No estoy seguro de si existe una guía para esto, pero me gustaría conocer los pasos detallados (¿quizás una guía paso a paso?) necesarios para lograr lo siguiente:
- Vuelva a firmar el shim con una clave privada de CA personalizada, pero aún así permita que el shim use la clave pública de CA de arranque de Fedora para verificar los componentes del kernel para el arranque seguro.
- Reemplace la clave de Microsoft almacenada en el firmware con la clave pública de CA personalizada correspondiente cuya clave privada se usó para firmar la corrección.
El objetivo principal que quiero lograr es reemplazar el certificado CA de Microsoft integrado almacenado en el firmware, para prohibir la ejecución de los cargadores de arranque del sistema operativo firmados por Microsoft y seguir usando la funcionalidad de arranque seguro de UEFI para iniciar F19. La visión general parece resumirse eneste enlace, pero no puedo encontrar ninguna guía detallada para hacer esto.
Respuesta1
Creo que puedes seguir el siguiente proceso:
- Genera claves para tu sistema. Un buen proceso que conozco eseste
- Ahora puedes firmar tu shim.efi con esta firma. use pesign para firmar como se menciona en el enlace proporcionado
- Ahora debería funcionar, si no, es posible que también tengas que firmar otros archivos binarios con nuevas firmas.
Pero me temo que la eliminación del certificado MS de shim.efi podría fallar. Quizás te interese leeresteenlace para más detalles.
He tomado algunos puntos a continuación para su referencia:
Punto 1
Muchos de nuestros usuarios quieren crear sus propios núcleos. Algunos incluso quieren crear sus propias distribuciones. Firmar nuestro gestor de arranque y kernel es un impedimento para ello. Proporcionaremos todas las herramientas que utilizamos para firmar nuestros archivos binarios, pero por razones obvias no podemos entregar nuestras claves. Hay tres enfoques aquí. La primera es que un usuario genere su propia clave y la registre en el firmware de su sistema. Confiaremos en todo lo que esté firmado con una clave presente en el firmware. El segundo es reconstruir el cargador de shim con su propia clave instalada y luego pagar $99 y firmarlo con Microsoft. Eso significa que podrán dar copias a cualquier otra persona y permitirles instalarlo sin ningún tipo de manipulación. La tercera es simplemente deshabilitar el arranque seguro por completo, momento en el cual la máquina debería volver a otorgar el mismo conjunto de libertades que otorga actualmente.
Punto #2:
Un sistema en modo personalizado debería permitirle eliminar todas las claves existentes y reemplazarlas por las suyas propias. Después de eso, sólo es cuestión de volver a firmar el gestor de arranque de Fedora (como dije, proporcionaremos herramientas y documentación para eso) y tendrá una computadora que arrancará Fedora pero se negará a arrancar cualquier código de Microsoft. Puede que sea un poco más incómodo para las computadoras de escritorio porque es posible que tenga que manejar los controladores UEFI firmados por Microsoft en sus tarjetas gráficas y de red, pero esto también tiene solución. Estoy buscando formas de implementar una herramienta que le permita incluir automáticamente en la lista blanca los controladores instalados. Salvo las puertas traseras del firmware, es posible configurar el arranque seguro de modo que su computadora solo ejecute software en el que confíe. Libertad significa poder ejecutar el software que desea ejecutar, pero también significa poder elegir el software que no desea ejecutar.