Исходное сообщение
"Debian тестирует поддержку UEFI Secure Boot" Отправлено Michael Shigorin, 09-Янв-19 18:06
> я имею некоторое отношение ко всяким загрузчикам\uefi, так вот: > 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, > нихрена не разбираясь что тот или иной efi-модуль делает. Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я собирал не конкретную версию "точно", а что-то промежуточное с патчами из гита -- удивлялись). > 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в > microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через > LoadImage() он загрузится, только если в свою очередь также подписан в > microsoft. Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук на подрыв загрузки этого самого следующего бинаря, если он не ходил в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше. https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fdd...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> я имею некоторое отношение ко всяким загрузчикам\uefi, так вот: >> 1. microsoft подписывает чуть ли не все подряд, что ее попросит вендор, >> нихрена не разбираясь что тот или иной efi-модуль делает. > Гм, shim несколько лет назад они подписывали явно ковыряясь в бинаре (я > собирал не конкретную версию "точно", а что-то промежуточное с патчами из > гита -- удивлялись). >> 2. сам механизм SecureBoot защищает только API LoadImage(). Т.е если подписанный в >> microsoft загрузчик, грузит после себя следующий second stage efi-модуль, то через >> LoadImage() он загрузится, только если в свою очередь также подписан в >> microsoft. > Вот только конкретно с shim была проделана такая "полюбовно согласованная" штука: где-то > с рубежа 2013/2014 годов подписанию UEFI CA (бишь MSFT "за неимением > других желающих") подлежат только релизы 0.5+, поскольку в 0.5 добавили хук > на подрыв загрузки этого самого следующего бинаря, если он не ходил > в LoadImage(), т.е. не проверял фирмварным методом то, что грузит дальше. > https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO#shim > https://github.com/mjg59/shim/commit/f95ccd0a7f64c0a63b06fddd278a3e35aa96eba9
	Введите код, изображенный на картинке: