AbcLinuxu:/ Poradna / Linuxová poradna / Nefunkční instalace po udate BIOS/Secure Boot

Štítky: ahoj, boot, instalace, Lenovo, notebook, ThinkPad

Dotaz: Nefunkční instalace po udate BIOS/Secure Boot

6.2.2025 09:47 drnest | skóre: 13 | blog: Dřinu nechte strojům
Nefunkční instalace po udate BIOS/Secure Boot

Přečteno: 916×

Odpovědět | Admin

Ahoj, zkoušel jsem teď nainstalovat Fedoru 41. A na notebooku Lenovo Thinkpad L13 s posledním BIOSem jsou nějaké updaty secure boot klíčů a nenabootuju. Zkoušel jsem to i na identickém notebooku se starším BIOSem a v pohodě. Zapsal jsem to do https://bugzilla.redhat.com/show_bug.cgi?id=2343520

Takže tohle je spíš varování a k diskusi. Narazil jste na to někdo?

Nástroje: Začni sledovat (0) ?

Odpovědi

6.2.2025 15:01 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Skontroloval by som či platnosť použitého certifikátu na podpis EFI/boot/bootx64.efi neskončila šestnásteho októbra minulého roku. Secure Boot by nemal bez piskovania naštartovať kód ktorý má neplatný podpis, hoci aj z dôvodu ukončenia časovej platnosti podpisu.

Ak mi to teda zo zavádzača dobre vykuchalo. Ale to len typujem, do podpisov momentálne nerobím.

8.2.2025 10:18 Petr Maleček | skóre: 29 | Plzeň - Bolevec
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Tak to by teoreticky stačilo v BIOSu nastavit starší datum, ne? Třeba 2024 místo 2025. Nebo se pletu?

LinMuck, WinFuck :-P

8.2.2025 12:42 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

To by malo byť popísané v sprievodnom dokumente ku danej verzii BIOSu. Obvykle sa pribaľuje aj nejaký popis k inštalačke a v nej to zvykne byť. Možno tam bude aj info ako permanentne vypnúť takú kontrolu časovej platnosti elektronického podpisu.

Teda ak v tej fedoráckej inštalačke nie je shim staršej verzie ktorá má ban (revoke) od MS. Môže to byť aj tým.

No ale existujú ľudia pre ktorých je jednoduchšie preklikať inštalačku bez prečítania, a potom urobiť na dobrovoľníckom fóre požiadavku "nefunguje, opravte mi to". Tak ako urobil na Fedoráckom fóre. No a nepripadá mi vhodné čítať to namiesto neho, teda to by mohol očakávať od zazmluvnenej technickej podpory (ak takúto kombináciu zahŕňa daná zmluva). Ja v tej zmluve nefigurujem.

9.2.2025 09:23 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

co to placas tentokrat za uplne kraviny? on nepsal na fedora forum, ale zalozil bug report a zadnej navod mu nepomuze k tomu, ze v aktualizaci biosu doslo k povyseni certifikatu pres kterej neprojde fedorou podepsanej zavadec...

jedine co by mohl sam navic udelat, je zrusit vychozi klice od vyrobce v uefi, vygenerovat si vlastni (treba pomoci sbctl) a podepsat si zavadec a jadro (resp jadro+initrd bundle co mu pripravi napr. systemd-ukify) tema vlastnima klicema, to ale nic nemeni na tom ze narazil na bug kterej normalne nahlasil, jestli s tim neco muze/bude delat Fedora, nebo by melo Lenovo sem nezkoumal, ale minimalne jedna strana by mela(/mohla), opakuji nezavysle na jakekoliv dostupne dokumentaci ;-)

porad nemam telo, ale uz mam hlavu... nobody

9.2.2025 11:14 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Čo to melieš za blbosti, kde písal o povýšení certifikátu?

A kde berieš tú istotu že tá časť bugzilly, menovite časť pre nekomerčnú Fedoru nie je riešená dobrovoľníkmi ale má stabilne pridelené ľudské zdroje ktoré v tomto špecifickom prípade za neho pozrú ten popis?

Inak ani by som sa nedivil keby bol leak podpisových kľúčov "Microsoft Corporation UEFI CA 2011" ktorými to bolo podpísané, a Lenovo ich zakázalo aby sa do UEFI nenaprali nejaké divné veci ktoré nakazia celý počítač.

9.2.2025 13:50 drnest | skóre: 13 | blog: Dřinu nechte strojům
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

No, Peter nevím kde jsi vzal to "nefunguje, opravte mi to". Je to možná to bude mou nejistou a chabou angličtinou, takže jsem to tam napsal jak massa Bob.

Ten notebook není přímo můj a dostalo se to ke mě už takto aktualizované. A chvíli mi trvalo, než jsem přišel na to, proč to nebootuje.

Vyplnil jsem bug report, což je asi maximum, co pro teď můžu udělat. Pokud bude potřeba nějaké další info či testování jsem ochotně k dispozici. A myslím si, že takto by komunitní přístup měl fungovat.

Ten poslední odstavec je asi jádro problému: Lenovo revokovalo klíče.

Díky k3dAR, že se mě zastal :-)

9.2.2025 16:40 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Tak ten NB buď vráť, alebo tam a tu doplň popis toho update pre bios. Inak to skutočne vyzerá presne ako som opisoval.

Popis "Also key lists on BIOS screen are different" sa nedá zvaliť na chabú znalosť jazyka.

Taký chabý popis by som pochopil keby si mal zmluvu o podpore s firmou RedHat a použil certifikovaný HW.

10.2.2025 07:50 Nejchytrejsi
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Petr ti poradil, notebook vrať, problém vyřešen, linuxová komunita bude nadšená. :-P

10.2.2025 08:46 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Pokiaľ to je problém NB že po nejakej záplate na ňom niečo prestalo fungovať, tak nech sa ozve podpore pre ten NB. A ak ot nechce, čo zjavne nechce, tak je najjednoduchšie sa s tým nezaoberať a rovno to vrátiť.

Akákoľvek komunita zaspamovaná niečim takýmto bude rada.

9.2.2025 20:44 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

[...] kde písal o povýšení certifikátu? [...] [nejake irelevantni kecy]

1. primo v dotazu:

[...] s posledním BIOSem jsou nějaké updaty secure boot klíčů [...]

2. v bug reportu priloze kde je jasne videt zmena: Microsoft Corporation UEFI CA 2011 => Windows UEFI CA 2023

pokud tedy podpisovy k tomu puvodnimu unikl, Lenovo ho asi melo z noveho BIOSu odstranit a Fedora by si mela s Microsoftem dojednat moznost podepisovat zavadec na zaklade toho 2023...
Pripadne teoreticky, jestli z NB s puvodnim BIOSem by slo "Microsoft Corporation UEFI CA 2011" vyexportovat a naimportovat do NB s novym BIOSem, kdyz by nechtel (viz vejs) pouzit komplet vlastni, pak by Fedora asi bootovala bez zmeny na jeji strane...

porad nemam telo, ale uz mam hlavu... nobody

9.2.2025 21:03 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

To nepísal. A ak by mal rozum alebo snahu pridať ruku k dielu, tak si overí či to nie je kvôli mňamke s kompromitáciou, značenej CVE-2024-7344. Malo to dopad aj na RedHat a teda asi aj na Fedoru. MS by naozaj nemal používať vyše 10 rokov staré podpisy.

Ak by to bolo no, tak jeho pridanie by asi nepomohlo keďže ten kľúč by mal byť zpochopiteľného dôvodu v revocation list-e.

9.2.2025 21:05 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

A malo by to byť v tom popise k updatu FW. On si ten popis vytiahne jednoducho, má SN alebo SKU pomocou ktorého mu to ich webík ponúkne.

9.2.2025 21:37 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Nevidim to tam, Lenovo nevyzaduje SN/SKU, info/stazeni BIOSu s changelogem je verejne dostupny...

porad nemam telo, ale uz mam hlavu... nobody

10.2.2025 08:52 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

A kto by to mal overiť?

11.2.2025 17:26 drnest | skóre: 13 | blog: Dřinu nechte strojům
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Můj laický dojem je, že je instalačka fedory podepsaná klíčem, který byl revokován. A že se to postupně může stát na dalších strojích i od jiných výrobců, pokud to taky aktualizují. Proto jsem napsal bugreport a proto jsem to sem napsal jako varování pro ostatní. A protože tomu zas tak nerozumím, čekám až se ozve někdo z Fedora Bugzilly a posloužím jako tester.

Můžu klidně vypnout celý secure boot, že jo. Ale nechci to obcházet, protože tím se problém nevyřeší.

11.2.2025 17:53 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

A na to si prišiel ako? Ten kľúč sa používa aj u iných distribúcií. A to nielen na podpis Live edície, ale aj na podpis zavádzača systému inštalovaného na disku.

12.2.2025 01:42 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

sam si psal o CVE-2024-7344, a nejspis na zaklade toho vyrobci "musi" pridat "Windows UEFI CA 2023" a zneplatnit "Microsoft Corporation UEFI CA 2011" a protoze na kombinaci cve a 2023 ca na me v google vyskoci hromada clanku z 2025, predpokaldam ze se to ted proste bude dit na vice strojich... a mozna i v kombinaci s tim ze Microsoft zda se pred 14 dny pro Windows vypustil aktualizaci co do UEFI db pridava CA 2023 a zneplatnje puvodni, nejspis prave to co Linuxove distribuce pouzivali na podepisovani svych zavadecu... tady resili treba i to ze (tehdy asi neautomatizovane kroky) pak nestartujou puvodni Windows instalacky co take nejsou podepsane MS CA 2023...

a jinak o co ti vlastne jde? zajima te problenm, nebo se snazis povysit nad tazatele ci ho "jen" zesmesnovat?

porad nemam telo, ale uz mam hlavu... nobody

12.2.2025 07:48 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nefunkční instalace po udate BIOS/Secure Boot

Pýtal som sa jeho, nie teba.

A inak toto by si mal v prvom rade riešiť MS v rámci jeho desktopového systému. Pretlačenie revokácie je triviálna vec. A mal by aj transparentne informovať o dôvode prečo sa stala tá jeho stará CA nedôveryhodnou. V EÚ platí NIS 2 ktorá to priamo nariaďuje subjektom podnikajúcim v tomto regióne.

Ono to kľudne môže byť aj pokračovaním podobného (ehm) stormu z približne pred roka.

A keby to bolo tým, tak MS v prvom rade upovedomí všetkých, ktorým tým kľúčom podpísala UEFI binárky, a tí promptne zareagujú. V tomto prípade by boli už dávno dostupné inštalačné médiá aj s novým podpisom. Hlavne u ich diamantového partnera ktorý vytvoril to "nefunkčné" médium.

Založit nové vlákno • Nahoru

Tiskni Sdílej: