Como uso o shim assinado para o boot seguro (Fedora)?

Navegue suas respostas
3

Não tenho certeza se há um guia para isso, mas gostaria de saber as etapas detalhadas (guia passo-a-passo, talvez?) envolvidas na obtenção do seguinte:

  1. Assinatura novamente a correção com uma chave particular de CA personalizada, mas ainda deixe shim usar a chave pública da CA de inicialização do Fedora para verificar os componentes do kernel para inicialização segura.
  2. Substitua a chave da Microsoft armazenada no firmware pela chave pública de CA personalizada correspondente cuja chave privada foi usada para assinar a correção.

O objetivo principal que desejo alcançar é substituir o certificado CA incorporado da Microsoft armazenado no firmware, a fim de proibir que os bootloaders assinados pela Microsoft sejam executados, e ainda usar a funcionalidade de inicialização segura da UEFI para inicializar F19 A visão geral parece estar delineada no link , mas não consigo encontre um guia detalhado para fazer isso.

    
por user48629 06.10.2013 / 09:26

1 resposta

0

Acho que você pode seguir o processo abaixo:

  1. Gere chaves para o seu sistema. Um bom processo conhecido para mim é this
  2. Agora você pode assinar seu shim.efi com esta assinatura. use pesign para assinar conforme mencionado no link fornecido
  3. Agora, isso deve funcionar, se não, você pode ter que assinar outros binários com novas assinaturas também.

Mas temo que a remoção do certificado MS do shim.efi seja interrompida. Você pode estar interessado em ler o link para obter mais detalhes.

Eu tomei alguns pontos abaixo para sua referência:

Ponto # 1

A lot of our users want to build their own kernels. Some even want to build their own distributions. Signing our bootloader and kernel is an impediment to that. We'll be providing all the tools we use for signing our binaries, but for obvious reasons we can't hand out our keys. There's three approaches here. The first is for a user to generate their own key and enrol it in their system firmware. We'll trust anything that's signed with a key that's present in the firmware. The second is to rebuild the shim loader with their own key installed and then pay $99 and sign that with Microsoft. That means that they'll be able to give copies to anyone else and let them install it without any fiddling. The third is to just disable secure boot entirely, at which point the machine should return to granting the same set of freedoms as it currently does.

Ponto # 2:

A system in custom mode should allow you to delete all existing keys and replace them with your own. After that it's just a matter of re-signing the Fedora bootloader (like I said, we'll be providing tools and documentation for that) and you'll have a computer that will boot Fedora but which will refuse to boot any Microsoft code. It may be a little more awkward for desktops because you may have to handle the Microsoft-signed UEFI drivers on your graphics and network cards, but this is also solvable. I'm looking at ways to implement a tool to allow you to automatically whitelist the installed drivers. Barring firmware backdoors, it's possible to configure secure boot such that your computer will only run software you trust. Freedom means being allowed to run the software you want to run, but it also means being able to choose the software you don't want to run.

    
por 11.01.2016 / 13:49

Tags

Diferença entre urxvt -e e xterm -e No gerenciador de máquinas virtuais, existe uma maneira de adicionar espaço em disco a um disco existente?