タグ付けされた質問 「secure-boot」

2
UEFIとSecureBootの影響、どれほど深刻ですか?
近日中に新しいラップトップを購入する計画を立てており、新しくてクールなウルトラブックに感銘を受けています。長い間GNU / Linuxを使用しているので、もちろん自分で選んだディストリビューションをインストールします。 おそらく、Windows 8がプレインストールされたコンピューターを購入する必要があります。そして、UEFIを実行し、「セキュアブート」を行う可能性があります。このブートでは、署名されていないカーネルは起動しません。 UEFIはおそらく良好であり、BIOSは廃止する必要があるかもしれません。毛深いのはセキュアブートだと思います。 私が理解できる限り、いくつかの信頼できる証明書がファームウェアなど、カーネルなどに埋め込まれます。カーネルの証明書がファームウェアのいずれかにトレースバックできる場合、カーネルが起動します。それ以外の場合、UEFIは通知して起動を拒否します。このプロセスは、認証されていないソフトウェアの起動を防ぎます。私はそれらを見ることができませんが、これには利点があるかもしれません。 オープンソースカーネルがこれらのキーの1つを取得し、それでも自由に使えるのはなぜでしょうか。Linuxのメーリングリストでスレッドを読みました。RedHatの従業員がLinus Torvaldsに、PEバイナリを解析し、カーネルをセキュアブートモードで起動するための複雑なアクションを実行する機能を実装するチェンジセットをプルするように依頼しています(理解できる限り) )。マイクロソフトはPEバイナリのみに署名するため、彼らはこれを望んでいます。トーバルズ氏はこの変更セットを親切に拒否し、カーネルは既にPEではない標準を実装していると述べています。RedHatはこのコードをカーネルにプッシュしようとしているため、いつかフォークする必要はありません。 ほら、これは複雑なことです。質問させてください。 ホームユーザーとしてUEFIとセキュアブートを使用すると、どのようなメリットがありますか? この署名はどのように行われますか? 誰が署名/証明書を取得できますか?支払われますか?公開できますか?(Linuxのソースコードで利用できるはずですよね?) 署名を提供する唯一の機関はマイクロソフトですか?それらを提供する独立した基盤があるべきではありませんか? これは、オープンソースおよび無料のカーネル、趣味人/アカデミックカーネル開発者などにどのような影響を与えますか。例:このブート(非常に基本的なブートセクターコード): hang: jmp hang times 510-($-$$) db 0 db 0x55 db 0xAA このウェブサイトのニュース項目は、この質問のインスピレーションでした。Hispalinuxと呼ばれるスペインのLinuxユーザーグループは、Europan Comissionの件名でMicrosoftに対して苦情を申し立てました。 心配する必要がありますか?私はプロプライエタリなソフトウェアも、信頼できる会社によって署名されたソフトウェアも使用することを拒否します。私は今までそうしてきたので、続けたいです。前もって感謝します。

3
Linuxでセキュアブートを有効にする方法はありますか?
Windowsのセキュアブートがブート時に外部OSローダーコードを実行できないように、Linuxにも同様のオプションがありますか?私は周りを見回しましたが、検索すると、UEFI対応のWindowsマシンにLinuxをインストールする方法しか得られません。このオプションをLinuxマシンに導入する方法がわかりません。

2
セキュアブートを使用してinitrdとgrub.cfgを保護するにはどうすればよいですか?
ubuntuインストールをセキュアブートするために、shimとgrub2でデフォルトのubuntuアプローチを使用し、独自のプラットフォームキー(sbsignを使用した自己署名shim)と暗号化されたルートパーティションを組み合わせています。ただし、これはgrubx64.efiとカーネルのみを検証しますが、暗号化されていないブートパーティション上のinitrd.imgおよびgrub.cfgファイルを悪意のある変更から保護しません。 では、ブートに使用する前に、おそらくsha256ハッシュを使用して、initrdとgrubの構成を確認するにはどうすればよいですか?その検証は、shim、grub、またはshimやgrubに加えて、またはその代わりに使用する他のツールで発生する可能性があります。 この質問の目的は、変更された環境(カーネルコマンドラインとinitrd)でカーネルを実行して、ルートパーティションの暗号化パスワードがどこかに漏洩するのを防ぐことです。 UbuntuとLinux FoundationのPreLoader.efiを含むセキュアブートに関するWebチュートリアル/ブログを数日間読んだにもかかわらず、ブート構成を検証する方法は見つかりませんでした。これらはすべて、カーネルモジュールを含む実行可能ファイルの検証がどのように機能するかを説明していますが、どれもこれはgrub.cfgと(内部のシェルスクリプトと構成ファイル)initrdについて言及しているため、起動プロセスで非バイナリの検証を要求するのは私が初めてのようです。私が見つけた最高の情報源は、ロッド・スミスの情報源です。 私がまだ試していないのは、shimやgrubのソースコードを変更したり、フォークを作成したり、それらに直接貢献することです。それが唯一の方法でしょうか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.