Ich bin nicht sicher, ob es hierfür eine Anleitung gibt, würde aber gern die detaillierten Schritte (vielleicht eine Schritt-für-Schritt-Anleitung?) kennen, die zum Erreichen des Folgenden erforderlich sind:
- Signieren Sie Shim erneut mit einem benutzerdefinierten privaten CA-Schlüssel, aber lassen Sie Shim weiterhin den öffentlichen CA-Schlüssel für den Fedora-Boot verwenden, um die Kernelkomponenten für den sicheren Start zu überprüfen.
- Ersetzen Sie den in der Firmware gespeicherten Schlüssel von Microsoft durch den entsprechenden benutzerdefinierten öffentlichen CA-Schlüssel, dessen privater Schlüssel zum Signieren des Shims verwendet wurde.
Das Hauptziel, das ich erreichen möchte, ist, das in der Firmware gespeicherte integrierte CA-Zertifikat von Microsoft zu ersetzen, um die Ausführung von von Microsoft signierten OS-Bootloadern zu verhindern und dennoch die sichere Boot-Funktionalität des UEFI zum Booten von F19 zu verwenden. Der allgemeine Überblick scheint in folgendem Artikel beschrieben zu sein:dieser Link, aber ich kann keine ausführliche Anleitung dazu finden.
Antwort1
Ich denke, Sie können dem folgenden Prozess folgen:
- Generieren Sie Schlüssel für Ihr System. Ein für mich bekannter und bewährter Prozess istDas
- Jetzt können Sie Ihre shim.efi mit dieser Signatur signieren. Verwenden Sie pesign zum Signieren, wie im angegebenen Link beschrieben
- Jetzt sollte es funktionieren. Wenn nicht, müssen Sie möglicherweise auch andere Binärdateien mit neuen Signaturen signieren.
Ich befürchte jedoch, dass das Entfernen des MS-Zertifikats aus shim.efi zu Problemen führen könnte. Vielleicht interessiert Sie auch der folgende Artikel:DasLink für weitere Details.
Nachfolgend habe ich einige Punkte zu Ihrer Information aufgeführt:
Punkt 1
Viele unserer Benutzer möchten ihre eigenen Kernel erstellen. Manche möchten sogar ihre eigenen Distributionen erstellen. Das Signieren unseres Bootloaders und Kernels ist dabei ein Hindernis. Wir stellen alle Tools zur Verfügung, die wir zum Signieren unserer Binärdateien verwenden, aber aus offensichtlichen Gründen können wir unsere Schlüssel nicht herausgeben. Hier gibt es drei Ansätze. Der erste besteht darin, dass ein Benutzer seinen eigenen Schlüssel generiert und ihn in seiner System-Firmware registriert. Wir vertrauen allem, was mit einem in der Firmware vorhandenen Schlüssel signiert ist. Der zweite Ansatz besteht darin, den Shim-Loader mit dem installierten eigenen Schlüssel neu zu erstellen, dann 99 US-Dollar zu zahlen und das bei Microsoft zu signieren. Das bedeutet, dass sie Kopien an andere weitergeben und sie diese ohne jegliches Herumfummeln installieren lassen können. Der dritte Ansatz besteht darin, Secure Boot einfach vollständig zu deaktivieren. An diesem Punkt sollte die Maschine wieder dieselben Freiheiten gewähren wie derzeit.
Punkt Nr. 2:
Ein System im benutzerdefinierten Modus sollte es Ihnen ermöglichen, alle vorhandenen Schlüssel zu löschen und durch Ihre eigenen zu ersetzen. Danach müssen Sie nur noch den Fedora-Bootloader neu signieren (wie gesagt, wir stellen dafür Tools und Dokumentation zur Verfügung) und schon haben Sie einen Computer, der Fedora bootet, aber keinen Microsoft-Code bootet. Bei Desktops kann es etwas umständlicher sein, da Sie möglicherweise die von Microsoft signierten UEFI-Treiber auf Ihren Grafik- und Netzwerkkarten handhaben müssen, aber auch das ist lösbar. Ich suche nach Möglichkeiten, ein Tool zu implementieren, mit dem Sie die installierten Treiber automatisch auf eine Whitelist setzen können. Abgesehen von Firmware-Hintertüren ist es möglich, den sicheren Start so zu konfigurieren, dass Ihr Computer nur Software ausführt, der Sie vertrauen. Freiheit bedeutet, dass Sie die Software ausführen dürfen, die Sie ausführen möchten, aber auch, dass Sie die Software auswählen können, die Sie nicht ausführen möchten.