セキュアブートのためにカスタム署名付きシムを使用する方法は?

セキュアブートのためにカスタム署名付きシムを使用する方法は?

これについてのガイドがあるかどうかはわかりませんが、次の目標を達成するための詳細なステップを知りたいです(ステップバイステップガイドですか?)。

  1. カスタムCA秘密鍵でshimに再署名しますが、まだshimにFedoraブートCA公開鍵を使用してセキュアブートカーネルコンポーネントを確認させます。
  2. ファームウェアに保存されているMicrosoftキーを対応するカスタムCA公開鍵(秘密鍵はシム署名に使用されます)に置き換えます。

私が達成したい主な目的は、ファームウェアに保存されている組み込みのMicrosoft CA証明書を置き換えて、Microsoft署名オペレーティングシステムのブートローダの実行を無効にし、UEFIのセキュアブート機能を使用してF19を起動することです。一般的な概要はこのリンクしかし、これに関する詳細なガイドが見つかりません。

答え1

私はあなたがこのプロセスに従うことができると思います:

  1. システムのキーを生成します。私に知られている良いプロセスは次のとおりです。これ
  2. これで、この署名を使用してshim.efiに署名できます。与えられたリンクに記載されているように署名にpesignを使用してください。
  3. 今動作します。それ以外の場合は、新しい署名で他のバイナリに署名する必要があります。

ただし、shim.efiからMS証明書を削除すると破損する恐れがあります。あなたは読書に興味があるかもしれませんこれ詳しくはリンクをご覧ください。

参考のために、次の事項をまとめました。

ポイント#1

多くのユーザーが独自のカーネルを作成したいと思います。何人かの人々は自分自身のディストリビューションを作りたいと思うかもしれません。ブートローダとカーネルに署名するのは障害でした。バイナリ署名のためのすべてのツールを提供しますが、明らかな理由でキーを配布することはできません。これには3つの方法があります。 1つ目は、ユーザーが自分のキーを生成してシステムファームウェアに登録することです。私たちはファームウェアのキーで署名されたすべてを信頼します。 2つ目は、インストールされたキーを使用してシムローダーを再構築し、99ドルを支払い、Microsoftに署名することです。これは、他の人にコピーを提供し、別途の処置なしにインストールすることを可能にすることを意味します。 3番目の方法は、セキュアブートを完全に無効にすることです。この時点で、マシンは現在と同じフリーセットを再付与する必要があります。

ポイント2:

カスタムモードのシステムでは、既存のすべてのキーを削除して独自のキーに置き換えることができます。その後、Fedoraブートローダに再署名すると(前述のようにツールとドキュメントが提供されます)、Fedoraを起動できますが、Microsoftコードの起動を拒否するコンピュータがあります。デスクトップの場合、グラフィックカードとネットワークカードはMicrosoft署名UEFIドライバを処理する必要があるため、多少厄介ですが解決できる問題です。インストールされたドライバを自動的にホワイトリストに追加できるツールを実装しようとしています。ファームウェアバックドアが存在しない限り、コンピュータが信頼できるソフトウェアのみを実行するようにセキュアブートを設定できます。自由とは、実行したいソフトウェアを実行できるという意味ですが、実行したくないソフトウェアを選択できるという意味でもあります。

関連情報