SecureBoot a Linux

Sekcia: Ostatné 14.10.2015 | 17:01
noobik   Návštevník

Zdar, sorry, ze zakladam novu temu ohladom tejto problematiky, ale chcem si nieco ujasnit. S UEFI prisla aj funkcia Secure boot, ktora nedovoli nabootovat nepodpisany kod. Ale kde su ulozenie tieto podpisy, ktore rozhoduju o tom, co sa bude bootovat a co nie? Ako tam mozem pridat nejaky podpis ja, ak chcem nabootovat nepodpisany kod, ktory povazujem za bezpecny? Co konkretne tam vlastne musi byt podpisane v pripade nejakeho linux distra? Obraz kernelu aka /boot?

A este jedna otazka, ak nastavim v UEFI, aby bootoval ako BIOS (pripadne na starom PC bez UEFI, iba BIOS) dam boot z GPT disku, bude to hlasit, ze sa nenasiel MBR sektor?

Dik za odpoved.

    • RE: SecureBoot a Linux 14.10.2015 | 18:24
      Avatar WlaSaTy   Návštevník

      V TPM čipe je uložený kľúč ktorým je podpísaný zavádzač systému alebo priamo podpísané jadro. Ak sa chceš s tými podpismi hrať, tak si najprv zisti ako to priškrtil výrobca tvojej dosky. V prípade že to pokazíš, tak tú dosku môžeš vyhodiť. To v prípade notebooku znamená kompletnú stratu. Časy keď sa dali resetnúť nastavenia vyskratovaním baterky skončili s nástupom tohoto tisícročia. Kôli tomuto riziku neuvádzam linky na návody. Keby si to zvládíl, tak si ich nájdeš aj sám a nemusíš sa pýtať.

      Ohľadne štartu z GPT v prípade legacy biosu, to nepôjde. Bios potrebuje MBR a tá je na začiatku disku, a GPT zas na konci. Exístujú návody ako synchronizovať oba typy rozdelenia, ale tie nefungujú na sto percent ak máš disk nad dva tera.

    • RE: SecureBoot a Linux 14.10.2015 | 19:38
      Avatar d_   Návštevník

      Aky mas notebook? ... hod link na popis

    • RE: SecureBoot a Linux 15.10.2015 | 20:44
      Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

      Aby som pravdu povedal neriešim takéto veci, ale malo by fungovať nejak takto.

      Bootovatelné medium musí mať príznak boot a skočiť na boot sektor ktorý je v UEFI asi maskovaní skočením do UEFI a vytiahnutím podpisu. Kedysi keď práve neexistovalo UEFI, sa dalo takto ľahko nabootovať z butovatelného média v ktorom bol škodlivý kód, alebo proste ešte pred štartom systému sa spustil škodlivý kód a potom spustil systém.

      Teda píšem skúsenosti s pred 15rokov keď som sa hrával so systémom na low level úrovni.

      Takže pri UEFI secure boot bude musieť byť kód podpísaný uznávanou autoritou ktorá je dnes pokiaľ viem len Microsoft a poslať svoj bootloader k ním a nechať si ho podpísať.

      Zatiaľ neexistuje technika, teda aspoň o nej neviem ktorá by toto rozbila (crackla).

      Microsoft pokiaľ som počul bootloadre podpisuje zdarma, ovšem tieto informácie sú bez záruky :)

      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: SecureBoot a Linux 15.10.2015 | 21:23
        Avatar WlaSaTy   Návštevník

        Kedysi tu bol odkaz na prácu s kľúčmi. Asi si naň zabudol, ale môžeš si ho pohľadať. Zvyšok nemá zmysel komentovať. Snáď len toľko, že uznávaná autorita vo svete podpisov neexistuje. Existuje len dopredu nahraný kľúč ktorý to zamkne. Ten však môžeš vymeniť ako bolo v tomčlánku popísané.

        • RE: SecureBoot a Linux 15.10.2015 | 23:19
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

          Pri zapnutej voľbe Secure Boot musí byť bootloader podpísaný, či?

          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
          • RE: SecureBoot a Linux 16.10.2015 | 13:59
            Avatar WlaSaTy   Návštevník

            To je dobrá otázka, a teraz by si si ju mal aj zodpovedať. Začni pohľadaním toho linku, a pokračuj v jeho čítaní.