%3F.png)
Não tenho certeza se existe um guia para isso, mas gostaria de saber as etapas detalhadas (talvez um guia passo a passo?) Envolvidas para alcançar o seguinte:
- Assine novamente o shim com uma chave privada de CA personalizada, mas ainda deixe o shim usar a chave pública de CA de inicialização do Fedora para verificar os componentes do kernel para inicialização segura.
- Substitua a chave da Microsoft armazenada no firmware pela chave pública da CA personalizada correspondente cuja chave privada foi usada para assinar a correção.
O principal objetivo que desejo alcançar é substituir o certificado CA integrado da Microsoft armazenado no firmware, a fim de proibir a execução de bootloaders de sistema operacional assinados pela Microsoft e ainda usar a funcionalidade de inicialização segura do UEFI para inicializar o F19. A visão geral parece ser delineada emesse link, mas não consigo encontrar nenhum guia detalhado para fazer isso.
Responder1
Acho que você pode seguir o processo abaixo:
- Gere chaves para o seu sistema. Um bom processo conhecido para mim éesse
- Agora você pode assinar seu shim.efi com esta assinatura. use pesign para assinar conforme mencionado no link fornecido
- Agora deve funcionar, caso contrário, talvez você precise assinar outros binários com novas assinaturas também.
Mas temo que a remoção do certificado MS do shim.efi possa falhar. Você pode estar interessado em leresselink para mais detalhes.
Separei alguns pontos abaixo para sua referência:
Ponto nº 1
Muitos de nossos usuários desejam construir seus próprios kernels. Alguns até querem construir suas próprias distribuições. Assinar nosso bootloader e kernel é um impedimento para isso. Forneceremos todas as ferramentas que usamos para assinar nossos binários, mas por razões óbvias não podemos distribuir nossas chaves. Existem três abordagens aqui. A primeira é o usuário gerar sua própria chave e registrá-la no firmware do sistema. Confiaremos em qualquer coisa assinada com uma chave presente no firmware. A segunda é reconstruir o carregador de shim com sua própria chave instalada e depois pagar US$ 99 e assiná-lo com a Microsoft. Isso significa que eles poderão dar cópias a qualquer outra pessoa e deixá-los instalá-las sem qualquer dificuldade. A terceira é simplesmente desabilitar totalmente a inicialização segura, momento em que a máquina deverá voltar a conceder o mesmo conjunto de liberdades que concede atualmente.
Ponto nº 2:
Um sistema em modo personalizado deve permitir que você exclua todas as chaves existentes e substitua-as pelas suas. Depois disso, basta assinar novamente o bootloader do Fedora (como eu disse, forneceremos ferramentas e documentação para isso) e você terá um computador que inicializará o Fedora, mas se recusará a inicializar qualquer código da Microsoft. Pode ser um pouco mais estranho para desktops porque talvez você precise lidar com os drivers UEFI assinados pela Microsoft em suas placas gráficas e de rede, mas isso também pode ser resolvido. Estou procurando maneiras de implementar uma ferramenta que permita colocar automaticamente na lista de permissões os drivers instalados. Exceto backdoors de firmware, é possível configurar uma inicialização segura de forma que seu computador execute apenas software em que você confia. Liberdade significa ter permissão para executar o software que deseja executar, mas também significa poder escolher o software que não deseja executar.