BIOS, uEFI, TPM (in move), > go for PPC and Skiroot-Skiboot-Petitboot?

PC BIOS (and CSM-Simulation, in particular the “access for end-users”) will be killed off by 2020 (Intel > pure UEFI), but that’s not all*.
http://uefi.org/learning_center/presentationsandvideos (“Last Mile” … by B. Richardson, Intel)
Unterschied UEFI-Firmware Class 2 (mit) und Class 3 (ohne, “pure UEFI”, really? or only blocked/disabled?)

CSM supports old HW und modern systems can boot old/other SW. Without it, only UEFI-native hardware and software will work. These Option ROMs are, like the BIOS themselves, written in 16-bit real mode x86 code. boots up acting as if it’s a 16-bit 8086 chip and still has all the ancient 16-bit processor modes

http://yarchive.net/comp/linux/efi.html (Linus Torvalds, 2006 about EFI, Relevanz heute?)

P. Bright: UEFI is an open specification and, in theory at least, any developer could write a UEFI firmware, in practice, most UEFI systems use code based on the UEFI reference implementation provided by Intel. This implementation, called TianoCore, is then modified by firmware vendors such as AMI and Phoenix, and subsequently integrated into motherboards by Dell, HP, Lenovo, Asus, and so on

https://github.com/tianocore/tianocore.github.io/wiki/EDK-II-Draft-Specification

Und hier ist auch was los, sind sich noch nicht alle einig. https://news.ycombinator.com/item?id=15579592

titled “Strategies for Stronger Software SMI Security in UEFI Firmware” … und … The Windows 10 Fall Creators Update adds new requirements that include improved support for TPMs (Trusted Platform Modules) and new functionality for Secure Boot BIOS update

https://www.insyde.com/press_news/press-releases/insyde®-software-highlights-strategies-strengthen-firmware-security-fall

requirements that Microsoft mandates in order for a piece of hardware to be qualified for a Windows logo
https://docs.microsoft.com/en-us/windows-hardware/drivers/bringup/uefi-requirements-that-apply-to-all-windows-platforms

*TPM goes into UEFI! > was sind die Konsequenzen?
TCG EFI Platform Specification, for TPM Family 1.1 or 1.2, vers. 1.22, Revision 15
PDF Januar 2014
https://trustedcomputinggroup.org/tcg-efi-platform-specification/
(Schemata/Bilder, Seiten Nr. 10, 12, insb. 13 und 15 etwas beäugen, PCR-Prioritäten?)
TPM (Kritik)
https://de.wikipedia.org/wiki/Trusted_Platform_Module
künftige HW-Konsumation? Eines Tages werden sie die HW (PC, Tablete, Smartphone …) “verschenken”, konkret zur Konsumation ausleihen (Besitzer bleiben sie selbst), Hauptsache die Endbenutzer liefern Daten. :slight_smile:

Könnte folgendes eine künftige Alternative für Endbenutzer sein (gestaltbar sein)?
(POWER-server, every OPAL POWER machine)
und PowerPC? > mit Skiroot (mit/ohne Skiboot) und Petitboot?

What we all really want though is to run Linux directly on the hardware, which meant a new boot process would have to be thought up …

Implementation-Einbau von (Kombination) mit GNU/Grub2 (Grub) evtl. un-möglich?

Skiroot itself (not including Skiboot) is roughly comparable to UEFI, or at least much more so than legacy BIOS implementations. But whereas UEFI tends to be a monolithic blob of fairly platform-specific code (in practice), Skiroot is simply a small Linux environment that anyone could put together with Buildroot.

https://sthbrx.github.io/blog/2016/05/13/tell-me-about-petitboot/

Könnte …

schlecht fantasiert

EnteEnteGo for:
“Defeating Invisible Enemies: Firmware Security in OpenPOWER Systems” (Sep2017)
oder idem
“op-stboot-lss-2017-v1.0.pdf”

und “vTPM” (2006)
http://domino.research.ibm.com/library/cyberdig.nsf/1e4115aea78b6e7c85256b360066f0d4/a0163fff5b1a61fe85257178004eee39?OpenDocument

TPM wohl schon alles implementiert und eh alles Server-HW. (und dann C++ oder AIX usw. > ich keine Ahnung)
Ohne Eure Hilfe und Tipps würde ich noch schlimmer fantasieren (without limits) :slight_smile: und hätte nicht mal die geringste Idee von. So anyway, thanks.

Intel Advanced Techno of x5-z8350

Secure Boot ensures that only trusted software with a known
configuration executes as part of the boot process. It enables the hardware root of trust which starts the
authentication chain for platform firmware and subsequent software load, like the operating system, for example.

andere CPU betreffend (x5-z8350 sollte keine PTT Ausstattung haben)
z.B. NUC-Mini-PC mit Prozess 7th Gen (i3-7100U) beinhaltet diese CPU-Fähigkeit:

Intel® Platform Trust Technology (Intel® PTT) is a platform functionality for credential storage and key
management used by Windows 8* and Windows® 10. Intel® PTT (gleich uEFI Class3 ??) supports
BitLocker* for hard drive encryption and supports all Microsoft requirements for firmware Trusted Platform
Module (fTPM) 2.0

Wenn “bootx64.efi” ein (Standard-fallback) und authorisiert ist, so wird MS evtl. auch w8 nachträglich mit fTPM
ausrüsten/updaten können (“Mit-owner” der Maschine bleiben). > keine Ahnung

Dies muss ja nicht negativ sein (TPM in uEFI) > sofern der Machine-owner die Keys selbst definieren/anlegen-
löschen/bestimmen kann. (sollte gemäss “TCG spec.” evtl./eigentlich möglich bleiben)

https://msdn.microsoft.com/en-us/library/windows/hardware/jj923068(v=vs.85).aspx

eher eh bekannt (evtl. dienlich), w8/w10 > z.B. “shift + restart” > dann AdvancedSettings z.B. “uEFI-Firmware settings” (habe kein w8/w10)
https://www.howtogeek.com/175649/what-you-need-to-know-about-using-uefi-instead-of-the-bios/
https://www.howtogeek.com/126016/three-ways-to-access-the-windows-8-boot-options-menu/

Quelle (ausführlich), Einführung in uEFI für Unixoide (ich noch nicht gelesen-verstanden):
https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/
Great! :slight_smile: Mit grossem DANKE an den Autor.

Booting to a Removable Media Device: (Dell 2013)
To make a removable device bootable the UEFI application simply needs to be renamed to BOOTx64.EFI
(case insensitive) and placed in the \EFI\BOOT directory in a FAT32 partition.
When a removable device such as a USB key is detected in UEFI Boot Mode, a boot option at the end of
the current boot list is automatically added to point to the following location:
\EFI\BOOT\BOOTx64.EFI

w8/w10 “shift + re-start” > dort irgendwo SecureBoot und Fast-/Ultrafast-boot vorübergehend (zwecks Inst.) disablen > Exit + shutdown
USB-Stick mit “ISO-Inst.-Abbild” anschliessen
@POST > F2 > Startoptionen > Eintrag des USB-Sticks sollte jetzt als ~ca.“uEFI-USB-Gerät” aufgeführt sein > Startreienfolge temporär ändern (oder gleich @POST entsprecher F-Key drücken: zeige startfähige Geräte) > auswählen > Installieren.

Evtl. offeriert das uEFI-Firmware Setup-Utility die Option: “shellx64.efi auf Dateisystemgerät kopieren” :slight_smile:

ist ein anderes linux bereits inst. > dort Infos holen (evtl. dienlich)

#:~> sudo hwinfo --short
#:~> lsusb (Bus x Device x: ID)
#:~> sudo /usr/sbin/hwinfo --disk (USB suchen)
#:~> sudo /sbin/lspci -nnv | grep ‘[0c’ -A3 (SMBus USB-Controller)
#:~> sudo /sbin/lspci -vv -b (USB-Controller, bus centric view, Kernel modules, Kernel driver)
#:~> sudo dmidecode -t0 (Characteristics as: Selectable boot, USB legacy …)
#:~> cat /proc/cmdline (aktives BOOT_IMAGE, root-ID, SWAP, Opts)
#:~> lsblk (Baumstruktur plus Mount-Point)
#:~> cat /etc/fstab (partition is the [b]“USB”-DISK/Stick (X,xxx,xxxx, xUID 2d88f241-df3e-2377-4fca-
2bf0c840366f) that’s referring to a specific partition using the EFI_DEVICE_PATH_PROTOCOL)
etwas ähnliches
xUID=8529bd16-2321-445d-bc5c-c51b3d253114 /run/media/xyz ext4 acl,user_xattr,noauto,nofail 1 2
xUID=48D1-87B4 /run/media/xyz vfat users,gid=users,umask=0002,utf8=true,noauto,nofail 0 0

als root # efibootmgr -v

efibootmgr -n 4 (4,0,2 sind startfähige Partitionen > wobei dann “evtl.” das [wX meist auf 0] wX nicht mehr gelistet ist)

daher z.B. > # efibootmgr -o 4,2,0 (Startreihenfolge ändern > sollte modal sein / F-Taste @POST nicht modal)
wenn linux-OSes eine eigene ESP haben > auch gut, (idem w7/8/10), man kann mehrere ESP haben.

If you look at a UEFI-capable live or install medium for a Linux distribution or other OS, you’ll find it has a GPT partition table and contains a FAT-formatted partition at or near the start of the device, with the GPT partition type that identifies it as an EFI system partition.
Within that partition there will be a \EFI\BOOT directory with at least one of the specially-named files (BOOTIA32.EFI/bootAA64.efI-/BOOTx64.efi)
… AND … “load this file from this partition”.

Legacy/BIOS ist EEPROM (electrical, erasable, programmable ROM)
uEFI-Firmware ist via SPI erreichbares “Flash”-Chip-NVRAM, welches die 1024kB des BIOS (sowie Legacy PXE OpROM) noch inklusiv (sofern uEFI-Firmware Class 2).

Macht man ein uEFI-“ROM-Flash”-upgrade (z.B. Instant-Flash, ROM-File ab USB-Stick aus Firmware-SetupUtility heraus), so wird einerseits wahrscheinlich der BIOS-Teil (SEC/PEI) und andererseits zusätzlich evtl. Teile der uEFI-Dxe-Core (Dispatcher) sowie DXE-Drivers, OpROM oder uEFI-BootLoader (“geflasht”) - geschrieben.

bei Intel-Ware, herrscht die ME, bis der Owner via MEBX (Manageability Engine BIOS eXtension, Ctrl+P [Control Platform] siehe Intel AMT) die ME configuriert und oder via SMM das Diktat zurückerwirbt. Low-Level-Bereich > mehr Wissen. Grundsätzlich kann man sich seine eigene Firmware auf das NVRAM schreiben.
Intel schreibt überall rein (ME, NVRAM > Descriptor > PEI-Dispatcher > PEIM-Entry-Point > DXE IPL, alles als fTPM resp. Intels eigene Umsetzungen davon “evtl. PTT/TXE/TXT usw.” > keine Ahnung).

In w10 gibt es bestimmt schon ein “Klick-MoKList-UI-Fenster” PK-KEK um die Keys mittels Drag-Drop in die “db” oder “dbx” zu schieben/umgekehrt.
für spez. ARM-based FPGA’s gibt es die openSUSi auch im Rohmaterial (raw), verpackt in einer Tumbleweed (für Comics-/Kurzfilmliebhaber).
openSUSi kann alles und macht glücklich :slight_smile:

Seit dem neuen amd Board vor 4 Jahre nur noch UEFI auch alle usb sticks gpt, ufi security aber aus.
Würde es gut finden wenn entlich dieses classic Bios rausfällt.
Am schönsten wärs ja das uefi wie bei Apple Mac einfach nur zum starten da, alles ander per software einstellbar.
Was ja leider am PC nicht geht weil x100000 Hardware teile dafür gibt.