Siduction Forum

Siduction Forum => Experimental => Topic started by: hsp on 2019/12/02, 10:27:28

Title: Secure-boot mit Debiankernel - Key wieder entfernen geht nicht
Post by: hsp on 2019/12/02, 10:27:28

Ich habe hier mal etwas mit secure-boot mit debiankernel rumprobiert und habe festgestellt das es sehr gut funktioniert. Aber jetzt habe ich ein Problem, ich kann meinen eigenen key (für dkms-module) nicht mehr entfernen aus dem nvram.

mokutil --delete $Key scheitert immer wieder, egal was ich mache (failed to delete Key). Auch ein mokutil --reset scheitert mit ähnlicher Fehlermeldung. Und im MokManger gibt es keine Möglichkeit zum entfernen eines Keys nur zum ausrollen. Ich habe meine Efi/Bios settings komplett gelöscht und defaults geladen, aber der Key ist immer noch da. Also Rechner auf und die Nvrambatterie rausgenommen und ein paar Minuten gewartet, Key immer noch da. Das selbe wenn man den Jumoer auf dem Mainboard benutzt. Keine Ahnung wie ich den wieder wegbekomme. Importieren lies er sich fehlerfrei mit dem Mokmanger, aber ich werde ihn nicht wieder los. Google hat mir da auch nicht geholfen, aber ich bin mit derartigen Problemen wohl nicht alleine. Unglaublich die Geschichte. Was darüber jemand was?


danke....
Title: Re: Secure-boot mit Debiankernel - Key wieder entfernen geht nicht
Post by: der_bud on 2019/12/03, 23:20:43
Ich weiß nicht wirklich viel darüber, aber in meiner Kristallgoogle sieht der hier ansprechend aus:  https://askubuntu.com/questions/805152/is-it-possible-to-delete-an-enrolled-key-using-mokutil-without-the-original-der  (Key nochmal exportieren und explizit  mit Angabe der Endung *.der löschen).

Ansonsten unter  https://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Key der Satz "changes to the MOK keys may only be confirmed directly from the console at boot time", was ist damit genau gemeint, at boot time?
Title: Re: Secure-boot mit Debiankernel - Key wieder entfernen geht nicht
Post by: hsp on 2019/12/04, 09:04:30
Den Ubuntuartikel hatte ich auch schon gefunden, hilft aber nicht. mokutil scheitert auch da (failed to delete Key) wie auch bei anderen Versuchen. Und nach dem Debianwiki bin ich vorgegangen. Mit console ist der Mokmanger (mmx64.efi) gemeint, ist im Paket shim-helpers-amd64-signed enthalten. Mittlerweile habe ich per Google gefunden das es wohl an etwas fehlerhaften Implementation vom UEFI des Mainboerd liegt. Was garantiert hilft habe ich gelesen, das UEFI/BIOS neu flashen. Werde ich nachher mal tun.

Kurz: Was man mit mokutil macht wird beim reboot im Mokmanager (console) erledigt. shim ruft den automatisch auf wenn es Änderungen gibt. Ja, aber nur wenn mokutil seine Job auch fehlerfrei erledigt und da klemmt es ja.

Anbei mal die Manpage von mokutil.
https://manpages.ubuntu.com/manpages/bionic/man1/mokutil.1.html (https://manpages.ubuntu.com/manpages/bionic/man1/mokutil.1.html)

...