Tails: Live-USB-Stick mit eigenen Secure-Boot-Keys booten
Ab und an nutze ich Tails und boot es von einem USB-Stick. Mein Rechner läuft jedoch mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Schlüsseln bzw. Keys. Aus diesem Grund führt mein System die von Tails bereitgestellte EFI-Bootdatei nicht aus, da diese nicht mit meinem DB-Key signiert ist. Anstatt nun aber die Sicherheitskette aufzubrechen und einfach temporär Secure Boot zu deaktivieren, signiere ich einfach die entsprechende EFI-Bootdatei. Das ganze lässt sich relativ leicht bewerkstelligen.
- Lenovo ThinkPad X1 Carbon Gen 9 mit Arch Linux und eigenen Secure-Boot-Schlüsseln
- systemd v258.1-1-arch
- Tails v7.1
Live-USB-Stick - EFI-Bootdatei signieren
Im ersten Schritt wird der USB-Stick, auf dem Tails installiert ist, gemountet. Da das bei mir nicht automatisch passiert, nutze ich folgende Befehle (der Pfad zu eurem USB-Gerät/-Stick ist entsprechend anzupassen):
sudo mkdir /tmp/tails
sudo mount /dev/sda1 /tmp/tails
Im nächsten Schritt signieren wir die relevante EFI-Bootdatei von Tails:
sudo /usr/lib/systemd/systemd-sbsign sign \
--private-key=/etc/secure-boot/keys/db.key \
--certificate=/etc/secure-boot/keys/db.crt \
--output /tmp/tails.efi \
/tmp/tails/EFI/BOOT/BOOTX64.EFI
Wrote signed PE binary to /tmp/tails.efiNun nur noch die erzeugte eigens signierte EFI-Bootdatei auf den USB-Stick kopieren:
sudo cp /tmp/tails.efi /tmp/mount/EFI/BOOT/BOOTX64.EFI
Abschließend sollte Tails problemslos vom USB-Stick gebootet werden können.
Fazit
Das hier gezeigte kann natürlich auch auf andere Linux-Distributionen, die von einem USB-Stick auf einem System mit eigenen Secure-Boot-Keys gebootet werden sollen, angewendet werden. Zudem ist es auch nur notwenig, wenn man wie in meinem Fall, die Secure-Boot-Keys von Microsoft komplett entfernt hat. Alternativ könnte man diese ja auch selbst signieren und hinzufügen.