Skip to main content

💻 Microsoft Secure Boot-Zertifikat

⚠️ Hinweis

Für Linux-Systeme ist das Microsoft-Secure-Boot-Zertifikat nicht notwendig.
Linux bootet problemlos ohne Secure Boot, und proprietäre Microsoft-Zertifikate sind für freie Betriebssysteme überflüssig.

Linux schützt sich auch ohne Secure Boot durch mehrere Mechanismen:

  • 🛡️ Kernel- und Module-Schutz (z.B. SELinux, AppArmor, signierte Module) verhindert unbefugte Änderungen.
  • 🔒 Verschlüsselte Partitionen und Integritätsprüfungen (LUKS, IMA/EVM) sichern Daten und Systemdateien ab.
  • 📦 Signierte Pakete aus offiziellen Repositories stellen sicher, dass nur vertrauenswürdiger Code installiert wird.

So bleibt Linux auch ohne Microsoft-Zertifikate sicher und frei.

🔒 Secure Boot deaktiviert

📢 Hinweis:
Wenn du nachträglich Secure Boot deaktivierst, startet Linux problemlos, und abgelaufene Microsoft-Zertifikate sind dann irrelevant. Windows hingegen kann auf manchen PCs, besonders bei Windows 11, ohne Secure Boot nicht mehr booten.

🖥️ Installation von Linux

⚙️ Setup:

  • Installation über UEFI + GPT
  • BIOS: Secure Boot & Fast Boot deaktiviert

💡 Hinweise:

  • Linux bootet direkt von der EFI-Partition, Bootloader und Kernel werden ohne Signaturprüfung geladen.
  • Secure Boot und Microsoft-Zertifikate sind nicht notwendig.
  • Wichtige Dateien in verschlüsselte Ordner oder Partitionen sichern (z.B. LUKS, CryFS oder gocryptfs).

⚠️ Warum das Microsoft-Secure-Boot-Zertifikat bedenklich ist

🚫 Gründe:

  • Das Zertifikat ist proprietär und closed source.
  • Es gehört Microsoft, nicht dir oder der Linux-Community.
  • Niemand in der freien Open-Source-Welt will von Microsoft abhängig sein.

🔍 Prüfen, ob Secure Boot aktiviert ist

⚙️ Befehl:

sudo pacman -S --needed mokutil
mokutil --sb-state

📋 Mögliche Ausgaben:
✅ SecureBoot enabled -> Secure Boot ist aktiv
❌ SecureBoot disabled -> Secure Boot ist deaktiviert
⚠️ SecureBoot not supported -> Secure Boot wird von deinem UEFI/BIOS nicht unterstützt

📄 Überprüfen der installierten Secure Boot-Zertifikate (wenn vorhanden)

⚙️ Befehl:

sudo pacman -S --needed efitools
sudo efi-readvar -v -n db

📝 Beschreibung:
Diese Ausgabe enthält alle Zertifikate in der "db" (Allowed Signature Database)

📌 Wichtige Felder:
Signature Owner, NotBefore, NotAfter

📋 Beispiel:

Signature Owner: Microsoft Corporation
NotBefore: 2020-01-01
NotAfter: 2026-07-31

⏳ Nur die Ablaufdaten anzeigen

⚙️ Befehl:

sudo efi-readvar -v -n db | grep -i "NotAfter"

📝 Beschreibung:
Zeigt die Gültigkeitsdauer der Zertifikate, z. B.:

NotAfter: 2026-07-31
⚙️ 🔄 Firmware-Updates erneuern das Microsoft Secure Boot-Zertifikat automatisch

📢 Hinweis:

  • Hersteller (HP, Dell, Lenovo, ASUS, etc.) können im Firmware-Update die db-Datenbank aktualisieren, also die Microsoft-Zertifikate erneuern.
  • Das passiert automatisch beim Update, du musst in der Regel nichts manuell importieren.
    Beispiel: Ein Update ersetzt ein Microsoft-Zertifikat, das 2026 abläuft, durch ein neues mit Ablauf 2030.
Back to top