting self-signed PK..." pod tim radek na kterem to nacita soubor neco.bin a neco.bin.p7, dle info co sem dohledal, tak koncovka bin je nepodepsane/neformatovane, koncovka bin.p7 je podepsane/formatovane, kterou z nich mas ale vybrat v UEFI pri importu nenachazim, logicky bych predpokladal ze pujde nacit jen jedna a pokud vyzaduje i ten druhej, tak si ho donacte UEFI samo...

vzhledem k tomu ze nachazim ale minimum informaci a kdyz hledam konkretne o veracrypt + secureboot tak nachazim ze to lidem nejde, navic tim ze nemam zadnej HW s moznosti SecureBoot a importu vlastnich popisu takze to nemuzu sam vyzkouset, obavam se ze ti moc uz neporadim...

resp. jeste sem narazil na EFI nastroj EFI Keytool (pridas ho k ostatnim na EFI oddil a pri startu bys pres BootMenu ho mel vybrat) kterej by mel mit moznost zobrazit, mazat, pridavat vlastni podpisy take, jenze tam zas pise ze mas importovat uplne jine koncovky :-)

porad nemam telo, ale uz mam hlavu... nobody

16.6.2018 23:59 Petr Fiedler | skóre: 35 | blog: Poradna
Rozbalit Rozbalit vše Re: K vláknu Dual boot UEFI/Legacy - otázky pro k3dARa

Díky moc za snahu!

No, já mám teď pár možností, jak postupovat dále. Buď můžu kontaktovat programátora VC, což asi udělám. Nebo se můžu vzdát SecureBoot, což se mi ale s ohledem na Windows moc nechce. Kdybych se jej ale vzdal, tak vše samozřejmě bude fungovat. Nebo můžu ponechat SecureBoot a šifrovat BitLockerem, což by fungovalo, ale raději bych VC. A ještě tedy můžu zkusit to ruční nakopírování. Tak uvidím. Budu sem psát (pro info).

Zatím ...

Založit nové vlákno • Nahoru

Tiskni Sdílej: