이에 대한 가이드가 있는지 확실하지 않지만 다음을 달성하는 데 관련된 자세한 단계(아마도 단계별 가이드?)를 알고 싶습니다.
- 사용자 정의 CA 개인 키로 shim을 다시 서명하되 shim이 Fedora 부팅 CA 공개 키를 사용하여 보안 부팅을 위한 커널 구성 요소를 확인하도록 허용합니다.
- 펌웨어에 저장된 Microsoft 키를 shim 서명에 사용된 개인 키의 해당 사용자 지정 CA 공개 키로 교체합니다.
제가 달성하고 싶은 주요 목표는 Microsoft 서명 OS 부트로더가 실행되는 것을 금지하기 위해 펌웨어에 저장된 기본 제공 Microsoft CA 인증서를 교체하는 동시에 UEFI의 보안 부팅 기능을 사용하여 F19를 부팅하는 것입니다. 전반적인 개요는 다음과 같습니다.이 링크, 하지만 이에 대한 자세한 가이드를 찾을 수 없습니다.
답변1
아래 프로세스를 따를 수 있다고 생각합니다.
- 시스템에 대한 키를 생성합니다. 나에게 알려진 좋은 프로세스는 다음과 같습니다.이것
- 이제 이 서명으로 shim.efi에 서명할 수 있습니다. 주어진 링크에 언급된 대로 서명에 pesign을 사용하십시오.
- 이제 작동할 것입니다. 그렇지 않다면 새로운 서명으로 다른 바이너리에도 서명해야 할 수도 있습니다.
하지만 shim.efi에서 MS 인증서를 제거하면 문제가 발생할 수 있습니다. 당신은 독서에 관심이 있을 수도 있습니다이것자세한 내용은 링크를 참조하세요.
귀하의 참고를 위해 아래에 몇 가지 사항을 발췌했습니다.
포인트#1
많은 사용자가 자신만의 커널을 만들고 싶어합니다. 일부는 자신만의 배포판을 만들고 싶어하기도 합니다. 부트로더와 커널에 서명하는 것은 이를 방해합니다. 우리는 바이너리 서명에 사용하는 모든 도구를 제공할 것이지만 분명한 이유로 키를 나눠줄 수는 없습니다. 여기에는 세 가지 접근 방식이 있습니다. 첫 번째는 사용자가 자신의 키를 생성하고 이를 시스템 펌웨어에 등록하는 것입니다. 우리는 펌웨어에 있는 키로 서명된 모든 것을 신뢰합니다. 두 번째는 자체 키가 설치된 심 로더를 재구축한 다음 99달러를 지불하고 Microsoft와 서명하는 것입니다. 즉, 다른 사람에게 복사본을 제공하고 아무런 조작 없이 설치하도록 할 수 있다는 의미입니다. 세 번째는 보안 부팅을 완전히 비활성화하는 것입니다. 이 시점에서 머신은 현재와 동일한 자유 세트를 부여하는 상태로 돌아가야 합니다.
포인트#2:
사용자 정의 모드의 시스템에서는 기존 키를 모두 삭제하고 자신의 키로 교체할 수 있습니다. 그 후에는 Fedora 부트로더에 다시 서명하기만 하면 됩니다(앞서 말했듯이 이에 대한 도구와 문서를 제공할 예정입니다). Fedora를 부팅하지만 Microsoft 코드 부팅을 거부하는 컴퓨터를 갖게 됩니다. 그래픽 및 네트워크 카드에서 Microsoft 서명 UEFI 드라이버를 처리해야 할 수 있으므로 데스크톱의 경우 조금 더 어색할 수 있지만 이 문제도 해결 가능합니다. 설치된 드라이버를 자동으로 화이트리스트에 추가할 수 있는 도구를 구현하는 방법을 찾고 있습니다. 펌웨어 백도어를 제외하고 컴퓨터가 신뢰할 수 있는 소프트웨어만 실행하도록 보안 부팅을 구성하는 것이 가능합니다. 자유란 실행하고 싶은 소프트웨어를 실행할 수 있다는 의미지만, 실행하고 싶지 않은 소프트웨어를 선택할 수 있다는 뜻이기도 합니다.