Windows 11 TPM デュアルブート

Question 1

デュアルブートするデバイスはすべて、セキュアブート、UEFI、TPM をサポートしている必要があります。ほとんどのデュアルブートシナリオでは、これが実現不可能である可能性が高くなります。

ここで、また他の場所で出てくるデュアルブートに関する質問の多くは古く、非UEFIを必要とし、Windows 11では動作しないセキュアブートを無効にする必要があります。

現時点ではまだ新しいものですが、厳しい要件は残ると予想しています。つまり、Windows 11 の基本要件 (セキュアブートと UEFI) をサポートしていないものは動作しません。つまり、要件が緩い現在のセットアップの多くは、Windows 11 では動作しません。

仮想マシンは、Windows 11 で複数のマシンを実行するためのより現実的な方法になります。

Answer

デュアルブートするデバイスはすべて、セキュアブート、UEFI、TPM をサポートしている必要があります。ほとんどのデュアルブートシナリオでは、これが実現不可能である可能性が高くなります。

ここで、また他の場所で出てくるデュアルブートに関する質問の多くは古く、非UEFIを必要とし、Windows 11では動作しないセキュアブートを無効にする必要があります。

現時点ではまだ新しいものですが、厳しい要件は残ると予想しています。つまり、Windows 11 の基本要件 (セキュアブートと UEFI) をサポートしていないものは動作しません。つまり、要件が緩い現在のセットアップの多くは、Windows 11 では動作しません。

仮想マシンは、Windows 11 で複数のマシンを実行するためのより現実的な方法になります。

Question 2

のTPPMについては受動的なコンポーネントです。OS (またはブートローダー) が明示的に対話しようとしない限り、それ自体はブートプロセスに関与しません。TPM をサポートしていない OS でも、デュアルブートが可能です。

そうは言っても、もしあなたが欲しいLinux から TPM を使用する場合、Windows で初期化された場合でも TPM を使用できます。

Windows は、破棄されるランダムな「所有者パスワード」を使用して TPM2 を初期化します...ただし、パスワードがすぐに破棄されるという事実は、通常の操作にはパスワードが必要ないことを示しています。

たとえば、RSA「ストレージルートキー」は標準的な方法で 0x81000001 に初期化され、Linux を含むすべての OS から使用できます。(systemd-cryptenroll などの一部のツールはこれを無視し、代わりに ECDSA ルートキーを生成します。)

(必要に応じて、Windows に所有者のパスワードをレジストリに保存するように指示することもできますが、破棄されたパスワードを回復することはできないため、TPM を再初期化する必要があります。)

現在、唯一の制限は、Linux tpm2-tss で高レベルの FAPI ツールを使用できないことですが、これは実際には大きな損失ではありません。ほとんどすべてが「生の」EAPI に基づいて構築されています。

一方、セキュアブートこの機能により、問題が発生する可能性があります。ただし、この機能を公式にサポートしている Fedora や Ubuntu などの Linux ディストリビューションは引き続き使用できるはずです (Microsoft が署名したブートローダーが搭載されています)。

少し調整すれば、Microsoft 署名を使用して、ShimUEFI をサポートするほぼすべてのものを起動できるようになります。(これは一種の抜け穴で、Shim はハッシュによって不明な .efi ファイルを承認するように求めるだけです。)

x86システムのセキュアブートでは、あなた自身のマイクロソフトのキーと並んでキーに署名する。とても複雑ではありますが、Linux カーネルまたは別の .efi ファイルをファームウェアのセキュアブートによって完全に検証することは完全に可能です。

Answer