%3F.png)
Я не уверен, существует ли для этого руководство, но мне бы хотелось узнать подробные шаги (возможно, пошаговое руководство?), необходимые для достижения следующего:
- Повторно подпишите оболочку с помощью специального закрытого ключа CA, но по-прежнему разрешите оболочке использовать открытый ключ CA загрузки Fedora для проверки компонентов ядра для безопасной загрузки.
- Замените ключ Microsoft, хранящийся в прошивке, соответствующим открытым ключом пользовательского центра сертификации, закрытый ключ которого использовался для подписи оболочки.
Основная цель, которую я хочу достичь, это заменить встроенный сертификат Microsoft CA, хранящийся в прошивке, чтобы запретить запуск загрузчиков ОС, подписанных Microsoft, и по-прежнему использовать функциональность безопасной загрузки UEFI для загрузки F19. Общий обзор, кажется, изложен вэта ссылка, но я не могу найти подробного руководства, как это сделать.
решение1
Я думаю, вы можете следовать следующему процессу:
- Сгенерируйте ключи для вашей системы. Известный хороший процесс для меня - этоэтот
- Теперь вы можете подписать свой shim.efi этой подписью. Используйте pesign для подписи, как указано в данной ссылке.
- Теперь все должно работать, если нет, то вам, возможно, придется подписать другие двоичные файлы новыми подписями.
Но я боюсь, что удаление сертификата MS из shim.efi может сломать. Вам может быть интересно прочитатьэтотссылка для более подробной информации.
Для вашего сведения я привел несколько пунктов ниже:
Пункт №1
Многие наши пользователи хотят собирать свои собственные ядра. Некоторые даже хотят собирать свои собственные дистрибутивы. Подписание нашего загрузчика и ядра является препятствием для этого. Мы предоставим все инструменты, которые используем для подписи наших двоичных файлов, но по понятным причинам мы не можем раздавать наши ключи. Здесь есть три подхода. Первый заключается в том, что пользователь должен сгенерировать свой собственный ключ и зарегистрировать его в своей системной прошивке. Мы будем доверять всему, что подписано ключом, присутствующим в прошивке. Второй заключается в том, чтобы перестроить загрузчик оболочки с установленным собственным ключом, а затем заплатить 99 долларов и подписать его с Microsoft. Это означает, что они смогут передавать копии кому угодно и позволять им устанавливать его без каких-либо манипуляций. Третий заключается в том, чтобы просто полностью отключить безопасную загрузку, после чего машина должна вернуться к предоставлению того же набора свобод, что и сейчас.
Пункт №2:
Система в пользовательском режиме должна позволять вам удалять все существующие ключи и заменять их своими собственными. После этого вам нужно будет просто переподписать загрузчик Fedora (как я уже сказал, мы предоставим инструменты и документацию для этого), и у вас будет компьютер, который будет загружать Fedora, но который откажется загружать любой код Microsoft. Это может быть немного более неудобно для настольных компьютеров, потому что вам, возможно, придется работать с подписанными Microsoft драйверами UEFI на ваших графических и сетевых картах, но это также решаемо. Я ищу способы реализовать инструмент, который позволит вам автоматически вносить установленные драйверы в белый список. За исключением бэкдоров прошивки, можно настроить безопасную загрузку таким образом, чтобы ваш компьютер запускал только программное обеспечение, которому вы доверяете. Свобода означает, что вам разрешено запускать программное обеспечение, которое вы хотите запустить, но это также означает возможность выбирать программное обеспечение, которое вы не хотите запускать.