Zdar, sorry, ze zakladam novu temu ohladom tejto problematiky, ale chcem si nieco ujasnit. S UEFI prisla aj funkcia Secure boot, ktora nedovoli nabootovat nepodpisany kod. Ale kde su ulozenie tieto podpisy, ktore rozhoduju o tom, co sa bude bootovat a co nie? Ako tam mozem pridat nejaky podpis ja, ak chcem nabootovat nepodpisany kod, ktory povazujem za bezpecny? Co konkretne tam vlastne musi byt podpisane v pripade nejakeho linux distra? Obraz kernelu aka /boot?
A este jedna otazka, ak nastavim v UEFI, aby bootoval ako BIOS (pripadne na starom PC bez UEFI, iba BIOS) dam boot z GPT disku, bude to hlasit, ze sa nenasiel MBR sektor?
Dik za odpoved.
V TPM čipe je uložený kľúč ktorým je podpísaný zavádzač systému alebo priamo podpísané jadro. Ak sa chceš s tými podpismi hrať, tak si najprv zisti ako to priškrtil výrobca tvojej dosky. V prípade že to pokazíš, tak tú dosku môžeš vyhodiť. To v prípade notebooku znamená kompletnú stratu. Časy keď sa dali resetnúť nastavenia vyskratovaním baterky skončili s nástupom tohoto tisícročia. Kôli tomuto riziku neuvádzam linky na návody. Keby si to zvládíl, tak si ich nájdeš aj sám a nemusíš sa pýtať.
Ohľadne štartu z GPT v prípade legacy biosu, to nepôjde. Bios potrebuje MBR a tá je na začiatku disku, a GPT zas na konci. Exístujú návody ako synchronizovať oba typy rozdelenia, ale tie nefungujú na sto percent ak máš disk nad dva tera.
Aky mas notebook? ... hod link na popis
Aby som pravdu povedal neriešim takéto veci, ale malo by fungovať nejak takto.
Bootovatelné medium musí mať príznak boot a skočiť na boot sektor ktorý je v UEFI asi maskovaní skočením do UEFI a vytiahnutím podpisu. Kedysi keď práve neexistovalo UEFI, sa dalo takto ľahko nabootovať z butovatelného média v ktorom bol škodlivý kód, alebo proste ešte pred štartom systému sa spustil škodlivý kód a potom spustil systém.
Teda píšem skúsenosti s pred 15rokov keď som sa hrával so systémom na low level úrovni.
Takže pri UEFI secure boot bude musieť byť kód podpísaný uznávanou autoritou ktorá je dnes pokiaľ viem len Microsoft a poslať svoj bootloader k ním a nechať si ho podpísať.
Zatiaľ neexistuje technika, teda aspoň o nej neviem ktorá by toto rozbila (crackla).
Microsoft pokiaľ som počul bootloadre podpisuje zdarma, ovšem tieto informácie sú bez záruky :)
Kedysi tu bol odkaz na prácu s kľúčmi. Asi si naň zabudol, ale môžeš si ho pohľadať. Zvyšok nemá zmysel komentovať. Snáď len toľko, že uznávaná autorita vo svete podpisov neexistuje. Existuje len dopredu nahraný kľúč ktorý to zamkne. Ten však môžeš vymeniť ako bolo v tomčlánku popísané.
Pri zapnutej voľbe Secure Boot musí byť bootloader podpísaný, či?
To je dobrá otázka, a teraz by si si ju mal aj zodpovedať. Začni pohľadaním toho linku, a pokračuj v jeho čítaní.