Jak dodać własne klucze dla Secure Boot do firmware EFI/UEFI pod linux

W środowiskach linux’owych Secure Boot nie jest zbyt mile widziany i raczej postrzegany jako
źródło wszelkiego zła na świecie. Sporo użytkowników linux’a dopatruje się w Secure Boot zamachu na
wolność decydowania o swoim sprzęcie, który ma być serwowany przez Microsoft. Niemniej jednak,
odsądzanie tego mechanizmu od czci i wiary jest moim zdaniem lekko nie na miejscu. Niewielu
użytkowników linux’a zdaje sobie sprawę, że od prawie dekady istnieje taki wynalazek jak shim
(no i jest też PreLoader), który umożliwia dystrybucjom linux’a (jak i ich końcowym
użytkownikom) zaimplementowanie Secure Boot we własnym zakresie. Niemniej jednak, można całkowicie
się obejść bez tych dodatków usuwając wbudowane w firmware EFI/UEFI certyfikaty i dodając na ich
miejsce własnoręcznie wygenerowane klucze kryptograficzne. Takie podejście sprawia, że kod
podpisany tylko i wyłącznie przez nas będzie mógł zostać uruchomiony przez firmware komputera w
trybie Secure Boot, co może ździebko poprawić bezpieczeństwo naszego systemu. Poniższy artykuł ma
na celu pokazać w jaki sposób zastąpić wbudowane w firmware EFI/UEFI klucze swoimi własnymi przy
wykorzystaniu dystrybucji Debiana.

1 komentarz do “Jak dodać własne klucze dla Secure Boot do firmware EFI/UEFI pod linux”

  1. A mnie męczy wymiana karty WiFi w takim małym chińskim komputerku XYC z prockiem Intela i właśnie z uefi… Żadna inna karta WiFi nie wchodzi. Zaszyte jest to na amen. Kurcze, nie wiem jak to ugryźć. Ma ktoś jakiś pomysł??

    Odpowiedz

Dodaj komentarz