Was Sie schon immer über SecureBoot wissen wollten - TUXEDO Computers

  ACHTUNG: Zur Nutzung unseres Shops müssen Sie zwingend JavaScript aktivieren und Script-Blocker deaktivieren!  
Vielen Dank für Ihr Verständnis!

Was Sie schon immer über SecureBoot wissen wollten

Immer wieder erreichen uns Fragen, was SecureBoot ist und warum es bei TUXEDO standardmäßig deaktiviert ist. SecureBoot ist ein Konzept, das insbesondere bei Nutzern, die zum ersten Mal damit in Berührung kommen, oft für Verwirrung sorgt. Viele fragen sich, ob diese Technologie wirklich notwendig ist und welchen Einfluss sie auf die Nutzung von Linux hat.

In der Praxis bietet SecureBoot sowohl Vorteile als auch Einschränkungen. Eine häufige Annahme ist, dass SecureBoot unbedingt notwendig sei, um die Sicherheit eines Systems zu gewährleisten. Dabei handelt es sich jedoch nur um eine zusätzliche Schutzmaßnahme, die dafür sorgt, dass nur vertrauenswürdige Software beim Starten des Systems ausgeführt wird.

Bei TUXEDO Computers haben wir uns bewusst dafür entschieden, SecureBoot standardmäßig zu deaktivieren. Unser Ziel ist es, unseren Nutzern maximale Flexibilität und Kontrolle zu ermöglichen, insbesondere im Hinblick auf die Installation von Linux und anderen Open-Source-Betriebssystemen, bei denen SecureBoot manchmal zu Komplikationen führen kann.

FAQ zu SecureBoot

Was ist SecureBoot?

SecureBoot ist eine Sicherheitsfunktion, die von Microsoft entwickelt wurde und ab 2012 mit UEFI-Version 2.3.1 erstmals für Windows 8 ausgeliefert wurde. SecureBoot soll die Unversehrtheit des Bootloaders und des Kernels schützen. Bis einschließlich Windows 10 war SecureBoot optional, bei Windows 11 gilt es als Voraussetzung, was aber bisher von Microsoft noch nicht erzwungen wird.

Wie funktioniert SecureBoot?

SecureBoot arbeitet mit kryptografischen Signaturen. Jedes Programm, das von der UEFI-Firmware geladen wird, enthält eine Signatur. Bevor die Firmware die Ausführung zulässt, überprüft sie, ob das Programm vertrauenswürdig ist, indem sie die Signatur verifiziert. So sorgt SecureBoot dafür, dass beim Start von Linux Boot-Manager, Kernel und Kernel-Module aus einer vertrauenswürdigen Quelle stammen und verhindert, dass nicht vertrauenswürdige Programme ausgeführt werden.

SecureBoot und Linux

Damit Linux mit SecureBoot lauffähig ist, müssen die entsprechenden Komponenten direkt oder indirekt von einem im UEFI hinterlegten Zertifikat (in der Regel von Microsoft) oder einem händisch eingetragenen Zertifikat signiert sein. TUXEDO OS verwendet derzeit den zweiten Ansatz. Die Schritte, um SecureBoot mit TUXEDO OS zu nutzen, beschreiben wir im Folgenden.

Voraussetzungen für SecureBoot auf Ihrem TUXEDO

Wir aktivieren SecureBoot derzeit noch nicht, da wir auf ein von Microsoft signiertes Shim mit eingebettetem TUXEDO-Zertifikat warten. Im Zusammenhang mit SecureBoot ist ein Shim ein einfaches Softwarepaket, das als First-Stage-Bootloader auf UEFI-Systemen eingesetzt werden kann und dort einen signierten Bootloader nachlädt. Es ermöglicht zudem das einfache Nachladen und Verwalten von eigenen Zertifikaten (Machine Owner Keys MOKs), die dann permanent gespeichert werden, mit einer für alle Systeme identischen Oberfläche.

TUXEDO OS mit SecureBoot

Um SecureBoot mit TUXEDO OS unter Verwendung unseres selbst-signierten Zertifikats nutzen zu können, sind derzeit einige manuelle Schritte nötig:

Schritt 1: Benötigte Pakete

Standardmäßig ist das Paket shim-signed unter TUXEDO OS bereits vorinstalliert. Überprüfen Sie dies, installieren Sie es gegebenenfalls nach und starten Sie das System neu.

Schritt 2: Zertifikat importieren

Laden Sie das Zertifikat von unserer GitHub-Instanz herunter und importieren Sie es als Machine Owner Key (MOK). Neben dem Sudo-Passwort werden Sie nach einem Einmal-Passwort gefragt, das Sie zur Sicherheit wiederholen müssen.

sudo mokutil --import TUXEDO_Computers_GmbH_Secure_Boot_Signing.crt

Schritt 3: Zertifikat importieren

Damit unser Treiberpaket tuxedo-drivers in den Vorgang eingebunden werden kann, müssen Sie ein MOK für DKMS importieren. Bevor Sie das tun, stellen Sie sicher, dass das Verzeichnis /var/lib/shim-signed/mok/MOK.der auf Ihrem System existiert. Ist das nicht der Fall, erzeugen Sie es mit dem Befehl:

sudo update-secureboot-policy --new-key

Sie müssen danach alle DKMS-Pakete neu installieren, damit die jeweiligen Module mit dem neuen Schlüssel signiert werden. Welche Pakete das sind, verrät Ihnen der Befehl:

dkms status

Nun folgt der Import, Auch hierbei wird erneut das Einmal-Passwort abgefragt.

sudo mokutil --import /var/lib/shim-signed/mok/MOK.der

Schritt 4: MokManager konfigurieren

Mit dem folgenden Befehl stellen Sie sicher, dass der Schlüssel nach dem Neustart im MokManager angezeigt wird. Wird dort nichts angezeigt, hat der Import nicht funktioniert.

sudo mokutil --list-new

Um sicherzustellen, dass der MOKManager beim nächsten Neustart ausreichend lang angezeigt wird, schalten Sie dessen Timeout ab:

sudo mokutil --timeout -1

Schritt 5: SecureBoot aktivieren

Der nun anstehende Neustart öffnet den MOKManager, in dem Sie Enroll MOK auswählen und im nächsten Fenster auf den Schlüssel klicken können, um das Zertifikat zu sehen.

Über den MokManager registrieren Sie den Schlüssel.
Über den MokManager registrieren Sie den Schlüssel.

Danach starten Sie das System neu. Nun können Sie beim nächsten Neustart ins BIOS/UEFI wechseln und SecureBoot aktivieren.

Die Maske zum Aktivieren von SecureBoot kann je nach UEFI-Implementierung leicht variieren.
Die Maske zum Aktivieren von SecureBoot kann je nach UEFI-Implementierung leicht variieren.

Schritt 6: Zertifikat managen

Überprüfen Sie den Status von SecureBoot im Terminal jederzeit mit folgendem Befehl:

sudo mokutil --sb-state

Möchten Sie ein Zertifikat aus dem MOK entfernen, nutzen Sie den folgenden Befehl:

sudo mokutil --delete TUXEDO_Computers_GmbH_Secure_Boot_Signing.crt

Für eine Übersicht weiterer Befehle zur Verwaltung des MOK und des Zertifikats geben Sie einfach ein:

mokutil -h

Hinweis: Wenn Sie kein US-Tastaturlayout verwenden, gilt es, Folgendes zu beachten: Bei der Vergabe des Einmal-Passworts beim Import des Zertifikats achten Sie bitte darauf, keine Sonderzeichen oder Zeichen zu verwenden, die zwischen dem US- und Ihrem Layout abweichen. Der Grund dafür ist, dass der MokManager, der nach dem ersten Reboot erscheint, ein US-Layout verwendet.

Beratung & Support

Willkommen beim TUXEDO-Support - wie können wir Ihnen helfen?

Linux bei TUXEDO

Sie fragen sich, ob Linux das Richtige für Sie ist? Unser Team beantwortet gerne Ihre Fragen und eklärt Details rund um das freie Betriebssystem bei TUXEDO.
Lassen Sie sich von den Vorteilen und Leistungen überzeugen!

Hardware

Notebook, PC, beides - und welches Modell? Unser technisches Serviceteam berät auch bei Auswahl, Ausstattung und stellt für Ihre technischen Anforderungen passende Angebote zusammen.

Fragen und Antworten

Häufig gestellte Fragen und die dazugehörigen Antworten finden Sie hier. Sollten Sie hier keine Lösung für Ihr Anliegen finden, lohnt sich ebenfalls ein Blick in den Bereich Anleitungen.


Mehr dazu

Anleitungen und Tipps

Die meisten Situationen können schnell und unkompliziert selbst gelöst werden. So sparen Sie Zeit und können Ihr Gerät direkt wieder verwenden. Wir stellen Ihnen Anleitungen, erste Schritte und kurze Tipps für alle TUXEDO-Modelle bereit.


Mehr dazu

Systemwiederherstellung

Selbst im Fall des Falles sind Sie nicht auf uns angewiesen: Ihr Gerät lässt sich in den Auslieferungszustand zurück versetzen - komplett automatisch! Ihrer Bestellung liegt alles dazu bereits bei und Sie können direkt loslegen.


Mehr dazu

Technischer Service

Auch bei Servicewünschen helfen unsere kompetenten Techniker gerne weiter. Sie haben verschiedene Möglichkeiten, uns zu kontaktieren. Wir sind Montag bis Freitag von 9 Uhr bis 13 Uhr und von 14 Uhr bis 17 Uhr persönlich für Sie da. Aber auch außerhalb dieser Zeiten können Sie sich mit Ihrem Anliegen per E-Mail an unser Team wenden.
Für Reparaturanfragen (RMA) steht Ihnen in Ihrem Kundenkonto eine extra Funktion zur Verfügung.

 

Kontakt

Wir sind Montag bis Freitag von 9 Uhr bis 13 Uhr und von 14 Uhr bis 17 Uhr persönlich für Sie da. Aber auch außerhalb dieser Zeiten können Sie sich mit Ihrem Anliegen per E-Mail an unser Team wenden. Bitte geben Sie Ihre Kundennummer, den Modellnamen Ihres Laptops oder PCs sowie eine möglichst detaillierte Beschreibung Ihres Anliegens mit an. Je mehr Details Sie uns mitteilen, desto schneller können wir Ihre Anfrage bearbeiten!

Wir behalten uns vor, Fragen zu Fremdhardware oder -Software nicht zu beantworten. Bitte wenden Sie sich bei Fragen zu populärer Open-Source Software (Thunderbird, Filezilla...) an ein Forum bspw. UbuntuUsers.de. Der Rechercheaufwand für anwendungsspezifische Einrichtung ist immens und zum aktuellen Zeitpunkt nicht stemmbar. Grundsätzliche Kompatibilitätsfragen z.B sind natürlich weiterhin willkommen!

Für Reparaturanfragen (RMA) steht Ihnen in Ihrem Kundenkonto eine extra Funktion zur Verfügung.

 

Versandkosten & Lieferzeiten

Wir versenden Ihre Bestellung in nahezu alle Länder, in Europa größtenteils sogar kostenfrei! Die jeweiligen Versandkosten sowie die Kostenschwelle, ab welcher wir die Kosten für Sie übernehmen, finden Sie hier beziehungsweise für internationalen Versand in der unten stehenden Tabelle.

 


Kostenloser Versand in Deutschland

Bereits ab 100 € Warenwert entfallen die Versandkosten innerhalb Deutschlands.

 

Maximal 7,99 € Versandkosten

Egal, wie viele kleine Artikel, wie USB-Stick Cardreader, LAN-Adapter oder Fanartikel Sie bestellen, bei uns zahlen Sie maximal 7,99 € Versandkosten.

  • 7,99 € Versand für alle Bestellungen unter 100 € Warenwert
  • Gratis Versand ab 100 € Gesamtwert

Alle anfallenden Versandkosten oder ob wir Sie sogar gratis beliefern, sehen Sie noch vor Absenden der Bestellung!

 


Internationaler Versand

Hier finden Sie die verschiedenen Preise je Land sowie die jeweilige Versandkostenschwelle für Ihre Bestellung. Die Versandkostenschwelle bezieht sich dabei auf den Warenwert, ab welchem wir die Versandkosten übernehmen.
 

Steuern und Zölle außerhalb der EU:

Sofern die Lieferung außerhalb der EU erfolgt, fallen weitere Zölle, Steuern oder Gebühren an, die vom Kunden zu zahlen sind, jedoch nicht an den Anbieter, sondern an die dort zuständigen Zoll- bzw. Steuerbehörden. Wir empfehlen Ihnen, die Einzelheiten vor der Bestellung bei Ihren Zoll- bzw. Steuerbehörden zu erfragen! Allerdings müssen Sie dann keine Deutsche MwSt. bezahlen, was eine Ersparnis von bis zu 19% ausmacht!
Bedingt durch den Brexit und den damit einhergehenden Veränderungen kann es bei Auslieferungen in die UK zu mehrtägigen Verzögerungen bei der Zollabwicklung vor Ort kommen. Dies liegt nicht in unserem Einflussbereich, daher bitten wir um Ihr Verständnis.

 


⚠️ Länder, in die wir leider nicht versenden können, und Informationen, wie Sie trotzdem bestellen können, finden Sie hier!
Land Versandkosten Kostenloser Versand ab
Albanien 99,00 EUR -
Andorra 59,00 EUR -
Belarus vorübergehend keine Lieferung möglich 59,00 EUR -
Belgien 8,49 EUR 100 EUR
Bulgarien 15,99 EUR 160 EUR
Dänemark 8,49 EUR 100 EUR
Estland 15,99 EUR 160 EUR
Färöer 129,00 EUR -
Finnland 14,99 EUR 150 EUR
Frankreich 9,99 EUR 120 EUR
Griechenland 22,90 EUR -
Großbritannien 9,99 EUR 120 EUR
Hong Kong 199,00 EUR -
Indien 199,00 EUR -
Irland 14,99 EUR 150 EUR
Island 129,00 EUR -
Italien 9,99 EUR 120 EUR
Japan 99,00 EUR -
Kanada 99,00 EUR -
Katar 199,00 EUR -
Kroatien 34,90 EUR 500 EUR
Lettland 15,99 EUR 160 EUR
Litauen 15,99 EUR 160 EUR
Luxemburg 8,49 EUR 100 EUR
Macau 199,00 EUR -
Malta 34,90 EUR 500 EUR
Mazedonien 59,00 EUR -
Moldau 199,00 EUR -
Monaco 19,00 EUR -
Montenegro 99,00 EUR -
Niederlande 8,49 EUR 100 EUR
Norwegen 14,99 EUR 150 EUR
Österreich 8,49 EUR 100 EUR
Polen 15,99 EUR 160 EUR
Portugal 14,99 EUR 150 EUR
Rumänien 15,99 EUR 160 EUR
San Marino 9,99 EUR 120 EUR
Schweden 14,99 EUR 150 EUR
Schweiz 13,99 EUR 150 EUR
Serbien 34,90 EUR 500 EUR
Singapur 199,00 EUR -
Slowakei 15,99 EUR 160 EUR
Slowenien 15,99 EUR 160 EUR
Spanien (ohne Kanarischen Inseln) 14,99 EUR 150 EUR
Tschechische Republik 15,99 EUR 160 EUR
Ukraine vorübergehend keine Lieferung möglich 129,00 EUR -
Ungarn 15,99 EUR 160 EUR
USA inklusive Hawaii 99,00 EUR -
Vereinigte Arabische Emirate 199,00 EUR -
Zypern 34,90 EUR 500 EUR
⚠️ Länder, in die wir leider nicht versenden können, und Informationen, wie Sie trotzdem bestellen können, finden Sie hier!

 

 


Lieferzeiten

Soweit in der Artikelbeschreibung keine andere Frist angegeben ist, erfolgt die Lieferung der Ware in ...

  • 7-10 Werktagen innerhalb Deutschlands
  • 10-12 Werktagen außerhalb Deutschlands

Bei Zahlung per Vorkasse beginnt die Lieferfrist nach Zahlungseingang. Beachten Sie bitte, dass an Sonn- und Feiertagen keine Zustellung erfolgt.
Bei Waren, die per Download geliefert werden, fallen keine Versandkosten an.
Die Versendung der Zugangsdaten zur Ausführung des Downloads erfolgt innerhalb von 1-3 Werktagen nach Vertragsschluss per E-Mail. Bei Zahlung per Vorkasse liefern wir erst nach Zahlungseingang. Sie können die Download-Artikel dann über den in der E-Mail mitgeteilten Link herunterladen.

Eine Selbstabholung von Bestellungen ist leider nicht möglich.