无忧启动论坛

标题: grub2 通过secure boot签名的办法 [打印本页]
作者: superium    时间: 2016-5-13 11:05
标题: grub2 通过secure boot签名的办法
Ubuntu也是grub2,能够通过签名认证。
那么,如果直接提取这个grub用作引导,是否可以解决grub2无法通过签名认证的问题?
本机可以通过修改ubuntu的启动菜单引导其他系统,不知移动到其他电脑是否通用。
作者: amwin6    时间: 2016-5-13 11:32
这东西不可以吧
作者: 窄口牛    时间: 2016-5-13 12:10
谷歌安卓86群也在研究这个问题
作者: hxwgz    时间: 2016-5-13 13:07
本帖最后由 hxwgz 于 2016-5-13 13:13 编辑

理论上可以.
主要问题在于PC的EFI是否预置了验证的公钥.
作者: qingdao33122    时间: 2016-5-13 17:00
grub2也只能在预装了UBUNTU的密钥的电脑上通过SECUREBOOT
作者: superium    时间: 2016-5-13 18:41
楼上二位的意思,是说这个密石是安装在某个不可知的地方?
我理解签名验证仅仅是验证grub2.efi文件的数字签名。ubuntu的grub如果已经签名,就可以拷贝到其他电脑。
如果还有个密石保存在不可知的地方,那就是说拷贝出这个grub也没用,那就只能提取ubuntu的安装文件,再做一次不完全(比如只安装grub)安装了。
作者: superium    时间: 2016-5-13 18:47
我想起来,好像bios里面有保存类似的key-pairs,难道是说有的电脑没有ubuntu的密石,就算安装ubuntu也无法secure boot ?这样的话垄断意图就太过明显了。
作者: hxwgz    时间: 2016-5-13 19:46
大多数的PC只对win8 win10的已签名引导文件预置认证。
有些机器可以提供自己导入认证公钥或许可已签名的引导文件。
作者: superium    时间: 2016-5-13 20:10
原来如此。我的可以直接通过ubuntu的签名认证。
作者: 窄口牛    时间: 2016-5-14 07:37
用乌班图现成的就应该可以。

Screenshot_2016-05-14-07-26-11.png (42.25 KB, 下载次数: 138)

Screenshot_2016-05-14-07-26-11.png
作者: HongYe    时间: 2016-5-14 14:56
回头试一试
作者: yuub    时间: 2016-5-15 13:27
可以通过签名认证。
签名的记录是附加在efi文件上的,不是保存在系统中的。
已经签名的文件叫做 grub-efi-amd64-signed 直接解压得到efi文件,就可以放在移动硬盘中使用。
(以前的签名文件是shimx64.efi)
作者: 窄口牛    时间: 2016-5-15 16:02
刚刚测试了,自己定制不明智,还是用现成的,签过名的引导不会被win的引导排后,BIOS也会主动添加,背景也会自动全屏,自己定制的2.02b3不会被排后,但不能全屏显示背景,也不能主动添加,必须手动设置。
作者: 窄口牛    时间: 2016-5-19 09:26
最新版的乌班图是什么版本的grub2?
作者: 2010eflying    时间: 2018-6-8 18:59
wintoflash 发表于 2016-5-13 11:20
不可以

大神,你那个定制包要怎么给efi签名
作者: 2010eflying    时间: 2018-6-10 12:10
wintoflash 发表于 2018-6-9 09:16
在Linux下,安装sbsigntool

谢谢大神!!!,然后就将那定制的efi放到那个secure boot 目录,运行那个sh对吗
作者: phyuzhoukai    时间: 2018-6-16 23:52
wintoflash 发表于 2018-6-10 12:37
gencrt.sh是用openssl生成证书的示例脚本。你需要先创建自己的证书,然后再用sbsign签名。
windows下应 ...

大神,我在用keytool更换PK.auth的时候,提示Failed to update variable:(26)Security Violation,加KEK、DB的时候也是,删除了自带的PK KEK DB还是这样,有解吗?
作者: newswan    时间: 2018-6-24 23:45
本帖最后由 newswan 于 2018-6-24 23:47 编辑

只要能从uefi拿到公钥,

grub-install grub-mkimage ... 有参数:

-k, --pubkey=FILE          embed FILE as public key for signature checking



欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3