UEFI-Schlüssel (Platform Key (PK), KEK und db) lös...

jjz · ‎17.03.2025

Hallo Community,

Kürzlich habe ich versucht, die Secure Boot-Unterstützung meines etwas älteren Medion-Desktop-Rechners (MSN: 10016682, Motherboard MS-7728 v2.0 BIOS 3.x) zu erfahren (https://community.medion.com/t5/Desktop-PC-All-In-One/Secure-Boot-unterstützung-auf-Mainboard-MS-772...).

Mit dieser Untersuchung bin ich nun ein zu großes Risiko eingegangen. Hoffentlich ist es möglich, ihn ohne allzu große Schwierigkeiten wieder zum Laufen zu bringen.

Meine Dummheit: Ich habe benutzerdefinierte UEFI-Schlüssel (Platform Key (PK), KEK und db) erzeugt, den Linux-Kernel signiert und die Schlüssel zum BIOS hinzugefügt (sbkeysync), um zu sehen, ob es möglich ist, Secure Boot zum Laufen zu bringen.

Seitdem piept der Computer beim Booten fünfmal ("Processor error - bad processor"), und der POST-Screen wird immer noch angezeigt.

Ich kann das BIOS-Setup nicht aufrufen. Ich habe mehrmals versucht, die Löschtaste zu drücken, aber ohne Erfolg. Ich habe auch F2 und F9 ausprobiert.

Die Tastatur-LEDs leuchten nicht auf, die Tastatur scheint überhaupt nicht zu reagieren.

*Wenn ich alle Festplatten herausziehe, wird die Fehlermeldung 'Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press a key' angezeigt. Wenn ich eine Taste drücken, ändert sich nichts, die Meldung erscheint immer noch einmal.

*Beim Booten mit einer Festplatte, auf dem Linux installiert ist, erscheint die gleiche Fehlermeldung und auch das Drücken einer Taste ändert nichts.

*Beim Booten mit einer Festplatte, auf der Windows installiert ist, geht das System automatisch in die Windows-Wiederherstellung, aber dann erscheint die Fehlermeldung „ACPI BIOS ERROR“, woraufhin das System neu startet.

Ich hatte erwartet, dass ich, wenn Secure Boot nicht funktioniert, immer noch in der Lage sein würde, das BIOS-Setup aufzurufen und auf diese Weise UEFI/Secure Boot zu deaktivieren, um wieder neu zu starten. Aber wie gesagt, ich kann das BIOS-Setup nicht aufrufen. Übrigens habe ich die UEFI-Schlüssel auf einem USB-Stick gespeichert.

Ich habe es bereits versucht, ohne Ergebnis:

- Anschließen der Tastatur über den PS/2-Anschluss.

- Zurücksetzen des CMOS durch Entfernen der Batterie und 15 Minuten Warten (und mehrmaliges Drücken des Netzschalters).

- Zurücksetzen des CMOS durch Setzen des JBAT1-Jumpers in eine andere Position, Warten von etwa 10 Minuten und Zurücksetzen des JBAT1-Jumpers in die ursprüngliche Position.

- Neustart ohne CMOS-Batterie.

- Anschließen des Bildschirms mit einem HDMI-Kabel.

- Booten mit Linux-USB-Sticks und Windows-USB-Stick in den USB-Anschlüssen an der Vorder- und Rückseite und im Mainboard selbst.

Das herausziehen der Grafikkarte scheint schwierig zu sein, da eine Schraube von einem Teil des Metallgehäuses überdeckt wird.

Da dies alles bei der Registrierung von UEFI-Schlüsseln begann und diese Schlüssel im SPI-Chip gespeichert sind, vermute ich daß dieser SPI-Chip geflasht werden sollte.

Jetzt habe ich eine Reihe von Fragen, von denen einige durch eine Antwort auf eine frühere Frage irrelevant werden könnten.

1) Ist es möglich, die UEFI-Schlüssel (Plattformschlüssel (PK), KEK und db-Schlüssel) zu löschen, und wenn ja, was ist der einfachste Weg?

2) Dieses Mainboard hat direkt 2 USB-Anschlüsse. Um sicher zu sein, um diese Option auszuschließen: Ist es möglich, diese Hauptplatine mit einem USB-Kabel an einen anderen Rechner anzuschließen und von diesem anderen Rechner aus den SPI-Chip zu flashen?

3) Neben einem JBAT1-Jumper gibt es noch einen Jumper mit der Bezeichnung J1. Ist dieser J1-Jumper dazu da, den CPU-FSB-Modus zu ändern, oder kann ich diesen Jumper zum Zurücksetzen des SPI-Chips verwenden?

4) Ist es möglich, dieses Problem mit einem SPI-Programmierer wie CH341A, CH347, TL866 II zu lösen (was für mich wahrscheinlich nicht machbar ist, ich werde nicht zu optimistisch sein, obwohl ich nicht viel verlieren kann)?

5) Könnte der JSPI1-Anschluss die UEFI-Schlüssel löschen, und wenn ja, wie könnte das erreicht werden?

6) Da ich nicht klug genug war, ein Backup des BIOS zu erstellen: Wenn das BIOS geflasht werden muss, wo kann ich E7728MLN.30F (Build Date 18 Apr 2012) bekommen, das ist die installierte BIOS-Version und schien die neueste 3.x-Version für dieses MS-7728 v2.0 Mainboard zu sein?

https://www.medion.com/gb/service/product-detail/10016682 bietet kein BIOS an. Wenn es eine Möglichkeit gibt, nur die UEFI-Schlüssel zu löschen (Q1), dann ist diese Frage nicht relevant.

Hoffentlich können diese Fragen, die auf mein riskantes Verhalten zurückzuführen sind, von den Benutzern des Forums leicht beantwortet werden.

daddle · ‎17.03.2025

@jjz

dein Mainboard MSI MS- 7228 v. 2.0 Bios 3.x hat folgendes Bios

AMI EFI APTIO core
SPI flash (64Mbit)
Der Rechner wurde mit Win 7 ausgeliefert

Da der Rechner in der Übergangszeit von Bios zu UEFI gebaut wurde, wird vemutlich ein Bios mit der Möglichkeit eine UEFI- Fkt einzustellen, oder zu emulieren.

Aber bei dem Update von Win 7 nach Win 10 wurde die Plattenpartitionierung nicht auf GPT umgestellt, sodaß die Bootplatte mit MBR Partitionierung und Win 10 läuft. (als 32 bit Version?).

Für das Einspeisen eines Platform Key ist das Bios des Rechners wohl nicht vorgsehen, und/oder zum Anderem dieser mit der digitalen auf den MS Servern gespeicherten ID in Konflikt gerät. Soweit meine Vermutungen..

Aber wenn der Rechner bis zum Win RE startet, muss der Post ja vorher richtig abgelaufen sein. Oder die Windows Installation( Bootdateien auf den Startsektoren beshädigt,) und deswegen boote der Rechner ins Win RE, auch wenn dann der ACPI Fehler auftritt,. Das könnte an deinen vesuchten Änderungen mit (sbkeysync) am Bios liegen, oder doch an einer veränderten Wíndows Installation.

Du schreibst du hättest versucht mit der Del Taste (= Löschtaste) ins Bios zu kommen. hast du mal die ESC Taste probiert?

Vor dem Einschalten bereits die ESC Taste Drücken und Halten. (Auch mit der DEL Taste so ausprobieren)

@jjz schrieb:

Das herausziehen der Grafikkarte scheint schwierig zu sein, da eine Schraube von einem Teil des Metallgehäuses überdeckt wird.

Merkwürdig, normalerweise kommt man an die Slotblechschrauben so heran. (Evtl. ist vorher eine herausklappbare Metallabdeckung zu lösen) Dann muss man noch die Arretierung am Ende der Karte am PCIe Slot lösen (kleinen Hebel unterdrücken oder hochklappen, weiss nicht mehr genau)

Gruß, daddle

jjz · ‎18.03.2025

@daddle, danke für Ihre Antwort.

Die Festplatte mit Windows hat tatsächlich eine MBR-Partitionierung.

Die Festplatte mit Linux hat aber eine GPT-Partitionierung, und damit bootet sie auch nicht mehr (und damit ist auch der Platform Key angemeldet).

Mit der ESC-Taste komme ich leider auch nicht ins BIOS, selbst wenn ich sie schon vor dem Einschalten gedrückt halte. Das gleiche gilt für die DEL-Taste.

Da die Tastatur-LEDs nicht leuchten (sowohl über USB als auch über PS/2), habe ich den Eindruck, dass die Tastatur nicht mehr ausgelesen wird. An einem anderen Rechner funktioniert diese Tastatur noch.

Wenn ich Zeit habe, werde ich das Lösen der Grafikkarte weiter untersuchen. Ich hatte den Eindruck, dass eine Metallabdeckung auf der Rückseite schwer zu entfernen ist.

Aber eigentlich hoffe ich, dass es eine Lösung gibt, bei der man die Grafikkarte nicht ausbauen muss, zumal ich mir das nach dieser Erfahrung noch weniger zutraue.