Der werte Herr Lennart "Mr. Systemd" Poettering und die Rothüte stellen auch weiterhin alteingesessene Konzepte auf den Kopf. Gerade wird daran gearbeitet, die Boot-Kette zu modernisieren , was bei mir widersprüchliche Emotionen weckt. In der Tat ist - selbst bei einem vollverschlüsselten System - der Beginn des Boot-Prozesses ein potenzielles Sicherheitsrisiko. Das spricht natürlich für eine konsequente Absicherung der Boot-Kette. Schon länger habe ich die Idee, die /boot-Partition auf einen Wechseldatenträger zu verfrachten, den ich nach dem Booten einfach umounte und in die Hosentasche stecke. Dies würde eine eventuelle Manipulation durch nicht-autorisierte Personen mit physischem Zugang zum Rechner unterbinden. Hier geht es aber auch um die digitale Signierung des Boot-Prozesses, was ein weiterer Sicherheitszugewinn wäre. So ganz habe ich das Konzept aber noch nicht verstanden - denn bei einem vollverschlüsselten System benötigen wir ja das unverschlüssselte initramfs, welches die Treiber enthält, um auf die verschlüsselte Systempartition überhaupt zugreifen zu können.

Mir ist nicht klar, wie das hier anders laufen soll, ob beispielsweise Bootdaten direkt in einen nur vom UEFI-BIOS aus zugreifbaren Bereich geschrieben werden?! Der Vorteil wäre ganz klar, keine unverschlüsselte und somit manipulationsanfällige Partition mehr zu benötigen - was u.a. auch die Sache mit dem System-Backup vereinfachen würde.

Andererseits heißt Signieren wieder möglicherweise zertifizieren und dass irgendjemand wieder die Hand aufhält. Und ich meine mich zu erinnern, dass dieses Shim auch ein ziemlicher Sumpf sein soll, kenne mich da aber zu wenig aus, um qualifiziert stänkern zu können. Falls jemand von euch dazu was handfestes schreiben kann, dann her damit.

Ich befürchte Du liegst da leicht daneben.

Mein vollverschlüsseltes Debian-System hat 2 nichtverschlüsselte Partitionen:
a) die Vfat formattierte EFI System Partition (ESP)
b) die Boot-Partition /boot mit Grub

Der Linuxkernel lässt sich so kompilieren, dass dieser in der ESP unverschlüsselt abgelegt vom UEFI-System direkt geladen werden kann. Das nennt sich dann EFISTUB und macht einen zusätzlichen Bootloader wie Grub tatsächlich überflüssig.

Das ganze hat aber gar nichts mit Sicherheit zu tun, sondern eher mit um wenige Sekunden schnellere Bootzeiten.
Mehrere installierte Betriebssysteme richtest Du dann mit einem Programm wie efibootmgr ein.
Dein Wunschsystem starten kann Du dann über das UEFI-Bootmenü (z. B. Taste F12 direkt nach dem Einschalten).

Ok, das hätte dann zusätzlich den Vorteil, dass ich eine Partition weniger sichern müsste. Ich fand das bei diesem komischen (U)EFI-Gedöns nervig bis unverständlich und unhandlich, warum ich hier auf einmal eine weitere Partition mit irgendeinem BLOB vorliegen haben muss, die ich dann natürlich ebenfalls sichern muss, wenn ich den Anspruch habe, mein gesamtes System gesichert zu haben.

Zudem habe ich diese ganze bescheuerte Diskussion, wer beim hochfahren des Systems den Schnelleren hat, noch nie verstanden, weil bei mir die Rechner eh durchgängig laufen - wohlwissen, dass ich damit nicht Otto Normal-DAU repräsentiere. Zumal es ja gewisse Anwendungen gibt, die dieses Ziel aus Gründen eh torpedieren. Meine Motivation wäre da eher, ein möglichst ressourcenschonendes System zu haben - wohingehend ich von einigen Distros abgesehen, eher wenig Motivation sehe,

Und ich erinnere mich, in den letzten Jahren Artikel gelesen zu haben, die das hehre Ziel, die Boot-Kette abzusichern, thematisiert haben. Und ist dies nicht eh das Ziel des werten Herrn Poettering? Dies wäre mir persönlich durchaus wichtiger, als ein paar lächerliche Boot-Sekunden einzusparen.