微軟在Secure Boot設計一個方便內部測試及除錯使用的政策,但該政策也在市售的Windows裝置中留存,雖然是無效且並未開啟,但對駭客而言仍是一個發動攻擊的機會。
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
「secure boot測試」的推薦目錄:
- 關於secure boot測試 在 iThome Facebook 的精選貼文
- 關於secure boot測試 在 コバにゃんチャンネル Youtube 的最讚貼文
- 關於secure boot測試 在 大象中醫 Youtube 的最佳貼文
- 關於secure boot測試 在 大象中醫 Youtube 的最佳解答
- 關於secure boot測試 在 [問題] Secure Boot的疑問- 看板Linux - 批踢踢實業坊 的評價
- 關於secure boot測試 在 Security Secure Boot using Trusted Firmware-M 的評價
- 關於secure boot測試 在 固件安全開機 的評價
- 關於secure boot測試 在 此電腦必須支援安全開機要怎麼解決? 的評價
- 關於secure boot測試 在 晶科電腦資訊/ 數位科技維修專刊 的評價
- 關於secure boot測試 在 電腦開機時出現Secure Boot Violation,然後無法進入開機畫面 ... 的評價
- 關於secure boot測試 在 [問題] Secure Boot的疑問- 看板Linux - PTT網頁版 的評價
secure boot測試 在 コバにゃんチャンネル Youtube 的最讚貼文
secure boot測試 在 大象中醫 Youtube 的最佳貼文
secure boot測試 在 大象中醫 Youtube 的最佳解答
secure boot測試 在 Security Secure Boot using Trusted Firmware-M 的推薦與評價
Secure boot 最主要的目的就是防止系統使用到惡意的韌體程式或作業系統,在開機流程中,boot code 會先透過密碼學(cryptography) 演算法驗證是否為可信任 ... ... <看更多>
secure boot測試 在 固件安全開機 的推薦與評價
secure -boot.md. Files. master. Breadcrumbs. azure-docs.zh-tw; /articles; /security ... 新增db、的.dbx 和KEK 資料庫,並完成最後的固件驗證和測試之後,OEM 會將該固件 ... ... <看更多>
secure boot測試 在 [問題] Secure Boot的疑問- 看板Linux - 批踢踢實業坊 的推薦與評價
各位版上大大好,
小弟目前正在嘗試建立可以在secure boot要求下開機的開機USB碟
有蠻多關於這方面的問題想要來請教版上大大們,
以Ubuntu系統的測試結果, x86似乎是不支援uefi的secure boot,
僅x64系統有支援, 這方面不知道是否有理解錯誤?
第1步驟似乎是先要有一份被簽署過的grub image來引導進入kernel開機,
但要怎麼去簽署這份grub image呢? 其實目前有點找不到方向
有沒有熟悉這方面的大大可以給小弟一些意見
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.48.112
※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1542695309.A.673.html
※ 編輯: shooter555 (61.219.48.112), 11/20/2018 14:52:54
目前我的grub image是用這個指令做出來的
grub-mkimage -O x86_64-efi -d . -o grub.efi -p "" part_gpt part_msdos ntfs ntfscomp hfsplus fat ext2 normal chain boot configfile linux multiboot efi_gop efi_uga font keylayouts keystatus sleep usb
是在做出來以後還要多做什麼動作去簽署它嗎?
※ 編輯: shooter555 (61.219.48.112), 11/20/2018 15:32:11
https://ruderich.org/simon/notes/secure-boot-with-grub-and-signed-linux-and-initrd
還沒看完, 不知道行不行得通
※ 編輯: shooter555 (61.219.48.112), 11/20/2018 16:24:03
弄了一天, 一直卡在efi-updatevar這個步驟, 一直出現Can't update variable in User Mode without a key
搞不清楚PK, KEK, DB這3個的用處, 請問一下除了指南中提到的步驟
還要做什麼動作嗎? 感覺好像是key沒有建立正確
跳過efi-updatever這個步驟, 直接用db.key簽署grub binary, 啟動後出現
Operating System Loader signature not found in SecureBoot database ('db').
看起來是要將db放入esp partition中, 請問有大大知道這個db是存放在哪個檔案嗎? 要移哪個檔案進去
※ 編輯: shooter555 (61.219.48.112), 11/21/2018 15:21:16
原來他指的setup mode是指板子uefi裏面的設定
所以是指要做簽署動作的PC要先進setup mode 然後才能更改efiver 進而簽署efi binaries
這樣就要先找一台支援secure boot然後又可以進setup mode的機器當作開發機了
※ 編輯: shooter555 (61.219.48.112), 11/21/2018 16:40:43
抱歉 有點搞錯了
現在搞懂那個指南的意思, 它是要自建一組新的KEY, 然後放入UEFI中
同時可利用這個自建的KEY去簽署Binaries,
但我想要的是用一般UEFI就認可的KEY去簽署Binaries, 這樣我的開機碟
才可以在被要求secure boot的情況下直接開啟,
這是需要付費的嗎? 我該怎麼拿到這組用來簽署的KEY,
我知道windows的driver是需要購買一套工具來專門簽署, 但linux要怎麼拿到這個key呢?
※ 編輯: shooter555 (61.219.48.112), 11/22/2018 17:01:51
付費是可以考慮的, 但現在不知道要去哪申請@@
或者是要申請哪種才正確
我看有支援secureboot 的機器內的db list, 共通點都有這三張憑證
Microsoft Corporation UEFI CA 2011
Microsoft Windows Production PCA 2011
Canonical Ltd. Master Certificate Authority
這樣是不是只能被這三張其中一張簽署才可以通用?
本來想拿簽署windows driver用的GlobalSign CodeSigning CA來簽, 似乎不行這樣用
其實現在還有一個地方還不明白, 就是在uefi進grub之前, 好像還要先進keyTool,
這個keyTool的用處, 及用法正在研究中0.0
※ 編輯: shooter555 (61.219.48.112), 11/23/2018 11:49:30
※ 編輯: shooter555 (61.219.48.112), 11/23/2018 13:29:15
※ 編輯: shooter555 (61.219.48.112), 11/27/2018 10:17:09
找不到方式省掉這個步驟@@ 不曉得有沒有方式可以自動做hash到moklist
本來想對中間的mokmanager動手腳, 不過看起來他跟前一個引導的shim是綁定的,
一載入就顯示security violation
看起來要修改一份shim, 然後加入自簽的憑證在shim的驗證中(後門),
然後再把這份shim的binary送簽證, 後面的grub或是kernel就可以使用這張自簽的憑證通過檢查(應該可行吧@@?)
※ 編輯: shooter555 (61.219.48.112), 11/29/2018 10:19:29
※ 編輯: shooter555 (61.219.48.112), 11/29/2018 10:22:11
※ 編輯: shooter555 (61.219.48.112), 11/29/2018 10:44:21
... <看更多>