Windows Biometrischer Login mit Grub/Systemdboot + Windows

[ebastler]

Hallo,

Ich habe ein T14s Gen3 AMD, aktuell single boot Windows 11. Da der Powerbutton auch Fingerabdruckscanner ist, autorisiert das Anschalten sowohl das Entschlüsseln der Festplatte (UEFI HDD Passwort für TCG Opal) als auch das Ensperren von Windows. Ich komme also mit dem Drücken des Powerbuttons direkt auf den Desktop, wenn ich mit dem richtigen Finger drücke.

Nun überlege ich, noch ein Linux mit gültigem SecureBoot Zertifikat, wie Fedora, dazu zu installieren. Die Frage ist, wenn ich erst den Grub starte, und aus Grub heraus den Windows Bootloader - wird das Windows dann weiterhin direkt entsperrt? Wie genau funktioniert das? Ist das ein Toggle "gültiger Scan" im TPM/Pluton, oder wird da ein Parameter an den Bootloader übergeben, der in dem Fall verloren ginge, wenn vor dem Windows Bootloader noch ein zweiter Bootloader sitzt?

Ich denke mal, jemand hier wird ein aktuelles Thinkpad mit Dualboot haben, und das daher eventuell schon mal getestet haben.

Noch eine Frage hab ich - wisst ihr, ob Linux mit aktivem Pluton sinnvoll funktioniert, oder muss ich dafür wieder auf TPM zurück schalten?

 

[linrunner]

Warum möchtest Du Windows über Grub starten? Grub bekommt einfach einen weiteren Booteintrag im NVRAM, neben Windows. Über F12 kannst Du dann wählen.

Nebenbei ist neuerdings die autom. Erkennung anderer Systeme in Grub standardmässig deaktiviert (GRUB_DISABLE_OS_PROBER= true).

Zu deinen restlichen Fragen kann ich nichts beitragen. Einfach ausprobieren.

 

[KNARZ]

Warum möchtest Du Windows über Grub starten? Grub bekommt einfach einen weiteren Booteintrag im NVRAM, neben Windows. Über F12 kannst Du dann wählen.

Das ist in der Tat ein ganz guter Punkt. Man hat dann zwar nicht die Auswahl in einem Bootmanager, kann aber via F12 dann das System starten. Wobei ich zu wenig Ahnung habe wie der Boot von Linux auf UEFI genau funktioniert (Partitionen usw.).
Tja, nun ärgere ich mich leicht das ich den FP abgewählt habe (wegen der ankündigten längeren Lieferzeit).

 

[ebastler]

Hm, über den Bootmanager zu wählen hab ich gar nicht drüber nachgedacht - da ich primär Windows nutze wäre das echt okay. Danke für die Idee! Werde ich dann Mal versuchen.

Linux auf UEFI braucht einen Eintrag auf der EFI Partition, da gibt's afaik einen Ordner pro Bootloader, und das war's an speziellem. Man muss dann dem UEFI noch beibringen dass es den Bootloader gibt, das macht der entweder selber bei der Installation, oder man nimmt das efibootmgr Tool.

Bin auch gespannt ob ich den biometrischen Login in Fedora hinkriege. Fingerabdruck sollte kein Problem sein, aber ob die Windows Hello kompatible Kamera da läuft... Mal schauen ob es dafür Pakete gibt.

 

[xsid]

@ebastler

Schau dir mal den Thread an: https://thinkpad-forum.de/threads/t...buntu-22-04-sudo-efibootmgr-bootorder.235566/

Oder hier: https://askubuntu.com/questions/1417284/how-enable-fingerprint-in-ubuntu-22-04

 

[Korfox]

Fedora sollte (!) den FPR ootb können:

ThinkPad T14 Gen. 2 (Intel) Fedora Installation

ThinkPad T14 Gen. 2 (Intel) Fedora Installation. GitHub Gist: instantly share code, notes, and snippets.

gist.github.com

Ansonsten dürfte das hier wohl eher hilfreich sein:

Manually updating firmware In Fedora - Linux Singapore

One thing you should know that GNOME Software i.e. the software center in recent Fedora editions is also capable of updating the firmware. But in situations when it fails for any reason, you can use the command line tool fwupd. I personally did this because an automatic update failed (don’t...

linux.com.sg

Und ohne GUI kann man auch auf der Konsole den FP ausrollen (ich denke für Mate gibt es z.b. zumindest nicht für jede Distri und ohne Aufwand immer ein GUI für fprintd).

Das schöne daran ist ja eh: den keyring kann man nur per Passwort entsperren

Ich sehe gerade der erste link geht um das gen 2, hier geht es um das gen 3... Probieren.

 

[xsid]

Ich habe ein T14s Gen3 AMD, aktuell single boot Windows 11. Da der Powerbutton auch Fingerabdruckscanner ist, autorisiert das Anschalten sowohl das Entschlüsseln der Festplatte (UEFI HDD Passwort für TCG Opal)

Was passiert da genau?
Wird das alles durch UEFI geregelt oder fummelt Windows mit?

Grub / Systemdboot

Wie ist das zu verstehen?

Grub booten, Syslinux booten und EFISTUB booten sind mir bekannt.

EFISTUB ist am schnellsten, weil der Kernel direkt vom UEFI gebootet wird.

 

[ebastler]

Was passiert da genau?
Wird das alles durch UEFI geregelt oder fummelt Windows mit?

Die Verschlüsselung ist reine HW verschlüsselung der SSD, Key sitzt im Pluton/TPM. Wie der "Boot-Fingerabdruck" an Windows durchgeschliffen wird - ich hab nicht die geringste Ahnung. Deshalb die Frage.

Wie ist das zu verstehen?

Hatte bisher immer Systemdboot (aka Gummiboot) als Bootloader, aber da ich aktuell auf Fedora Schiele und Fedora mit Grub kommt, wird's wohl Grub - sonst verliere ich die gültigen Secureboot Zertifikate, wenn ich daran was ändere.

 

[xsid]

Fedora Schiele und Fedora mit Grub kommt, wird's wohl Grub - sonst verliere ich die gültigen Secureboot Zertifikate, wenn ich daran was ändere.

Die Zertifikate verlierst Du nicht, damit meinst Du die Fedora Zertifikate, die nur mit Grub genutzt werden können?
Du nutzt also Secureboot?

Welchen Sicherheitsvorteil verspricht Du dir?
So wie Du Virtualbox nutzen möchtest, musst Du Secureboot deaktivieren.

VirtualBox & VMware Kernelmodule mit UEFI Secure Boot

Wer VirtualBox oder VMware auf einem UEFI System mit aktiviertem Secure Boot nutzt, muss nach Updates die Kernelmodule selbst signieren. Mit dieser Anleitung wird dies zum Kinderspiel.

gnulinux.ch

Wer ein UEFI System mit Secure Boot nutzt und die passenden Kernelmodule für VMware Workstation/Player oder Virtualbox selbst compiliert, muss diese signieren, damit sie erfolgreich geladen werden können. Dabei ist insbesondere VMware dafür bekannt, aktuelle Kernelversionen nicht zeitnah zu unterstützen, wobei der Entwickler Michal Kubeček Patches bereitstellt.

 

[ebastler]

Ich nutze secureboot, ja, sonst funktioniert bei Windows 11 weder Fingerabdruck noch Webcam Login... (Und 11 allgemein nur mit Gebastel).

So weit ich verstanden habe, muss sowohl der Bootloader als auch der Kernel ein gültiges Zertifikat besitzen, dass Secureboot nicht meckert. Fedora kommt mit einem Microsoft CA Zertifikat für beides. Wenn ich aber den Bootloader durch was anderes ersetze, sollte mir das gültige Cert des Bootloaders fehlen, und damit kein Secureboot mehr möglich sein. Klar kann man self-signed machen, aber das ist mir deutlich zu viel Aufwand - zumal Grub seinen Job ja tut.

 

[xsid]

Webcam Login

Benötigt man da besondere Hardware oder sollte es mit jedem ThinkPad mit Windows 11 funktionieren?

 

[ebastler]

Benötigt man da besondere Hardware oder sollte es mit jedem ThinkPad mit Windows 11 funktionieren?

Die Kamera meldet sich in Windows als Windows Hello device, hat auch irgendeinen dedizierten IR Projektor. Ob's eine simple IR LED ist oder ein Gitter-Laser wie beispielsweise bei Apple FaceID hab ich noch nicht verstanden. Surfaces haben was ähnliches.

Beitrag automatisch zusammengeführt: 3 Feb. 2023

Habe jetzt die Empfehlung von @linrunner befolgt und wähle win/Linux über das F12 Menü statt über den Grub. Geht problemlos mit Win11 bis auf den Desktop, in Fedora muss ich den Lockscreen nochmal extra mit Finger bestätigen, klappt dann aber auch.

Fingerprint war kein Problem im Linux, Secureboot mit aktivierten third party CA auch nicht.

Ob ich die FaceID noch zum laufen kriege muss ich schauen - es gibt Pakete um Windows Hello Kameras unter Linux anzusprechen, aber wie die KDE Implementierung aussieht und wie gut das geht hab ich mich bisher nicht mit befasst.

Bin erstaunt wie gut Fingerabdruck Scanner inzwischen laufen - das war am T450s als ich es zuletzt versucht hab noch ziemliches Chaos. Jetzt alles out of the box, bei KDE in den Einstellungen und in alle Passwort-Abfragen integriert. Sehr cool.