The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

08.01.2019 07:46  Debian тестирует поддержку UEFI Secure Boot

Разработчики Debian предложили протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)).

Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft, в сочетании с заверением ядра и загрузчика grub собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей). Подобное решение также применяется в RHEL, SUSE, Fedora, Ubuntu и многих других дистрибутивах Linux.

  1. Главная ссылка к новости (https://henrich-on-debian.blog...)
  2. OpenNews: Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
  3. OpenNews: В Oracle Linux выявлены серьёзные проблемы в реализации UEFI Secure Boot
  4. OpenNews: Добавление в systemd загрузчика для UEFI Secure Boot и другие планы на будущее
  5. OpenNews: Линус Торвальдс раскритиковал действия Red Hat по продвижению поддержки UEFI Secure Boot с ключами Microsoft
  6. OpenNews: Обзор отличий UEFI Secure Boot загрузчика Shim и решения от Linux Foundation
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: debian, uefi, secureboot
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анонис (?), 08:51, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    А в чем польза secure boot? И есть ли она вообще?
     
     
  • 2.2, Аноним (2), 08:53, 08/01/2019 [^] [ответить]    [к модератору]
  • +18 +/
    > заверенный цифровой подписью от компании Microsoft

    Для Microsoft - конечно есть польза.

     
     
  • 3.39, Аноним (-), 14:34, 08/01/2019 [^] [ответить]    [к модератору]
  • +15 +/
    Сначала CoC, теперь это... А что дальше? Я видится здесь M$ EEE.
     
     
  • 4.50, Имя (?), 15:30, 08/01/2019 [^] [ответить]    [к модератору]
  • –4 +/
    Скатится как Мозилла. Не моментально, но результат немного предсказуем.
     
  • 2.9, Аноним (9), 09:58, 08/01/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Какой именно секюрбут? В понятиях redhat это две разные техники одна из которых подпись ключами microsoft.
     
  • 2.12, ryoken (ok), 10:12, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не, нету. Для обычного юзера, кроме разве что знаний, что у него основные части ОСи кем-то там подписаны. И опять же - в терминах намеренная ошибка, т.к. это Signed Boot.
     
     
  • 3.28, Аноним (28), 11:57, 08/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Ошибка - с точки зрения пользователя. С точки зрения MS, всё честно: компания рулит выдачей сертификатов как тот Сесурити, которого надо понять и простить.
     
  • 2.15, пох (?), 10:24, 08/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    учитывая что ключ пошел по рукам - и любой хакзор васья тем же самым shim может загрузить любой свой мусор  - никакой, за исключением, разумеется, новых макбуков.

    Но линукс там, по очевидным причинам, не загружается.

    определенная польза может быть разьве что в случае, когда уефя снабжена полноценным менеджером ключей (позволяющим не только свои добавить, но и чужие поудалять, _все_) - тогда можно подписать свой собственный загрузчик _своим_ ключом, которого ни у какого васяна нет.

    но для joe average это слишком сложная процедура, поэтому и биосы такие редкость, и инструменты для подобной операции отсутствуют, придется очень много читать ненужной документации в корявых копипастах (ибо оригинал недоступен) и работать руками.

     
     
  • 3.92, хотел спросить (?), 12:31, 12/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А в каких BIOS это есть? Может в каких то конкретных матерях?
     
  • 2.23, proninyaroslav (ok), 11:07, 08/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Идти по пути Apple и запретить неподписанные ОС сама Apple с чипом T2 подписыва... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (25), 11:26, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Всё правильно сделали. Только рабы могут покупать зативоизированные железки.
     
  • 3.38, Аноним (38), 14:16, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    WLinux не имеет отношения к MS.
     
     
  • 4.57, proninyaroslav (ok), 17:54, 08/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > WLinux не имеет отношения к MS.

    Не думаю что майкрософт составит проблема купить стартап

     
     
  • 5.62, soarin (ok), 19:37, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    :D А смысл? Не проще новый создать?
     
  • 5.63, soarin (ok), 19:50, 08/01/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    И да По поводу WLinux Он не имеет никакого отношение к компании CENSORED Расп... весь текст скрыт [показать]
     
  • 2.26, Аноним (26), 11:30, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Удаляешь все ключи из уфефи, устанавливаешь свои и получаешь типа секюрность.
    Для хомяков никаких плюсов. Ну может, если дефолт ос не трогать, то побезопаснее будет.
     
     
  • 3.31, пох (?), 12:08, 08/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    вообще-то нифига несложно завести эту технологию в скрипт установки дистрибутива... весь текст скрыт [показать]
     
     
  • 4.34, Crazy Alex (ok), 12:20, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    убунточка спокойно стоит и работает на куче машин, тем не менее. Но тебе ж совершенство зачем-то нужно.
     
     
  • 5.53, пох (?), 16:33, 08/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    и вся эта куча - одноразовые fire and forget виртуалочки в aws, да не, я банал... весь текст скрыт [показать]
     
  • 5.79, fi (ok), 12:48, 09/01/2019 [^] [ответить]     [к модератору]  
  • +/
    да, такое тоже бывает Но сам лично наблюдал как убунточка при upgrade снесла ... весь текст скрыт [показать]
     
  • 4.43, Аноним (-), 14:53, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Забей, твои стены все-равно никто не читает.
     
     
  • 5.52, Аноним (52), 16:18, 08/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Я читаю, он правильно пишет, но противно, да, с издёвкой.
     
  • 4.58, Аноним (58), 18:15, 08/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Убунта только ноутбуки леново окирпичивала, и там был целый ряд факторов - от кр... весь текст скрыт [показать]
     
     
  • 5.64, Аноним (64), 20:00, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Не только. Еще самсунги, причем их она "окирпичивала" именно из-за кривого драйвера, под который потом в бубунту пришлось патч добавлять.
     
  • 2.30, Аноним (30), 12:04, 08/01/2019 [^] [ответить]    [к модератору]  
  • –4 +/
    Польза, это смотря для кого.

    Например, знаете такую ОС Роса Линукс? Когда она выходила в крайний раз и почему новых выпусков до сих пор нет?

     
     
  • 3.59, Аноним (58), 18:17, 08/01/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Потому, что крайними бывают случай, север и плоть, а раз - он последний.
     
     
  • 4.73, Аноним (30), 09:52, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > а раз - он последний.

    Многозначная поправочка.

     
  • 2.36, Аноним84701 (ok), 13:46, 08/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Типа, можно чисто теоретически не опасаться буткитов была одно время модная и... весь текст скрыт [показать]
     
  • 2.65, DerRoteBaron (ok), 20:02, 08/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Мелкомягкий - грубо говоря не нужен вообще Со своими ключами - чтобы обезопасит... весь текст скрыт [показать]
     
  • 2.70, бздун (?), 00:27, 09/01/2019 [^] [ответить]     [к модератору]  
  • +/
    У интела всё равно нету никакого Secure Boot Все образы BIOS подписаны интеловс... весь текст скрыт [показать]
     
     
  • 3.72, Григорий Федорович Конин (?), 02:29, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Зато у интела есть прекрасный зонд AMT который может вам даже заблокировать материнку удалённо.
     
     
  • 4.74, Аноним (30), 09:55, 09/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    А Вам он не может заблокировать? Что Вы предприняли?
     
     
  • 5.82, Григорий Федорович Конин (?), 16:43, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > А Вам он не может заблокировать? Что Вы предприняли?

    У меня слишком старый интел, мне тогда ещё не подвезли.

     
  • 4.85, Аноним (85), 18:29, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    AMT - это не зонд, а фича, за которую требуют немалые деньги. Зонд - ME - та же фича, даже ещё круче, но только для Интела.
     
     ....нить скрыта, показать (33)

  • 1.3, 1366x768 хватит на всех (?), 09:02, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Увяз коготок. Всей птичке пропасть.
     
  • 1.4, Стяжечка (?), 09:20, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Зауважал дебиан после ситуации с лицензией микрокода интел. Они не согнулись под интел и те уступили...Теперь дебиан с майкросовтофтовской поделкой екшается.
     
     
  • 2.6, A.Stahl (ok), 09:41, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не якшается, а тыкает палочкой. А как поймёт как этим пользоваться, то, глядишь, тоже поднимает вопрос чтобы эти ключи можно было самостоятельно генерировать и впихивать в БИОС.
     
     
  • 3.19, Аноним (19), 11:02, 08/01/2019 [^] [ответить]     [к модератору]  
  • +/
    А в чем толк тогда от этого т н обезопасного бута, если сертификатом можно буде... весь текст скрыт [показать]
     
  • 3.29, Аноним (30), 12:02, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ключи можно генерировать, а вот "впизивать" - не на всякой аппаратуре.
     
  • 1.5, Аноним (5), 09:39, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Теперь установочный DVD или флешка не выдаст красный экран "вы пытаетесь загрузить неподписанное ПО". На ноутах Secure Boot же "из коробки".
     
     
  • 2.22, Аноним (19), 11:06, 08/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Он там отключается либо безвозмездно, либо после установки пароля на настройки б... весь текст скрыт [показать]
     
  • 1.7, Аноним (7), 09:46, 08/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Нет, брат Аноним, эти заигрывания в конечном итоге приведут к тому, что секуре б... весь текст скрыт [показать]
     
     
  • 2.14, Аноним (5), 10:15, 08/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А он разве отключаем Мне на ноуте CLEVO KAPOK не удалось даже зайти в UEFI ни п... весь текст скрыт [показать]
     
     
  • 3.35, Crazy Alex (ok), 12:23, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    ну значит отключаем, раз отключили
     
  • 3.48, Аноним (48), 15:27, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    И сколько вернули?
     
     
  • 4.68, Аноним (68), 20:37, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Тыщу с чем-то. Винда тогда стоила дёшево
     
  • 3.80, Анон546 (?), 16:02, 09/01/2019 [^] [ответить]     [к модератору]  
  • +/
    ваше описание похоже на механизм забей на биос, грузи Винду , который этой само... весь текст скрыт [показать]
     
  • 1.8, Аноним (9), 09:56, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В kvm ubuntu 19.04 уже завезли открытый secureboot и secureboot ms.
     
  • 1.10, Anon_Erohin (?), 10:02, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Похоже пора переходить на другие дистры... прогнулись. Это печально.
     
     
  • 2.13, ryoken (ok), 10:14, 08/01/2019 [^] [ответить]     [к модератору]  
  • +4 +/
    Перетаскиваю свой домашний комп на Gentoo Сейчас допинывается LibreOffice, кот... весь текст скрыт [показать]
     
     
  • 3.32, Аноним (30), 12:12, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    * sys-boot/shim
         Доступные версии:      15.5-r1
         Домашняя страница:     https://apps.fedoraproject.org/packages/shim/
         Описание:              Fedora's signed UEFI shim
     
     
  • 4.42, другой Аноним (?), 14:51, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    echo "sys-boot/shim #M$ signed shit" >> /etc/portage/package.mask/evil
     
     
  • 5.46, Аноним (30), 15:05, 08/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    > #M$ signed shit

    Этимология слова shi-m прояснилась.

     
  • 4.55, ryoken (ok), 17:21, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    >      Описание:      
    >        Fedora's signed UEFI shim

    Нефиг всякое бугага тащить. Есть же grub2.

     
     
  • 5.61, Michael Shigorin (ok), 19:34, 08/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Не смешно.

    http://www.rodsbooks.com/efi-bootloaders/principles.html

     
  • 5.78, Аноним (30), 11:59, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Есть же grub2.

    Есть и USE-флаг gnuefi у systemd  (одевает каску, прыгает в окоп).

     
  • 1.11, Пользователь (?), 10:02, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft

    Linux постепенно становится похож на "винду"..

     
     
  • 2.49, Аноним (48), 15:30, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ну дык они же теперь не делают ОС, а предоставляют сервис. Так что через несколько лет вполне десятка может обновиться в линь-сервис собранный мелкософтом.
     
     
  • 3.60, Аноним (58), 18:20, 08/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Что ты несешь? Кто там тебе сервис предоставляет?
     
     
  • 4.81, Аноним (81), 16:12, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Значит я вот это не правильно понял.
    https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-overview
     
  • 1.18, Аноним (18), 11:01, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    SecBoot со своими ключами + полнодисковое шифрование. Так имеет смысл. Инное блажь.
     
     
  • 2.40, Аноним (-), 14:47, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Отключенный SecBoot. Так имеет смысл. Инное блажь.
     
  • 2.51, Имя (?), 15:46, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Ты доверяешь SecBoot ключи от диска? Тогда зачем тебе свои ключи?
     
     
  • 3.66, DerRoteBaron (ok), 20:06, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Нет, SecureBoot доверяется бинарь загрузчика, который и осуществляет расшифровку диска (от пароля с клавиатуры, скажем). При этом бинарь загрузчика подписан ключом не мелкомягким, а своим собственным
     
  • 3.71, Аноним (71), 01:11, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    RTFM.
     
  • 1.20, Ilya Indigo (ok), 11:03, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    У него её до сих пор не было и даже ещё нет?!
     
     
  • 2.24, Аноним (18), 11:12, 08/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну так не зря погоняло Дебки МУЗЕЙ :D
     
  • 1.37, Аноним (37), 14:03, 08/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Господа я вас разочарую UEFI Secure Boot безполезная легко взламываемая
    х**та, и создана только в интересах
    M$.
    О пользе для пользователей не идет и речи.
     
     
  • 2.41, Аноним (41), 14:49, 08/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Спасибо, Кэп! Нормальные люди просто отключают его при первом заходе в бивис.
     
     
  • 3.44, Аноним (37), 14:54, 08/01/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Так это сейчас есть возможность отключить на десктопе, а вот на некоторых ноутах уже тестят не отключаемую и проверяют схавают или нет если да то еще год 2 и сделают везде не отключаемую.
     
     
  • 4.45, Tirex (?), 14:57, 08/01/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    Значит привет свободные кастомные ноуты.

    https://puri.sm/

     
     
  • 5.47, Аноним (30), 15:11, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не нашёл там информации по firmware.
     
  • 2.54, пох (?), 16:43, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    пруф, или назвиздел.

    Пруф- в виде взломанной тобой системы с secureboot, правильно настроенным - то есть левый ms'овский ключик заблокирован.

    Могу ненадолго выдать тебе макбук для этой цели, хоть на часок приобщишься к прекрасному ;-)


     
     
  • 3.56, Аноним (56), 17:37, 08/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Взломать не взломали а новость что после проблем с UEFI ноуты становились подста... весь текст скрыт [показать]
     
     
  • 4.67, DerRoteBaron (ok), 20:12, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Тут проблема не в UEFI, а в принципе в индустрии
    Современные процы очень сложные (чтобы быть быстрыми и совместимыми), поэтому ими рулит софт. Софт тоже не очень простой. Раз он есть, в него добавили фич, потому, что и могут и хочется. Получился монстр. К нему наконец добавили режим загрузки, отличающийся более-менее продвинутой и типа разумной структурой. И хорошо, что это сделали, так как теперь этот монстр присутствует более-менее честно и явно, а не эмулирует костыли из дремучей древности новыми костылями.
     
     
  • 5.75, Аноним (30), 10:23, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А в это время ракеты отправляются в Космос.
     
     
  • 6.76, нах (?), 10:58, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    а это уж как получится - иногда в космос, иногда в казахскую степь недалече.
    А у Маска все еще немного неготово для отправки в космос не трупов, ну, точнее, для того чтобы они были еще живые, когда долетят, с дохлым-то уже технология отработана.
    То ли amt мешает, то ли secureboot, то ли лыжи не едут...

     
     
  • 7.77, Аноним (30), 11:55, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Фаберже, как всегда, виноват.
     
  • 4.69, пох (?), 22:18, 08/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Взломать не взломали а новость что после проблем с UEFI
    > ноуты становились подставкой под цветы.

    ну так не запускай кривых убунтиных скриптов - и не станут.

    > Можешь сказать что проблема в пользователе или софте,

    проблема именно в софте (ну и в пользователе, запускающем всякий трэш)

    > но толку от такой безопасности когда железо становится не рабочим хламом.

    ну вот пользователям б-жественной десяточки - никаких проблем, безопасность действительно выше чем без s-b, особенно если еще и диск зашифровать (благо ленова из коробки предлагает). Некоторый риск превращения в тыкву остается, но при шифроиграх он всегда есть, делай бэкап.

    > Производители ещё не внесли в условия гарантии что при модификации UEFI это не гарантийный
    > случай?

    нет, но вполне могут, если ситуация станет часто повторяемой. Была же уже история с vlc и его любовью к громкости 1000%, когда соня решила что ей неинтересно менять порванные динамики и пожженые усилители в ноутах. И тоже - кто виноват, vlc, пользователь, глупая соня, единственная из всех не снабдившая звуковуху ограничителем, понадеявшись на разум разработчиков?

    Я там уже писал как должны выглядеть правильные скрипты и что они должны делать - и автоматически продолжил, к чему это логичненько приведет, учитывая качество как скриптов так и их пользователей. Заметим, я в тот момент напрочь забыл об истории с леновой.

     
  • 3.83, barbarella (?), 17:22, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
    1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, нихрена не разбираясь что тот или иной efi-модуль делает.
    2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через LoadImage() он загрузится, только если в свою очередь также подписан в microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным смещениям, расставить реллоки и стартануть через его точку входа - efi модуль замечательно стартанет, и никакая подпись не потребуется. Этим фактом и пользуются всякие подписанные в microsoft shim-ы, которые стартуют после себя что угодно.
     
     
  • 4.84, Michael Shigorin (ok), 18:06, 09/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    > я имею некоторое отношение ко всяким загрузчикам\uefi, так вот:
    > 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор,
    > нихрена не разбираясь что тот или иной efi-модуль делает.

    Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись).

    > 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
    > microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
    > LoadImage() он загрузится, только если в свою очередь также подписан в
    > microsoft.

    Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше.

    https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim
    https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fddd278a3e35aa96eba9

     
     
  • 5.86, barbarella (?), 21:27, 09/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    1
    Shim это официальный таран от OSS, поэтому его и шерстили для порядка. Я работаю в конторе сильно поскромнее чем RedHat - у нас ms подписывают все что закинем, не задавая вопросов.
    2
    Не очень понял, кто кому что запрещает, но на свежей плате Gigabyte H310M DS2 с последней версией прошивки у меня стартует подписанный в микрософт загрузчик, который вручную грузит уже наш неподписанный в ms загрузчик и все отрабатывает как положено (код ручной загрузки я выдрал из последнего мастера в https://github.com/rhboot/shim)
     
     
  • 6.87, Michael Shigorin (ok), 21:48, 09/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Не очень понял, кто кому что запрещает

    Это именно по shim упоминал, но "звоночек".

    В любом разе спасибо за наблюдения -- я ещё кое-какие на публике всё-таки, пожалуй, не буду от своего имени озвучивать, но всё в сумме отрезонировало забавным образом :)

     
  • 4.89, нах (?), 12:55, 10/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в
    > microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через
    > LoadImage() он загрузится, только если в свою очередь также подписан в
    > microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным

    теоретически - такое либо не должны подписывать, не позадавав уточняющие вопросы, либо оно должно уметь проверять свои собственные подписи (что было бы условно правильно, но залочило бы выбор того, что оно грузит, до списка подписанных хорошими ребятами)

    на практике, полагаю, ms не случайно для винды использует совсем-совсем другой ключик, и им ничего кроме винды не подписывает.

    именно потому что что там подписывается ключиком для oem'ов - индусу и разбираться лень, и некогда ему.


     
  • 1.88, Аноним (88), 23:39, 09/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Если виндовс на машине не нужен, то достаточно просто удаляются предустановленны... весь текст скрыт [показать]
     
     
  • 2.90, вендор (?), 13:02, 10/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи

    если я тебе нарисовал окошко с менюшком и мышком - то достаточно просто.
    а если я строго следовал спецификациям на uefi - вот тебе efi shell, ну-ка, попробуй в нем что-нибудь удали или добавь.

     
     
  • 3.91, Аноним (88), 13:49, 10/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Не знаю можно ли тут давать ссылки, загугли Sakaki's EFI Install Guide и попробуй.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor