https://www.opennet.dev/openforum/vsluhforumID3/116248.html Разработчики Debian предложили (https://henrich-on-debian.blogspot.com/2019/01/call-for-tester-to-brave-unstable-user.html) протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot (https://wiki.debian.org/SecureBoot)), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается (https://wiki.debian.org/SecureBoot/Testing) оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)).<br><br><br> Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили (https://www.opennet.ru/opennews/art.shtml?num=46467) до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim (https://www.opennet.ru/opennews/art.shtml?num=36077), заверенный (https://packages.debian.org/sid/utils/shim-signed) цифровой под https://www.opennet.dev/openforum/vsluhforumID3/116248.html#92 Sat, 12 Jan 2019 09:31:51 GMT А в каких BIOS это есть? Может в каких то конкретных матерях?<br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#91 Thu, 10 Jan 2019 10:49:45 GMT Не знаю можно ли тут давать ссылки, загугли Sakaki's EFI Install Guide и попробуй. <br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#90 Thu, 10 Jan 2019 10:02:49 GMT &gt; Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи <br><br>если я тебе нарисовал окошко с менюшком и мышком - то достаточно просто.<br>а если я строго следовал спецификациям на uefi - вот тебе efi shell, ну-ка, попробуй в нем что-нибудь удали или добавь.<br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#89 Thu, 10 Jan 2019 09:55:17 GMT &gt; 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в <br>&gt; microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через <br>&gt; LoadImage() он загрузится, только если в свою очередь также подписан в <br>&gt; microsoft. Но если вручную распарсить efi-файл, загрузить его секции по нужным <br><br>теоретически - такое либо не должны подписывать, не позадавав уточняющие вопросы, либо оно должно уметь проверять свои собственные подписи (что было бы условно правильно, но залочило бы выбор того, что оно грузит, до списка подписанных хорошими ребятами)<br><br>на практике, полагаю, ms не случайно для винды использует совсем-совсем другой ключик, и им ничего кроме винды не подписывает.<br><br>именно потому что что там подписывается ключиком для oem'ов - индусу и разбираться лень, и некогда ему.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#88 Wed, 09 Jan 2019 20:39:47 GMT Если виндовс на машине не нужен, то достаточно просто удаляются предустановленные ключи из UEFI, генерируются свои и ими подписываются ядра. <br>Больше интересует вопрос как подписать винду своим кастомным ключом, чтобы иногда пускать ее в дуалбуте. <br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#87 Wed, 09 Jan 2019 18:48:10 GMT &gt; Не очень понял, кто кому что запрещает<br><br>Это именно по shim упоминал, но "звоночек".<br><br>В любом разе спасибо за наблюдения -- я ещё кое-какие на публике всё-таки, пожалуй, не буду от своего имени озвучивать, но всё в сумме отрезонировало забавным образом :)<br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#86 Wed, 09 Jan 2019 18:27:55 GMT 1<br>Shim это официальный таран от OSS, поэтому его и шерстили для порядка. Я работаю в конторе сильно поскромнее чем RedHat - у нас ms подписывают все что закинем, не задавая вопросов.<br>2<br>Не очень понял, кто кому что запрещает, но на свежей плате Gigabyte H310M DS2 с последней версией прошивки у меня стартует подписанный в микрософт загрузчик, который вручную грузит уже наш неподписанный в ms загрузчик и все отрабатывает как положено (код ручной загрузки я выдрал из последнего мастера в https://github.com/rhboot/shim)<br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#85 Wed, 09 Jan 2019 15:29:34 GMT AMT - это не зонд, а фича, за которую требуют немалые деньги. Зонд - ME - та же фича, даже ещё круче, но только для Интела.<br> https://www.opennet.dev/openforum/vsluhforumID3/116248.html#84 Wed, 09 Jan 2019 15:06:24 GMT &gt; я имею некоторое отношение ко всяким загрузчикам\uefi, так вот: <br>&gt; 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, <br>&gt; нихрена не разбираясь что тот или иной efi-модуль делает.<br><br>Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись).<br><br>&gt; 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в <br>&gt; microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через <br>&gt; LoadImage() он загрузится, только если в свою очередь также подписан в <br>&gt; microsoft.<br><br>Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше.<br><br>https