Windows 11 usb-asennus uuteen läppäriin ei onnistu (invalid signature)

[pat]

Tässä olisi käsillä juuri kaupasta ostettu HP:n kuluttajamallin uusi Omnibook, johon siis on tietenkin valmiiksi asennettu W11. Haluan päästä bloatwaresta eroon, ja yritän sen tehdä asentamalla käyttiksen uusiksi usb-tikulta (64-gigainen, usb3, sekin suoraan kaupan hyllystä). Tein tavalliseen tapaan asennustikun Microsoftin työkalun ja toisen tietokoneen avulla. Läppärin bios on oletusasetuksissa: usb boot, tpm ja secure boot enabloituna. Nyt sitten kun boot menusta yritän bootata tikulta (tikun kohdalla lukee uefi), niin kone herjaa "Invalid signature detected. Check secure boot policy in setup."

Tässä kohtaa menee sormi suuhun. Ei ymmärrys riitä siihen, miten MS:n työkaluilla luodulla tikulla voi tuo signature olla ongelma. Olen aktiivisesti vääntänyt näiden kanssa viimeksi aikana ennen W11, joten onko tässä välissä tapahtunut jokin oleellinen muutos? Esim sellainen, ettei joihinkin läppäreihin voi asentaa kuin läppärivalmistajan höystämää käyttistä tms. Google ei tuota oikein selviä tärppejä tällaisesta asiasta, joten saisiko täältä apuja?

 

[IsoLuumu]

No onkos se secure boot biosissa päällä sitten, sitähän tuo taitaa herjata.

 

[pat]

Joo, secure boot on päällä (lukee tuossa aloituksessa).

 

[telcoM]

Tähän saakka Microsoft on käyttänyt samoja Secure Boot-sertifikaatteja jotka luotiin joskus vuonna 2011, alunperin vuonna 2012 julkaistua Windows 8:a varten. Näissä sertifikaateissa on määritelty vanhenemispäivä vuodelle 2026, ja Secure Bootin tapauksessa se tarkoittaa että näillä sertifikaateilla ei voi enää allekirjoittaa uusia bootloadereita vanhenemispäivän jälkeen. Microsoft on siis aloittanut Secure Boot-sertifikaattien uusimisprosessin hyvissä ajoin. Lisäksi vanhoilla sertifikaateilla on allekirjoitettu bootloaderiversioita joissa on tunnettuja tietoturvaheikkouksia, joten vanhojen sertifikaattien poistaminen käytöstä sallii aikanaan myös Secure Bootin "mustan listan" (= DBX-avainvarasto eli tunnettujen boottihaitakkeitten ja -heikkouksien lista) lyhentämisen jottei se ajan mittaan kasva epäkäytännöllisiin mittoihin.

How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932 - Microsoft Support

support.microsoft.com

Koska tämä on asia jota ei ole vielä aikaisemmin koskaan tehty maailmanlaajuisesti, on tietysti tullut ilmi että matkassa on muutamia mutkia. Joissakin Secure Boot-toteutuksissa on bugeja tai epäyhteensopivuuksia jotka vaativat erikoistoimia.
Erityisesti tuossa artikkelissa mainitaan että HP:n SureStart Security-toiminnolla varustetut koneet tarvitsevat firmispäivityksen HP:ltä jotta uudempien Secure Boot-avainten käyttö onnistuu.

HP devices with Sure Start Security: These devices need the latest firmware updates from HP to install the mitigations. The mitigations are blocked until the firmware is updated. Install the latest firmware update from HPs support page

Se sinun uusi läppärisi on todennäköisesti viettänyt sen verran aikaa matkalla tehtaalta tukkukauppaan + tukkukaupan varastossa + kaupan hyllyllä, että sen UEFI-firmis on todennäköisesti hiukan vanha.
Vastaavasti se tekemäsi uunituore USB-asennustikku käyttää todennäköisesti jo uudempia Secure Boot-avaimia, joilla pitäisi mennä sitten ainakin vuoteen 2035 asti.

Eli neuvoni on, että tee ihan ensiksi koneelle BIOS-päivitys viimeisimpään versioon käyttäen sitä esiasennettua Windowsia, ja aloita Windowsin uudelleenasennus vasta sitten. Uuden BIOS-version mukana pitäisi tulla Microsoftin uudet Secure Boot-avaimet valmiina käyttöön, jolloin niitä ei tarvitse ruveta käsin asentamaan.