Changes for page UEFI Secure Boot

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -1,5 +3,3 @@
1		-and verifies its signature using the distribution certificates embedded in the Shim package.
2		-
3	3	{{aagon.floatingbox/}}
4	4
5	5	For systems with UEFI firmware and Secure Boot activated, the PXE boot process differs fundamentally from classic legacy boot via BIOS. UEFI uses a modern architecture model based on 64-bit operation, modular expandability and cryptographic verification. While legacy boot loads arbitrary code without integrity checks, Secure Boot enforces a continuous chain of trust that extends from the firmware starter to the kernel. Each component must be digitally signed in order to be executed.
...	...	@@ -7,37 +7,37 @@
7	7	Since the Shim bootloader is signed by Microsoft, it is classified as trustworthy by the firmware. The Shim package also contains certificates for the respective distribution, which are used to verify the subsequent components (such as GRUB, the kernel and the initramfs). It is crucial that the certificate chain remains unchanged throughout the entire boot process so that each component is only loaded from an authorized source.
8	8
9	9
10		-= PXE boot process in UEFI mode =
	8	+= Ablauf des PXE-Boots im UEFI-Modus =
11	11
12		-The process typically proceeds as follows:
	10	+Der Ablauf gestaltet sich typischerweise wie folgt:
13	13
14		-1. **UEFI firmware initialisation**
15		-The firmware initialises hardware components and checks whether Secure Boot is active. It then starts the network stack for PXE boot.
16		-1. **DHCP request and boot file assignment**
17		-The PXE client sends a DHCP request and receives the IP address, boot server (TFTP/HTTP) and the name of the boot file to be loaded, typically ##bootx64.efi##.
18		-1. **Shim start (Microsoft signed)**
19		-The firmware loads ##bootx64.efi## (the Shim bootloader). Since this is signed by Microsoft, it is accepted as trustworthy.
20		-1. **GRUB boot (Distribution signed)**
21		-The Shim bootloader loads ##grubx64.efi## and verifies its signature using the distribution certificates embedded in the Shim package.
22		-1. **Kernel and initramfs start**
23		-GRUB loads the kernel (##vmlinuz##) and the initramfsd (##initrd.img##). Both must be signed, otherwise Secure Boot will deny access to the boot process.
24		-1. **System start and key verification**
25		-Only when all signatures are valid will the kernel be executed and the operating system booted.
	12	+1. **UEFI-Firmware-Initialisierung**
	13	+Die Firmware initialisiert Hardwarekomponenten und prüft, ob Secure Boot aktiv ist. Anschließend startet sie den Netzwerkstack für den PXE-Boot.
	14	+1. **DHCP-Anfrage und Bootdatei-Zuweisung**
	15	+Der PXE-Client sendet eine DHCP-Anfrage und erhält IP-Adresse, Bootserver (TFTP/HTTP) und den Namen der zu ladenden Bootdatei, typischerweise ##bootx64.efi##.
	16	+1. **Shim-Start (Microsoft-signiert)**
	17	+Die Firmware lädt ##bootx64.efi## (den Shim-Bootloader). Da dieser von Microsoft signiert ist, wird er als vertrauenswürdig akzeptiert.
	18	+1. **GRUB-Start (Distribution-signiert)**
	19	+Der Shim-Bootloader lädt ##grubx64.efi## und überprüft dessen Signatur anhand der im Shim-Paket eingebetteten Zertifikate der Distribution.
	20	+1. **Kernel- und Initramfs-Start**
	21	+GRUB lädt den Kernel (##vmlinuz##) und die Initramfs (##initrd.img##). Beide müssen signiert sein, sonst verweigert Secure Boot den Startvorgang.
	22	+1. **Systemstart und Schlüsselprüfung**
	23	+Erst wenn alle Signaturen gültig sind, wird der Kernel ausgeführt und das Betriebssystem gebootet.
26	26
27		-This architecture ensures that only verified and signed components are executed during the entire boot process.
	25	+Diese Architektur stellt sicher, dass während des gesamten Bootvorgangs nur verifizierte und signierte Komponenten ausgeführt werden.
28	28
29		-= Preparation of the boot files =
	27	+= Vorbereitung der Bootdateien =
30	30
31		-For PXE booting under Secure Boot, you need the following files, which are provided by the respective distribution:
	29	+Für den PXE-Boot unter Secure Boot benötigen Sie folgende Dateien, die von der jeweiligen Distribution bereitgestellt werden:
32	32
33		-* ##bootx64.efi## – Shim bootloader (Microsoft signed, from the shim-signed package)
34		-* ##grubx64.efi## – GRUB EFI bootloader (distribution signed)
35		-* ##vmlinuz## – Linux kernel (signed)
36		-* ##initrd.img## – Initial RAM disk (signed)
	31	+* ##bootx64.efi## – Shim-Bootloader (Microsoft-signiert, aus dem Paket shim-signed)
	32	+* ##grubx64.efi## – GRUB EFI-Bootloader (Distribution-signiert)
	33	+* ##vmlinuz## – Linux-Kernel (signiert)
	34	+* ##initrd.img## – Initial-RAM-Disk (signiert)
37	37
38		-These files are usually stored in the ##/tftpboot/## directory or a subfolder such as ##/tftpboot/uefi/## and deployed via DHCP/TFTP.
	36	+Diese Dateien werden in der Regel im Verzeichnis ##/tftpboot/## oder einem Unterordner wie ##/tftpboot/uefi/## abgelegt und über DHCP/TFTP verteilt.
39	39
40		-Example structure
	38	+Beispielhafte Struktur
41	41
42	42	{{code language="bash"}}
43	43	/tftpboot/
...	...	@@ -50,7 +50,7 @@
50	50	{{/code}}
51	51
52	52	{{aagon.warnungsbox}}
53		-If you have multiple distributions, please note that Shim and GRUB must always be used as a matching pair. Each distribution comes with its own set of certificates. Mixing different versions will therefore lead to signature errors and boot failures.
	51	+Beachten Sie bei mehreren Distributionen, dass Shim und GRUB immer als passendes Paar verwendet werden müssen. Jede Distribution bringt ihr eigenes Zertifikatsset mit. Eine Mischung unterschiedlicher Versionen führt daher zu Signaturfehlern und Bootabbrüchen.
54	54	{{/aagon.warnungsbox}}
55	55
56	56	= Anlage der GRUB-Konfiguration =