Secure Boot v openSUSE

Frederic Crozat ve svém blogu uvádí, že pro bezproblémový provoz openSUSE na systémech se Secure bootem, tak aby uživatel nebyl zbytečně obtěžován věcmi jako vypnutí Secure bootu nebo přidání vlastního klíče, je potřeba vyřešit několik věcí.

Změny v jádře

(některé jsou již obsaženy v 3.7 nebo se plánují pro 3.8):

  • převést jádro jako EFI spustitelné (bude použito pro uložení jaderných podpisů)
  • UEFI podpora hodin (bylo by hezké mít)
  • UEFI getvideomode
  • UEFI reboot (už máme 4 způsoby jak restartovat systém, proč nepřidat další :)
  • KMS ovladače (pro staré čipsety jako Matrox, AST).
  • podepsané jádro
  • podepsané všechny hlavní jaderné moduly
  • generovat soukromé/veřejné klíče pro použití ostatních modulů
  • přidat podporu Secure Boot do KExec / KDump a Xen (volitelně)
  • vypnout hibernaci v módu Secure Boot (nebo najít bezpečnou cestu jak ukládat/probouzet uspaný systém)
  • přidat kontrolu podpisu do jádra

Zavaděč

  • přibalit předzavaděč shim
  • upravit grub2 tak, aby při startu používal předzavaděč shim pro kontrolu podepsaného jádra

Build Service

  • možnost vytvářet externí jaderné moduly (KMP) za použití soukromého/veřejného klíče vygenerovaného při sestavování jádra
  • ale nepovolit těmto klíčům použití v náhodných KMP buildech (jinak pozbude smysl podepisovat moduly)

Userspace tools

  • přibalit xf86-video-modesettings, pro grafické čipsety s neakcelerovanými KMS ovladači
  • přidat podporu pro kontrolu podpisu v modutils / kmod
  • zabalit nástroje pro podepisování jádra / modulů

Instalátor / DVD obraz

  • možná zobrazovat hlášení o tom, že je systém instalován v Secure Boot módu (nejsem si 100% jistý zda bychom měli dělat)
  • možná podepsat počáteční instalátor a ujistit se, že nenatáhne nepodepsané moduly
  • ujistit se, že DVD obraz obsahuje shim a grub2 jako zavaděč pri bootování na UEFI systémech

A další

  • Pokud chceme, aby byl Secure Boot pro uživatele transparentní, potřebujeme, aby shim předzavaděč byl podepsán autoritou, která má UEFI klíče, např. Microsoft.
  • To ovšem zahrnuje nějaké papírování a úkoly. Jakmile bude vše hotovo je nutné odeslat shim předzavaděč do MS a následně jej zabalit

Jak je patrno, je nutné udělat mnoho práce, ale výsledky by měly být dostupné s příští verzí openSUSE.

Zdroj: http://blog.crozat.net/2012/11/secure-boot-on-opensuse-battleplan.html

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img> <h2> <pre>
  • Řádky a odstavce se zalomí automaticky.
  • Webové a e-mailové adresy jsou automaticky převedeny na odkazy.

Plain text

  • Nejsou povoleny HTML značky.
  • Webové a e-mailové adresy jsou automaticky převedeny na odkazy.
  • Řádky a odstavce se zalomí automaticky.