hp probook 450 g3 selected boot image did not authenticate (vyřešeno)

Tak dal som v biose Apply Factory Defaults a Ubuntu mi už ide nabootovať.

Problém je ale s Debianom, stále vypisuje boot image did not authenticate, asi to bude tým podpisom, čo spomínal spomínal isir.

Ja by som však rád nainštaloval Debian, som na neho zvyknutý, aj keď nehovorím, že na Ubuntu by som si nezvykol.

@jooky a @soban, čo ste spomínali vybratie baterky, mysleli ste tú malú okruhlu, ktorá napája bios? Alebo tú veľkú, podlhovastú notebookovú? Lebo tú som skúsil odobrať a tlačítko Power som držal 30> sec., ale nič a vyberať bios baterku, neviem, či je dobrý nápad, kvôli záruke, ale ak by to malo pomôcť a nebolo by to príliž komplikované, vybral by som ju.

Nejaký spôsob, ako odstrániť toto blokovanie, musí predsa existovať.

18.9.2016 00:07 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

ted kdyz uz jde Ubuntu (pouzije se podepsane jadro), vypni SecureBoot (a nech vypnutej) a Debian uz snad pojede (pouzije se nepodepsane jadro)... aneb Debian nepodporuje SecureBoot

porad nemam telo, ale uz mam hlavu... nobody

18.9.2016 09:49 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Ja by som ten secure boot kľudne nechal zapnutý, a využil nastavenia Ubuntu z UEFI partície. Skopírovať adresár s Ubuntu, a prepísať mu UUID pre vyhľadávanie disku, poprípade aj s cestami nebude veľký problém.

18.9.2016 15:43 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

a pouzil by si ubuntu signed kernel? neni to trochu zbytecne a komplikovane kdyz tazatel secureboot nepotrebuje?

porad nemam telo, ale uz mam hlavu... nobody

18.9.2016 16:19 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

A na to si prišiel ako?

19.9.2016 00:37 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

ta "mala okruhla" napaja len hodinky (RTC). Tu netreba odpajat. Len klasicku notebookovu baterku som myslel. V novsich notebookoch je uz schovana pod krytom :(

Ked ti ubuntu ide, tak to je uz na dobrej ceste :) Teraz uz len vypni secureboot a mas vyhrane (aj tak je to nekonecne derava technologia, ktora robi len uzivatelom problemy).

19.9.2016 17:54 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Keď bude u tvojho zamestnávateľa bezpečnostný audit, tak to môžeš vysvetliť na personálnom oddelení kde pracujú ľudia čo zaškrkávajú formuláre.

19.9.2016 18:23 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

proc sis zase vycucal z prstu nejakej pseudoargument? ty vazne nejsi normalni :) psal ze jde o jeho notebook...

porad nemam telo, ale uz mam hlavu... nobody

19.9.2016 18:39 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Dušan áno, Lukáš nie. Skús sa zamyslieť nad tým, komu som to písal ty pseudoargument s prstom vážne nenormálnym.

19.9.2016 18:48 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Lukas psal o vypnuti SecureBoot Dusanovi. Dusan psal ze jde o jeho notebook. Peter si vycucal z prstu pseudoargument. Peter je nemocny, stavajici lecba neuspesna.

porad nemam telo, ale uz mam hlavu... nobody

19.9.2016 19:27 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Peter reagoval na poslednú vetu (..je to nekonecne derava technologia, ktora robi len uzivatelom problemy..), a K3Dar to nepochopil. Ako obvykle.

21.9.2016 19:10 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Peter by si mal zmenit heslo. Komentare od nupaca v jeho mene nevyznievaju dobre ...

... a teraz seriozne. Ak by Dusan chcel pouzivat Secure boot, tak sa nepyta, preco mu nebootuje debian. V tom pripade by sa nepytal nic, alebo skorsie ako to ma nastavit.

Samotna secure boot technologia je dobry napad, ale bohuzial skoncila len ako M$ nastroj na odsranenie konkurencie. Co sa tyka implementacie:
- v pripade najdenia problemov je prakticky nemozne ich opravit (nezaujem vyrobcov, problem s kompatibilitou, etc.)
- vacsina vyrobcou si Secure Boot / UEFI implementovala po svojom, takze niekedy je vobec zazrak ako to funguje (mam dva HP booky, a kebyze to nejde vypnut tak idu oknom ... jeden o sebe aj pri vypnutej podpore hlasi, ze je to zapnute, co rozhodi vacsinu installatorov)
- unikli kluce, ktore su bezne v doske, takze security je otazna
- M$ Windows staci prenut do rezimu ladenia a bez problemov natiahne aj nedpodpisany kod
- bez full disk sifrovania, tpm a popripade HW ochrany masiny to aj tak neriesi problem "evil maid"
- shim ti dovoli natiahnut akykolvek kod a je podpisany M$ klucom

Hlavne ten posledny bod je len vysledok toho, ze uzivatel nema slobodnu volbu si vybrat, ci secure boot chce, alebo nie. Keby ta moznost bola, tak sa to proste vypne a hotovo. Dovodov na vypnutie moze byt viacej. Nepodstatne PC, uzivatel je vyvojar, alebo oblubuje source based distribuciu ...

Korporatna sfera je uplne o dacom inom. Tam je zoznam pravidiel, ktory sa musi dodrzovat. No v tom pripade by mal Dusan notebook od lokalneho IT a s velkou pravdepodobnostou by nevedel ani heslo do BIOS-u ...

21.9.2016 19:23 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Lukáš, tá technológia tak ani nezačala a ani neskončila. Ak ju niekto nevie používať, tak to nie je chyba danej technológie. Mne ten secure boot ide nielen bez problémov vypnúť na podobnom NB ako má zadávateľ témy, ale ide mi aj nastaviť či sa má brať Legacy boot z MBR alebo UEFI boot z GPT.

A ohľadne tých uniknutých kľúčov, asi ti uniklo že tie uniknuté kľúče už boli dávnejšie zneplatnené. A tak isto ti asi uniklo že TPM vie udržať kľúče aj na kompletné šifrovanie disku. Pod Linuxom sa to dá tak krásne používať. Sú na to návody.

Ja som si vybral možnosť používať TPM na veci ktoré uznám za vhodné. Ak si to ty nezvládol, tak to nie je vina technológie. Ale to už vieš.

A zaujímalo by ma či niekto pozná technológiu ktorá funguje lepšie ako Secure Boot. Rád by som sa o nej dozvedel viac.

PS: Ja mám pracovný NB od lokálneho IT, a nenastavovali mi heslo do BIOSu. Takže aj toto je pod mojou podporou. Ak by mal niekto takto uzavretý NB, tak na ňom nič nenaštartuje mimo vloženého a podpísaného HDD.

21.9.2016 20:30 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Jednu veci ti doporucim. Vyvaruj sa vetam "ak si to ty nezvládol", "asi ti uniklo" a podobne. Z kradkych odpoved nemas sancu vypozorovat, ake ma druhy clovek vedomosti a potom to tu vyzera, ze len vsetkych urazas. Soft skils skolenie ma o tom celu sekciu ... (clovek s L4 vedomostami).

Ja som v minulosti preferoval (a distribuoval) HP zariadenia, hlavne pre interny pristup k servisu a komponentom. V pripade HP "podobny" model nic neznamena. Samotny BIOS a BIOS setup maju dost rozdielny aj v jednej rade notebookov. 100% istotu, ci sa to da vypnut zistis len v servisnom manuali a ten som lenivy teraz hladat ... je mozne, ze to Dusan vazne nevie nast, ale to je na inu diskusiu.

Kluce mozu byt zneplatnene, ked nemas update na zakladnu dosku, tak mas smolu ... je malo vyrobcov, co sa k tomu stava zodpovedne (a uzivatelov radsej ani nespominam).

Ad. TPM. Viem presne ako sa da pouzivat a aj za akych okolnosti ti vyda kluce / podpisane data. Kluc na sifrovanie disku mam aj tak radsej v hlave :)

Ono Secure boot / TPM ma zmysel, len ak je to spravne implementovane na vsetkych urovniach. Videl som uz zariadenia, kde sa nedali vypnut default kluce (e.g. diera uz rovno od vyrobcu), alebo sa jednoduchym trikom dal resetnut bios (povypinas a "evil maid" ma poriesene). Na specifickych kusoch zariadeni to moze fungovat dobre, ale v globale je to len velky pruser. Hlavne ak to potrebujes vypnut a nemozes ...

Ci chces, alebo nechces, tak jedina 100% metoda je chranit samotny HW, alebo nosit /boot na USB kluci (+ sifrovanie disku) ... na hackerskych konferenciach sa to preberalo uz X krat. Z tych prednasok mam stale pocit, ze islo viac o konkurencny boj M$ a nie realne o security ... (a este raz, ano, mozes mat book, kde to funguje spravne, ale aku mas istotu ?)

PS: ja mam book od dvoch nadnarodnych korporacii ... na jednom nemam ani admina, lebo si vsetko chcu riesit po svojom a na druhom staci ukazat, ze mam sifrovany disk, viac neriesia ...

22.9.2016 16:12 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Lukáš, pokiaľ tvrdíš že technológia určená na zvýšenie bezpečnosti skončila ako nástroj MS na odstránenie konkurencie, tak si to školenie soft skills neabsolvoval.

Zvyšné tvoje dohady aj s preklepmi nemá zmysel komentovať. Ak by si nevedel prečo, tak ti opravím jeden z tvojích nepravdivých výrokov:

shim ti dovoli natiahnut akykolvek kod ak je podpisany platným M$MS klucom.

A k tomu zopakujem že ten uniknutý kľúč bol zneplatnený v záplatách.

PS: Tvoje dohady o hackerských fórach sú na zaplakanie. Zbernica počítača sa dá odpočúvať priamo aj nepriamo. Takže pokiaľ nebudeš mať kryptovanie priamo na najnižšej úrovni HW, tak to vždy odpozoruješ. A pokiaľ budeš mať to kryptovanie použité na najnižšej HW úrovni, tak budeš tvrdiť že napríklad toTPM je zlé lebo neplatný argument ktrých si už použil viac.

22.9.2016 21:54 aceman | skóre: 27
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Nerozumiem Vasej uprave vyroku: shim ti dovoli natiahnut akykolvek kod a je podpisany MS klucom. na shim ti dovoli natiahnut akykolvek kod ak je podpisany platným MS klucom.

Uplne ste zmenili povodne tvrdenie. Shim je podpisany platnym MS klucom a umoznuje spustit akykolvek linux kernel. Ci snad nie? Ktory kernel je podpisany MS klucom? Asi ziadny, ale podla Vas by musel byt, aby mohol byt spusteny.

Prosim vysvetlite.

23.9.2016 09:14 nyan | blog: Freudian_slip
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Zmenil povodne tvrdenie, protoze vubec netusi nic o tom jak SecureBoot+Linux funguji.

Samozrejme plati, ze Shim je podpisany platnym MS klucom a umoznuje spustit akykolvek linux kernel. Lze si to snadno vygooglit.

Jste si snad mysleli, ze kernel vyvojari se budou sr*t s kazdym zkusebnim buildem kernelu, a podepisovat ho nejakym oficialnim klicem ? Ktery by vzali .. netusim kde ? asi tezko, ze.

BTW kernel nemusi byt podepsan MS klicem, abys mel funkcni SecureBoot. Podepsan MS klicem musi byt jen 1st stage bootloader, ktery muze obsahovat firemni klic (napr Canonicalu) a zbytek se overuje vuci tomu klici.

23.9.2016 09:54 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Lukáš, pokiaľ tvrdíš že technológia určená na zvýšenie bezpečnosti skončila ako nástroj MS na odstránenie konkurencie, tak si to školenie soft skills neabsolvoval.

Ako vysvetlis existenciu zariadeni kde sa neda secure boot vypnut a/alebo odstranit M$ kluce ? Ako vysvetlis povodnu retoriku M$, ze nebude podporovat Windows na zariadeniach s moznostou vypnutia secure boot ? ... "PC" svet neni len Microsoft. Presne preto by mal mat uzivatel moznost secure boot vypnut, ak ho nepotrebuje, alebo nemoze pouzit.

Zvyšné tvoje dohady aj s preklepmi nemá zmysel komentovať. Ak by si nevedel prečo, tak ti opravím jeden z tvojích nepravdivých výrokov: shim ti dovoli natiahnut akykolvek kod ak je podpisany platným MS klucom.

Shim je podpisany "Microsoft Corporation UEFI CA". Takze ziadne ak, ale JE podpisany. Vid Testing Secure Boot.
Vo verzii niekde do zaciatku roku nerobi ziadnu kontrolu, len odovzda kontrolu GRUB2. Toto je dosledok, ze su zariadenia, kde sa secure boot neda poriadne vypnut.

A k tomu zopakujem že ten uniknutý kľúč bol zneplatnený v záplatách.

Shim != uniknuty kluc.

Windows v rezime ladenia != uniknuty kluc.

PS: Tvoje dohady o hackerských fórach sú na zaplakanie. Zbernica počítača sa dá odpočúvať priamo aj nepriamo. Takže pokiaľ nebudeš mať kryptovanie priamo na najnižšej úrovni HW, tak to vždy odpozoruješ. A pokiaľ budeš mať to kryptovanie použité na najnižšej HW úrovni, tak budeš tvrdiť že napríklad toTPM je zlé lebo neplatný argument ktrých si už použil viac.

Aky neplatny argument ? Vid hore ten shim. Ked uz chces k niecomu pisat, tak venuj aspon par minut hladaniu faktov.

Vsetko je to o financiach a vybaveni. Ak mas dostatocne dobry "budget", tak mozes aj odpocuvat zbernicu, aj spravit cold boot, aj x inych moznosti. Toto ale nebudes pouzivat na masinu, kde niekto vo volnom case pozera roumena. Ked mas dolezite data v masine, tak si bezpecnost vyskadas tak, aby chranila pred moznymi utokmi + samozrejme v ramci moznosti HW co mas.

Ja som netvrdil, ze TPM je zle ... len som napisal, ze ho nepouzivam. Pokial nemas TPM spraveny, ze kluce k disku vyda az po nejakom challenge / response procese, tak ta bezpecnost nie je vyssia. Napr M$ uklada kluce k disku do TPM a dokaze nabootovat az do OS. Ked uz ti bezi cely OS, tak mozes skusit spravit nejaky utok na samotny OS a neriesis sifrovany disk. Presne toto mi pride ako "horsia" bezpecnost, ako ked mas kluce "so sebou".

23.9.2016 18:31 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Skús najprv definovať zariadenia na ktorých nie je možné vypnúť alebo odstrániť MS kľúče. Potom si to daj do spojitosti s tým, čo tvrdíš o nástroji SHIM. A nakoniec ak si stojíš za tým že SHIM naruší bezpečnosť UEFI Secure Boot-u, tak skús povedať ako súvisí takto znefunkčnený UEFI Secure Boot s praktikami MS na odstavenie konkurencie pomocou UEFI Secure Bootu.

Potom ti dôjde, že si sám odporuješ v tvojich príspevkoch ktoré sú vyslovene zaujaté. A to je v prudkom rozpore s školením Soft Skills ktoré si tu vytiahol ako eso z rukávu. Eso ti ale s tvojimi pravidlami moc nepomôže ak vieš hrať len pexeso. Na mariáš Ti to nevydá.

PS: A ak raz tvrdíš že nejaký bezpečnostný nástroj je používaný na odstavenie konkurencie a že to nie je zlé, tak schvaľuješ nástroje na odstavenie konkurencie.

19.9.2016 18:32 aceman | skóre: 27
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Preco personalne oddelenie? Aj bezpecnostny audit robia ludia, co len bezhlavo zaskrtavaju formulare.

19.9.2016 18:42 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Áno, a vylezie z toho krížik v položke "nedostatočné" v kolonke "zabezpečenie" čo je obvykle klasifikované ako (skús uhádnuť). Pre niekoho je to len buzzword, pre niekoho je to potrebný nástroj.

19.9.2016 21:15 aceman | skóre: 27
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

To je pozitivne, ze si niekto odskrtava buzzwordy? Ano, je to smutna realita, ale to aj na tomto portali mame take praktiky obhajovat?

20.9.2016 12:56 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Mňa sa na to nepýtaj, ja som neni auditor. A pokiaľ budeš mať zamestnávateľa spĺňajúceho kadejaké ISO štandardy, tak sa stretneš aj s inými pikoškami.

19.9.2016 20:06 abik
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Bezpecnostni audit ? tak tam ti bude stacit jediny link.

Nejlepci na tom je, cituji:

"it'd be impossible in practise for MS to revoke every bootmgr earlier than a certain point, as they'd break install media, recovery partitions, backups, etc."

Takze SecureBoot neni jen prolomeny, on je taky neopravitelne prolomeny. Muzou ho rovnou prejmenovat na VopruzBoot, to je asi tak jedina funkce kterou jeste bude vykonavat.

19.9.2016 20:33 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Ale ten uniknutý kľúč bol už dávnejšie pomocou záplaty zneplatnený. I keď až po.

Prelomený je len na zariadeniach čo nedostali potrebné záplaty, ale tie by bezpečnostným auditom tak či tak neprešli. Mimochodom, máš lepšie riešenie?

19.9.2016 23:49 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: hp probook 450 g3 selected boot image did not authenticate

Vybrat velkou baterku aby žádný HW nebyl pod proudem (pokud se zblbne HW tak někdy reset nepomůže)

Tu malou baterku netřeba vybírat u některých k ní ani bez rozebrání není přístup - napájí pouze hodiny a u některých modelů malou ram pro uložení nastavení biosu, u některých je flash takže je tam pouze pro hodiny.

Proč nefunguje debian - protože asi máš zapnuté secure boot debian nemá podepsaný kernel.

Takže v biosu vypni secure boot a pokud to nenabotuje tak pak máš botovací DVD, FLASH bez podpory uefi.

Dotaz: hp probook 450 g3 selected boot image did not authenticate

Odpovědi