Zavádění linuxového jádra podepsaného vlastními klíči (diskuse)

hustý :) tak snad už UEFI nebude secure bootem otravovat životy dalších lidí... další option +1

4.9.2013 13:59 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Zavádění linuxového jádra podepsaného vlastními klíči

No, odkazovany text je "jen" o tom ze neni potreba podepsany bootloader typu shim, grub, gummiboot, elilo (, cokoliv). Ono jadro umi v UEFI uz dlouho se tvarit jako bootloader a jen se spusti (+ veci typu exit boot services a tak, je tam takovy pahyl bootloaderu v nem), ted je akorat potrebne mit podespsany bootloader, takze popisuje jak si podepsat takove jadro.
Pokud chces bootovat s SB, porad musis mit klice k tvemu bootloaderu (jadru) v pameti stroje.

I can only show you the door. You're the one that has to walk through it.

4.9.2013 15:08 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Zavádění linuxového jádra podepsaného vlastními klíči

Ono jadro umi v UEFI uz dlouho se tvarit jako bootloader

Ta idea, že image jádra funguje jako bootloader, je podstatně starší než UEFI. Kdysi se bootovací diskety vytvářely tak, že se pomocí dd nakopírovalo jádro na /dev/fd0 a pomocí rdev se do něj na určenou pozici zapsalo major a minor číslo zařízení s kořenovým filesystémem.

4.9.2013 17:08 Kvakor
Rozbalit Rozbalit vše Re: Zavádění linuxového jádra podepsaného vlastními klíči

Nejen to, ono tam šlo zapsat i offset, na kterém začínal initramdisk a interní loader ho načetl hned po načtení jádra. BIOSu je totiž úplně putna, co je v prvním sektoru, pokud jsou poslední dva byty 0x55 0xAA, tak ho načte od paměti 0x7C00 a spustí.

4.9.2013 19:12 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Zavádění linuxového jádra podepsaného vlastními klíči

Možná už si to pamatuju špatně, ale IIRC tu signaturu nekontroloval BIOS, ale až právě kód v tom prvním sektoru, a to ještě jen u hard disku (kvůli čemuž hlavní partition tabulka začínala na nesmyslné pozici 512 - 64 - 2). Tedy pokud tam byl ten původní DOSový a ne třeba LILO.

5.9.2013 20:32 Kvakor
Rozbalit Rozbalit vše Re: Zavádění linuxového jádra podepsaného vlastními klíči

Kontrolovali ji oba dva - jak BIOS, tak tzv. master boot loader v MBR (obdoba 1st stage loaderů u LILA a Grubu), který vlastně napodoboval BIOS, jen se navíc díval jestli je příslušná partition nastavená jako bootovatelná (teoretickym mohla být bootvatelná jakákoliv, ale v praxi šlo bootovat jen z přimárních). Nejspíš z toho důvodu, aby jak u floppy, tak u harddisku fungoval stejný kód.