Что такое secure boot в биосе: Secure Boot — отключение защищенной загрузки (с фото)

• Моя библиотека

Включить безопасную загрузку и TPM для Windows 11: руководство по BIOS!

Включение безопасной загрузки и TPM для Windows 11: руководство по BIOS!

Заявление об ограничении ответственности: мы можем получать небольшую комиссию через партнерские ссылки, это помогает поддерживать нас без дополнительных затрат для вас.

— Воспользуйтесь нашей партнерской ссылкой для поклонников Noctua Redux на
AmazonUS: https: //amzn.to/3gV0dnk AmazonUK: https: //amzn.to/3xHz0KK
AmazonCA: https: //amzn.to/3tbOrHC AmazonIN : https: //amzn.to/33aFu6Z

Windows 11 требует дополнительной безопасности

С выпуском Windows 11 корпорация Майкрософт усилила защиту вашего ПК в современном онлайн-режиме и работе из дома, делая безопасность вашего ПК необходимостью. Два требования к ПК для установки Windows 11 заключаются в том, что в вашей системе должны быть включены TPM и безопасная загрузка.Сегодня мы рассмотрим обе настройки в BIOS, которые, возможно, потребуется включить, и это будет здорово, если вы последуете нашему руководству.

Мы будем делать это с MSI B550 Tomahawk, которая является платой AMD, и мы также протестировали с Intel z390 Tomahawk, b360 Gaming Arctic и более старым z270 XPower Gaming, и это работает со всеми этими моделями. Кстати, не забывайте быстро следить за нами в социальных сетях, подписываться и звонить, все это хорошее, и если вы попробовали собственное обновление или у вас есть вопросы, оставьте свои комментарии ниже.

Таким образом, это можно быстро и легко сделать в BIOS, выполнив несколько шагов, а также дать вам несколько советов по устранению неполадок, когда вы будете готовы установить Windows 11. Если вы делаете это сейчас, используйте другое устройство, например ноутбук. или телефон с этим видео сделает эту прогулку приятной и легкой.

Зачем нужно включать безопасную загрузку?

Итак, зачем Windows 11 эта дополнительная безопасность? Быстро, безопасная загрузка является частью UEFI, нового интерфейса между BIOS и ОС.Безопасная загрузка защищает от заражения вредоносными программами, в том числе загрузчиками. Более старый тип — CSM, поэтому сначала мы изменим интерфейс ОС на UEFI.

Trusted Platform Module или TPM — это встроенные микросхемы на большинстве материнских плат и ноутбуков корпоративного уровня, обеспечивающие безопасность оборудования с помощью ключей. Если вы купили компьютер после 2016 года, он должен иметь TPM 2.0, но если он старше, он может иметь TPM 1.2 или, возможно, вообще не иметь TPM.

Перед тем, как включить безопасную загрузку, установите UEFI

Итак, нажав «Удалить», чтобы войти в BIOS, мы перейдем в расширенный режим, нажав F7.В разделе «Настройки» выберите «Дополнительно», затем «Конфигурация ОС Windows». Убедитесь, что в BIOS установлен режим UEFI. Если это не так, вам нужно сначала изменить его на UEFI, затем нажать F10, чтобы сохранить и выйти. В немного более старых версиях BIOS это может быть указано как поддержка WHQL для Windows 10, а на более старых платах может быть строка поддержки WHQL для Windows 8.1 / 10, которую мы включим.

На этом этапе важно нажать F10, чтобы сохранить и перезапустить, и нажать «Удалить», чтобы вернуться в BIOS. Если вы попытаетесь установить ключи безопасной загрузки до того, как это сделать, в конце появится диалоговое окно «Сброс без сохранения», что поставит вас в петлю, когда в ОС Windows 10 по-прежнему выбран CSM, и это заблокирует включение безопасной загрузки.Так что сначала сохраните и перезапустите.

Кроме того, когда вы меняете CSM на UEFI, ваш компьютер может несколько раз перезагрузиться или несколько раз подать звуковой сигнал, но не POST. Если вы ждете 30 секунд, и на экране ничего не происходит, просто выключите источник питания, подождите 10 секунд, снова включите его, нажмите кнопку питания и снова нажмите «Удалить». Кстати, если вы пропустите нажатие «Удалить» и войдете в Windows, удерживая Alt и пару раз нажав F4, вы увидите окно «Завершение работы», нажмите стрелку вниз, чтобы выбрать перезапуск, нажмите «Ввод» и снова нажмите «Удалить», чтобы войти в BIOS.

Установите заводские ключи и включите безопасную загрузку

Теперь мы перезапустились с использованием UEFI, мы перейдем в Настройки… Дополнительно… Конфигурация ОС Windows, затем в Безопасную загрузку и нажмем Enter, и сначала мы установим ключи. Перейдя в режим безопасной загрузки, мы изменим режим со стандартного на пользовательский, после чего приведенные ниже параметры станут активными. Мы выберем Enroll all Factory Default Keys. Первый диалог подтверждает установку заводских ключей по умолчанию, а второй запросит сброс без сохранения. Вы можете нажать «Нет», но вам может потребоваться «Сохранить» и выйти, если у вас возникнут проблемы с выполнением следующего шага.

Теперь, когда ключи установлены, мы можем выбрать Secure Boot и выбрать Enabled.

Включите TPM и посмотрите статус BIOS

Нажав несколько раз клавишу Escape, мы вернемся в главное меню настроек, и теперь мы выберем «Безопасность…», а затем «Надежные вычисления», а затем поставим «Поддержка устройств безопасности» на «Включено» . Мы не увидим обновления в информации о статусе, пока не нажмем F10, чтобы сохранить конфигурацию и выйти, что мы и сделаем сейчас.

Если вы хотите проверить, что вы сделали, чтобы увидеть новую информацию о состоянии, нажмите «Удалить» в BIOS и вернитесь в «Настройки… Безопасность… Надежные вычисления», вы должны увидеть информацию о состоянии со списком TPM 2.0 как активный.

Проверка Windows: Включить безопасную загрузку сработало?

Мы загрузимся в Windows и сможем проверить, работает ли TPM, нажать на поиск, ввести tpm.msc и нажать Enter. В статусе будет указано готово к использованию, а в среднем столбце, если вы прокрутите вправо, будет указана версия спецификации, равная 2.0.

Так как же узнать, работает ли безопасная загрузка в Windows? Просто нажмите «Поиск», введите «msinfo» и нажмите Enter. В середине списка вы увидите «Состояние безопасной загрузки» с надписью «Вкл.».

Вы можете узнать, готовы ли вы к Windows 11, в поиске или в браузере, выполнив «Обновление до новой ОС Windows 11». Если вы нажмете Ctrl + F, чтобы найти, начните вводить «Загрузить», а затем нажмите «Загрузить приложение». Запустите его, примите, установите и затем Готово. Корпорация Майкрософт работает над этой проверкой работоспособности ПК на момент выпуска, но мы нажали «Проверить сейчас» и получили зеленую галочку.

С включенной безопасной загрузкой и TPM вы должны быть готовы к работе с Windows 11. Этот инструмент проверки работоспособности ПК дал ложные отрицательные результаты и действительно ничего не сказал вам, что вам нужно исправить, так что надеемся, что Microsoft скоро выпустит лучшую версию.Не забывайте, что ПК старше 5 лет или ноутбуки без TPM 2.0 могут иметь проблемы при попытке обновления до Windows 11.

Так что это не было слишком сложно, и, надеюсь, это помогло вам быть в безопасности и подготовиться, и если вы думаете, Что касается материнской платы AMD или другой материнской платы, переход по нашим партнерским ссылкам ниже в магазин поможет нам без каких-либо дополнительных затрат для вас. И подписывайтесь на нас в Twitter, Instagram и Facebook на techspinreview, и у нас есть сообщения на techspinreview.com.

Нужна MSI B550 Tomahawk или другая материнская плата? Перейдите по нашим партнерским ссылкам для:
AmazonUS: https: // amzn.to / 3zJTrXO AmazonUK: https://amzn.to/2WosOJn
AmazonCA: https://amzn.to/3iYGClo AmazonIN: https://amzn.to/3x9cwRo

У нас есть технические обзоры на канале, поэтому обязательно проверьте и их, и спасибо Noctua за то, что они были нашим спонсором этого выпуска, с обширной линейкой вентиляторов с высоким статическим давлением, идеально подходящих для охлаждения вашей установки, проверьте их по ссылкам выше.

Нам интересно услышать то, что вы хотите увидеть в рецензии, дайте нам знать, и мы постараемся это сделать. И оставьте свои лучшие вступительные строки эпизода, и мы можем просто выбрать вашу в следующий раз.Пожалуйста, найдите секунду, чтобы посетить наше видео на YouTube, нажать «Мне нравится», подписаться и сообщить нам, как мы можем улучшить. Мы читаем и отвечаем на множество комментариев, поэтому, если у вас есть вопросы или мы что-то упустили, сообщите нам об этом ниже. Мы очень ценим ваше время и увидимся в следующий раз. А сейчас до свидания!

Посмотреть другие обзоры продуктов MSI, материнских плат / процессоров, корпусов ПК

Как включить TPM и безопасную загрузку в Windows 10

Одно из преимуществ, о котором Microsoft постоянно говорит в Windows 11, — это безопасность.Microsoft утверждает, что благодаря TPM 2.0 и безопасной загрузке вы можете воспользоваться «безопасностью, подкрепленной аппаратным корнем доверия». Это также одна из причин спорных минимальных требований к оборудованию для Windows 11 от Microsoft.

К сожалению, минимальные требования к оборудованию также оставляют ПК с процессорами Intel 7-го поколения или AMD Ryzen серии 1000 или более ранними в пыли и неспособны работать с Windows 11. Но это не значит, что у вас не может быть хорошей безопасности в Windows 10.

Ваш компьютер, скорее всего, уже имеет TPM и безопасную загрузку, которые могут защитить вас от хакеров и других угроз безопасности.Вот почему мы составили это руководство о том, как вы можете включить функции в Windows 10, чтобы обеспечить безопасность вашего ПК.

Примечание о TPM и безопасной загрузке

Перед тем, как перейти к нашим практическим рекомендациям, мы расскажем немного больше о TPM и безопасной загрузке. TPM — это сокращение от Trusted Platform Module. Между тем, безопасная загрузка гарантирует, что ваш компьютер загружает только надежные операционные системы.

TPM — это, по сути, микросхема на материнской плате вашего компьютера, которая хранит информацию о безопасности на вашем ПК, чтобы помочь сделать его защищенным от несанкционированного доступа. TPM хранит криптографические ключи, биометрические данные и может обеспечивать целостность системы, измеряя и записывая загрузочный код при включении компьютера. TPM существует с эпохи Windows 7 и немного эволюционировал с разными версиями. TPM 2.0 — это то, что требуется для Windows 11, но на других компьютерах может быть TPM 1.2, который обрабатывает некоторые из тех же мер безопасности, которые мы только что описали.

Что касается безопасной загрузки, это функция, которая помогает убедиться, что ваше устройство будет загружаться только с использованием программного обеспечения, которому доверяет производитель вашего ноутбука.Это делает так, чтобы ваш компьютер не загружался с USB-устройств, на которых установлены ненадежные операционные системы. Эта функция часто отключается, когда люди загружают несколько операционных систем, но лучше оставить ее включенной, если вы используете только Windows.

Безопасная загрузка

Во-первых, мы начинаем с безопасной загрузки. Вы можете проверить, включена ли на вашем компьютере безопасная загрузка, перейдя в меню «Пуск» и набрав msinfo32 , а затем нажав клавишу ВВОД.Откроется страница с информацией о системе, поэтому нажмите Сводная информация о системе слева. Оттуда посмотрите в среднюю правую часть экрана. Если Secure Boot State читает Off , то безопасная загрузка доступна, но отключена.

Чтобы включить безопасную загрузку, вам нужно зайти в настройки UEFI ПК. Имейте в виду, что современные ПК имеют настройки UEFI вместо BIOS, но мы говорим здесь о UEFI, чтобы упростить задачу. Ваши действия также могут отличаться в зависимости от производителя ПК, поэтому не забудьте проверить в Интернете на веб-сайте производителя вашего ПК инструкции по поддержке.Ознакомьтесь с нашими шагами ниже для получения инструкций по доступу к BIOS или UEFI из Windows 10.

1. В настройках Windows 10 перейдите по ссылке Update and Security, , затем Recovery , затем Advanced Startup.
2. Нажмите Перезагрузить сейчас .
3. Когда компьютер перезагрузится, перейдите к Устранение неполадок , затем выберите Дополнительные параметры , а затем Настройки прошивки UEFI.
4. Теперь вы попадете в настройки UEFI вашего ПК.Вам нужно будет найти настройку безопасной загрузки. Обычно он находится под Security или Boot or Authentication .
5. Включите безопасную загрузку, сохраните и примените настройки с помощью указанной комбинации клавиш.
6. Перезагрузите компьютер.

После изменения настройки вы можете вернуться в Windows 10 и дважды проверить, включена ли безопасная загрузка. Следуйте нашим инструкциям во введении к этому разделу, чтобы перепроверить. Если безопасная загрузка по-прежнему не включена, вы можете посетить страницы поддержки производителя вашего ПК для получения помощи.

TPM

Теперь о второй части. Вы можете проверить, есть ли на вашем компьютере TPM, выполнив поиск Windows Security в меню «Пуск». В результатах щелкните приложение безопасности Windows. На боковой панели открывшегося приложения щелкните Device Security . Затем вы можете найти в списке Security Processor . Если вы видите зеленую галочку над процессором безопасности , то все готово. Если нет, следуйте нашим инструкциям ниже.

1. Перезагрузите компьютер
2. Войдите в настройки UEFI, выполнив действия, описанные в разделе «Безопасная загрузка» выше.
3. Посмотрите раздел о безопасности
4. Найдите TPM Security или TPM Device и убедитесь, что оно включено или включено. Если он отключен, снова включите его.
5. Сохраните и примените настройки с помощью указанной комбинации клавиш
6. Выйдите и перезагрузите компьютер

Ранее мы говорили о TPM 2.0 и всех его требованиях в отдельном посте. Так что, если вы все еще в замешательстве, прочтите это. Мы рассмотрели множество способов включить TPM 2.0 на вашем устройстве. Также имейте в виду, что Windows иногда может выдавать ложные срабатывания TPM.TPM 1.2 существует на некоторых старых компьютерах, но Microsoft требует TPM 2.0. Если вы включили TPM, но по-прежнему не можете получить Windows 11, то вот почему.

Центр обеспечения безопасности Windows

Наряду с TPM и безопасной загрузкой вы можете также проверить Центр безопасности Windows в Windows 10. Этот центр предлагает некоторые встроенные средства защиты. Это бесплатно, и вам не нужно доплачивать или подписываться на него.

Некоторые исследователи даже обнаружили, что Windows Security Center предлагает очень хорошую защиту от вредоносных программ, шпионского ПО и других угроз безопасности.Он не так хорош, как некоторые сторонние варианты, но достаточно силен для самых основных угроз.

Центр обеспечения безопасности Windows можно получить в Windows 10, выполнив поиск в меню «Пуск». В открытом состоянии вы можете проверить под Защита от вирусов и угроз , чтобы увидеть любые угрозы или запустить сканирование. Microsoft всегда обновляет аналитику безопасности в Центре безопасности Windows, чтобы вы были защищены от новейших угроз. Вы также сможете включить защиту в реальном времени, чтобы загруженное вредоносное ПО не запускалось, и облачную защиту, чтобы обеспечить более быструю защиту.Вы даже можете включить контролируемый доступ к папкам, чтобы убедиться, что в случае взлома вашего компьютера программой-вымогателем важные папки не будут доступны для самой программы-вымогателя.

Все еще безопасно, даже если вы не можете установить Windows 11

Если вы не можете перейти на Windows 11, не о чем беспокоиться. Хотя Windows 11 разработана для самой безопасной на сегодняшний день Windows, Windows 10 по-прежнему остается очень безопасной операционной системой для дальнейшего использования. Microsoft будет поддерживать его до 2025 года. И даже с безопасной загрузкой и базовым TPM 1.2, ваш компьютер по-прежнему считается безопасным, если у вас включен антивирус или Защитник Windows.

Поделиться этим сообщением:

Управление загрузчиками EFI для Linux: работа с безопасной загрузкой

Первоначально написано: 04.11.2012; последнее обновление: 3/11/2021

Эта веб-страница предоставляется бесплатно и не раздражает внешняя реклама; однако я потратил время на его подготовку, а веб-хостинг стоят денег.Если вы найдете эту веб-страницу полезной, рассмотрите возможность создания небольшое пожертвование, чтобы помочь этому сайту работать. Спасибо!

Эта страница является частью моего раздела Управление загрузчиками EFI для Linux. Если поиск в Интернете привел вас на эту страницу, вы может захотеть начать с самого начала.

Помимо реализации нового протокола загрузки, UEFI добавляет новую функцию, которая может повысить безопасность системы, но которая также может вызвать большую путаницу и проблемы: Secure Boot. Как следует из названия, безопасная загрузка предназначена для обеспечения безопасности. Однако по самой своей природе безопасная загрузка также может затруднить загрузку Linux, особенно на обычных ПК, которые поставляются с предустановленной Windows. На этой странице представлен обзор того, что такое безопасная загрузка и как на нее реагирует сообщество Linux.Хотя безопасная загрузка развивается медленнее, чем в конце 2012 года, когда я впервые написал эту страницу, это все еще динамичная область. Другими словами, все могло измениться!

Что такое безопасная загрузка?

На протяжении десятилетий компьютеры заражались вирусами, червями и другими вредоносными программами. Некоторые из самых ранних вирусов для ПК распространялись как вирусы загрузочного сектора : Они находились в виде кода в загрузочных секторах дискет и распространялись с одного компьютера на другой, когда пользователи загружали свои компьютеры с зараженных дискет DOS.Хотя другие способы передачи вирусов приобрели известность по мере того, как дискеты стали менее важными, а подключение к Интернету стало обычным явлением, предзагрузочные вредоносные программы всегда привлекали авторов вредоносных программ. Выполняясь до того, как ядро ​​ОС получит контроль над компьютером, вредоносная программа может «спрятаться» способами, которые невозможны после того, как ОС взяла на себя управление, что делает практически невозможным для антивирусных сканеров обнаружение вредоносного ПО — по крайней мере, без перезагрузка в незараженную систему экстренной помощи.

BIOS обеспечивает небольшую защиту от заражения предзагрузочным вредоносным ПО; в пути загрузки BIOS ОС неявно доверяет всему, что выполняется в качестве загрузчика.До конца 2012 года это относилось и к большинству производственных реализаций EFI. Безопасная загрузка, тем не менее, предназначена для добавления уровня защиты к процессу предварительной загрузки. При активной безопасной загрузке микропрограммное обеспечение проверяет наличие криптографической подписи в любой программе EFI, которую она выполняет. Если криптографическая подпись отсутствует, не соответствует ключу, хранящемуся в NVRAM компьютера, или занесена в черный список в NVRAM, микропрограмма отказывается выполнять программу. Конечно, это просто начало процесса; доверенный загрузчик EFI должен продолжить процесс загрузки безопасным образом, что в конечном итоге приведет к созданию безопасной операционной системы.Автору вредоносного ПО потребуется подписать вредоносное ПО, что будет затруднительно, если пользователи будут контролировать свои собственные системные ключи (безопасным способом!). Таким образом, можно заблокировать предзагрузочную вредоносную программу. Есть много способов, чтобы что-то пошло не так на более высоких уровнях цепочки, но безопасная загрузка, по крайней мере, обеспечивает основу для защиты компьютера в целом — по крайней мере, теоретически!

Описание безопасной загрузки в спецификации UEFI не предоставляет никакого механизма для создания сети доверия для ее ключей. Основываясь только на спецификации UEFI, можно было подумать, что безопасная загрузка будет реализована для каждого сайта; администраторы сайта могут подписывать загрузчики , которые они используют, , тем самым блокируя авторов вредоносных программ.Однако Microsoft включила в свою программу сертификации Windows 8 для настольных и портативных компьютеров требование, согласно которому поставщики поставляют компьютеры с включенной безопасной загрузкой. На практике это означает, что поставщики должны включать ключи Microsoft на свои компьютеры, и, если поставщики не включают другие ключи, будут работать только загрузчики, подписанные Microsoft.

К счастью, все не так плохо, как может показаться. Microsoft сотрудничает с Verisign для управления подписью загрузчика. Любой может заплатить 99 долларов Verisign, чтобы получить средства для подписи неограниченного числа двоичных файлов с помощью ключа Microsoft — или, точнее, ключа, который Microsoft использует для подписи сторонних двоичных файлов.(Microsoft использует другой ключ для подписи своих двоичных файлов.) Кроме того, для Windows 8 Microsoft требовала, чтобы компьютеры x 86 и x 86-64 предоставляли средства для полного отключения безопасной загрузки, давая пользователям контроль над процессом. (Пользователям ARM не так повезло; Microsoft требует, чтобы безопасную загрузку можно было отключить , а не в системах ARM с логотипом Windows 8.) Для Windows 10 Microsoft опустила это требование до статуса предложения; но насколько мне известно, все производители продолжают разрешать пользователям отключать безопасную загрузку на своих компьютерах x 86-64.Для тех, кому интересно, эта страница ALT Linux описывает процесс подписания двоичного файла Microsoft в мучительных подробностях.

Первоначальное публичное обсуждение этих вопросов было инициировано публикацией в блоге Мэтью Дж. Гарретта, в то время разработчика Red Hat, в сентябре 2011 года. Большая часть первоначального обсуждения на веб-форумах и других общественных местах было откровенно паническим, и даже год спустя я видел редкие перегруженные посты. К началу 2015 года истерия утихла и сменилась комбинацией разочарования, когда пользователи сталкиваются с проблемами, и реальных знаний об обходных путях и даже способах использования безопасной загрузки для собственной выгоды.Как описано на этой странице, есть как минимум три способа справиться с безопасной загрузкой: отключить ее, использовать предварительно подписанный загрузчик или использовать свои собственные ключи. (Последний из этих вариантов достаточно сложен, поэтому я посвящаю этой теме целую страницу, Управление безопасной загрузкой, а не просто упоминаю об этом на этой странице.)

Отключение безопасной загрузки

Если вы не уверены, что безопасная загрузка улучшит безопасность вашей системы, или если она просто вызывает у вас слишком много проблем, вы можете полностью отключить эту функцию.Учитывая тот факт, что большинство вредоносных программ нацелено на Windows, этот подход наиболее разумен для компьютеров, на которых не работает Windows. Для этого вам должно быть комфортно перемещаться по экранам настройки вашей прошивки. К сожалению, нет стандартизации в том, где могут быть расположены параметры безопасной загрузки или как они могут называться; поэтому я не могу предоставить процедуру, которая будет работать на каждом компьютере. Вместо этого я описываю варианты на нескольких принадлежащих мне компьютерах, которые поддерживают безопасную загрузку: материнская плата ASRock FM2A88M Extreme4 +, материнская плата ASUS P8H77-I, мини-настольный компьютер HP EliteDesk 705, мини-настольный компьютер Intel NUC DC53427, Lenovo IdeaPad. Портативный компьютер U530 Touch, материнская плата MSI A88X-G43 и портативный компьютер Samsung Notebook 7 Spin.Я представляю здесь подробности всех этих систем в надежде, что одна из них будет достаточно похожа на все, с чем вы сталкиваетесь, чтобы быть полезной. Большинство этих инструментов работают аналогичным образом, несмотря на значительные различия в их графике — вы находите меню (обычно называемое «Загрузка» или «Безопасность»), в котором существует опция для включения или отключения безопасной загрузки, и отключаете ее. Иногда, тем не менее, иногда необходимо установить другой параметр, прежде чем это можно будет сделать; а иногда имена достаточно различаются, чтобы создать путаницу.

Отключение безопасной загрузки на материнской плате ASRock FM2A88M Extreme4 +

Первым шагом к отключению безопасной загрузки на любом компьютере является обнаружение того, как войти в служебную программу настройки микропрограммы.Эта материнская плата, в отличие от некоторых, предлагает при загрузке приглашение нажать F11 для этого, после чего вас приветствует красочный главный экран настройки. Используя клавиатуру или мышь, вы должны выбрать вкладку Безопасность, после чего появится экран, показанный здесь:

Чтобы отключить безопасную загрузку, нажмите кнопку «Включено» в центре экрана. После этого вы сможете выбрать «Включено» или «Отключено»; выберите последнее. Как только это будет сделано, выберите вкладку «Выход» и выберите вариант выхода с сохранением изменений.

Отключение безопасной загрузки на материнской плате ASUS P8H77-I

Материнская плата ASUS P8H77-I позволяет войти в программу настройки, нажав Del или F2 во время запуска. По умолчанию материнская плата загружается в так называемом режиме EZ, , но чтобы отключить безопасную загрузку, вы должны сначала нажать F7, чтобы войти в расширенный режим (если, конечно, вы уже не изменили это значение по умолчанию). После этого вы можете щелкнуть вкладку Boot и затем прокрутить вниз примерно до середины списка параметров (который, вероятно, будет прокручиваться — обратите внимание на полосу прокрутки на снимке экрана), где вы увидите элемент под названием Secure Загрузите, , как показано ниже.(Ранние версии микропрограммы этой модели называли ее Security Boot Parameters .)

Выбор опции Secure Boot открывает другое меню, в котором вы выбираете OS Type — ASUS, кажется, думает, что безопасная загрузка — это функция только для Windows, поэтому безопасная загрузка включена, когда OS Type установлен на Режим Windows UEFI и отключен, когда он установлен на Другая ОС. (более ранние версии этой прошивки использовали Other Legacy и UEFI для отключения безопасной загрузки.)

После внесения изменений нажмите клавишу F10, чтобы сохранить их и перезагрузиться.

Отключение безопасной загрузки на настольном мини-компьютере Hewlett-Packard EliteDesk 705

HP EliteDesk 705 имеет одну из наиболее необычных систем конфигурации безопасной загрузки, которые я когда-либо видел, хотя я слышал о некоторых, более причудливых, по крайней мере, в их пользовательских интерфейсах. Для начала вы нажимаете клавишу Esc при включении или перезагрузке, чтобы отобразить меню запуска HP , , как показано здесь:

В этом меню нажатие клавиши F10 приводит к входу в служебную программу настройки компьютера, имеющую текстовый «графический интерфейс», которым вы управляете с помощью клавиш курсора.В этом меню выберите Security -> Secure Boot Configuration, , после чего появится следующий экран:

Как и следовало ожидать, вам следует найти параметр Secure Boot в поле Secure Boot Configuration и установить для него значение Disabled. На этом этапе вы должны нажать клавишу F10, чтобы принять ваши изменения! Если вы нажмете клавишу Esc, ваши изменения будут проигнорированы. Затем необходимо выбрать Файл -> Сохранить изменения и выйти из , чтобы применить новые настройки.Каждый раз, когда вы вносите изменения в конфигурацию безопасной загрузки, HP создает еще одно препятствие: при перезагрузке системы она запрашивает подтверждение, как показано здесь:

В этом примере вы должны ввести 8023, а затем нажать клавишу Enter; код отображается вам на экране.

Отключение безопасной загрузки на настольном мини-компьютере Intel NUC DC53427HYE

Intel NUC DC53427HYE использует клавишу F2 в качестве сигнала для входа в служебную программу настройки. Как и многие современные компьютеры, эта программа настройки представляет собой красочный графический интерфейс (или, по крайней мере, может быть; она также поддерживает более традиционный вариант «Классического режима»).Главный экран графического интерфейса пользователя выглядит так:

В этом главном меню необходимо выбрать Advanced Setup -> Boot, , затем щелкнуть вкладку Secure Boot . В результате дисплей выглядит так:

В графическом интерфейсе встроенного ПО NUC используется флажок для включения или отключения безопасной загрузки; вы должны снять отметку с опции Secure Boot , чтобы отключить ее. После этого рядом с флажком появится красная звездочка, означающая несохраненное изменение конфигурации.Когда вы нажимаете Exit, прошивка спросит, хотите ли вы сохранить изменения; вы должны ответить Да (Y) .

Отключение безопасной загрузки на ноутбуке Lenovo IdeaPad U530 Touch

Lenovo U530 имеет пользовательский интерфейс микропрограммы, который больше напоминает традиционную утилиту настройки BIOS, чем интерфейсы других компьютеров, описанных здесь. Чтобы войти в него, вы можете нажать клавишу Fn + F2 во время загрузки компьютера. После входа в служебную программу настройки используйте клавишу со стрелкой вправо, чтобы выбрать вкладку «Безопасность».Результат выглядит так:

Параметр «Безопасная загрузка» четко обозначен, и его легко изменить с «Включено» на «Отключено» с помощью стрелок и клавиш Enter. Когда вы закончите, нажмите Fn + F10, чтобы сохранить изменения и выйти.

Отключение безопасной загрузки на материнской плате MSI A88X-G43

Чтобы войти в утилиту настройки прошивки в MSI A88X-G43, вы нажимаете клавишу Delete во время запуска системы. В результате получился необычно яркий инструмент. С помощью клавиатуры или мыши выберите большой элемент Настройки в левой части экрана.Это дает серию меню в центре. В этих меню выберите Advanced -> Конфигурация Windows 8 / 8.1 -> Secure Boot -> Secure Boot Support. Итоговый экран выглядит так:

Когда вы выбираете опцию Secure Boot Support , вы можете установить для нее значение Enabled or Disabled. Как только вы это сделаете, используйте клавишу Esc для выхода из меню в верхнее меню Настройки , из которого вы можете выбрать Сохранить и выйти, , который, в свою очередь, представляет различные варианты выхода.Вы должны выбрать вариант сохранения изменений и перезагрузки.

Отключение безопасной загрузки на ноутбуке Samsung Notebook 7 Spin (740U5M-X01)

Ноутбук Samsung Notebook 7 Spin (он же Samsung 740U5M-X01) имеет систему настройки прошивки, которая напоминает сенсорный пользовательский интерфейс Windows 8 и более поздних версий. По этому пользовательскому интерфейсу лучше всего перемещаться через сенсорный экран компьютера или с помощью более традиционной сенсорной панели или мыши, которую вы подключаете к USB-порту. Работа с клавиатурой возможна, но меня это сбивает с толку.

С логической точки зрения отключение безопасной загрузки в этой модели во многом похоже на выполнение этой работы на любом другом компьютере — выберите меню загрузки (в левой части экрана), чтобы открыть параметры, в том числе один под названием «Управление безопасной загрузкой». Как только вы отключите эту опцию, появится новая строка опций, Выбор режима ОС. Вы можете выбрать CSM OS, UEFI OS или CSM и UEFI OS. Как правило, я рекомендую использовать ОС UEFI, так как этот параметр должен отключить CSM, который является способом загрузки ОС в режиме BIOS.(См. Мою страницу в CSM для получения подробной информации по этому вопросу.) Вопреки тому, что вы могли подумать, установка CSM OS приводит к полной блокировке загрузчиков режима EFI , а не ; Я все еще мог загружать ОС в режиме EFI с этим набором параметров. Предположительно, этот параметр регулирует предпочтение загрузчиков режима BIOS по сравнению с вариантом ОС CSM и UEFI, но я не изучал этот вопрос подробно.

После того, как вы отключили безопасную загрузку таким образом, выберите «Сохранить» в полосе параметров в правой части экрана.Компьютер запросит подтверждение. Как только вы его дадите, компьютер перезагрузится.

Последние мысли об отключении безопасной загрузки

Конечно, если у вас нет одного из этих конкретных компьютеров или компьютера с почти идентичной реализацией UEFI, скорее всего, вы не увидите меню, точно подобных тем, которые я только что описал. К счастью, большинство из них довольно просты, как эти. Несколько пугающих предупреждений на красном фоне появляются при попытке отключить безопасную загрузку.Я видел отчеты людей, которым не удавалось найти параметры безопасной загрузки, но я не знаю, было ли это из-за того, что их компьютеры особенно хорошо их скрывали, или потому, что они действительно отсутствовали. Обратите внимание, что параметры иногда не отображаются, пока вы не настроите другие параметры определенным образом. Плата ASUS должна войти в режим Advanced Mode — один из примеров этого. Суть в том, что вам, возможно, придется покопаться в нескольких меню и попробовать связанные параметры, чтобы найти параметры безопасной загрузки.

Большинство дистрибутивов Linux устанавливаются нормально с активной безопасной загрузкой.Сценарии, в которых наиболее целесообразно отключить безопасную загрузку, включают следующие:

• Вы используете меньший дистрибутив, которому не хватает средств для подписания собственной версии Shim или который философски против этого. Вы по-прежнему можете использовать безопасную загрузку с такими дистрибутивами, но вам нужно будет установить Shim или PreLoader или изменить стандартный набор ключей материнской платы; и вам может потребоваться подписать загрузчик и ядра.
• Вы хотите использовать несколько дистрибутивов в режиме мультизагрузки.В такой ситуации вам нужно либо использовать встроенный диспетчер загрузки вашей прошивки, чтобы переключить используемую оболочку Shim и загрузчик, либо установить ключи, связанные по крайней мере с одним из ваших дистрибутивов — оба неудобства.
• Реализация безопасной загрузки вашего компьютера просто не работает с оболочкой Shim или другим подписанным загрузчиком, поставляемым с вашим дистрибутивом. Это вызывает сбой безопасной загрузки, который может проявляться как загрузка прямо в Windows, сообщение об ошибке или даже зависание системы до появления загрузчика.Эту проблему часто можно обойти, переключившись на другую программу Shim, но это требует дополнительных усилий и может потребовать регистрации нового ключа.
• Вам необходимо установить инструменты, которые вы впоследствии подпишете или зарегистрируете, как описано в следующих разделах. В этом случае отключение безопасной загрузки является временным.

Использование подписанного загрузчика

Использование загрузчика, подписанного ключом Microsoft, — самый простой и наиболее прямой подход к загрузке с активной безопасной загрузкой; однако это также наиболее ограничивающий подход.В зависимости от того, какой подписанный загрузчик вы используете, вам придется иметь дело с подтверждением времени загрузки всякий раз, когда вы пытаетесь загрузить неподписанный загрузчик или ограничиваться в том, какие ОС и ядра вы можете загружать. По состоянию на начало 2021 года мне известны два подписанных загрузчика, предназначенных для использования с Linux: программа Fedora Shim (которая также используется Ubuntu, SUSE, Sabayon, ALT и другие) и PreLoader Linux Foundation. На момент написания статьи доступно несколько подписанных версий Shim, а также, по крайней мере, одна подписанная версия PreLoader.Я также описываю, как проверить подписанную подпись загрузчика, чтобы убедиться, что это именно то, что вы думаете.

PreLoader работает, вычисляя хэш последующего двоичного файла и проверяя, хранится ли этот хеш в базе данных, хранящейся в NVRAM. Shim, напротив, изначально работал, проверяя, был ли двоичный файл подписан криптографическим ключом; но последние версии поддерживают как этот метод, так и те же типы хэшей, которые использует PreLoader. Таким образом, Shim — более гибкий инструмент. Он также более доступен в обновленных и подписанных формах.Использование хэшей может быть полезным, если вы хотите запускать двоичные файлы, которые еще не были подписаны (например, те, которые вы компилируете самостоятельно, или те, которые предоставлены сопровождающим дистрибутива, который не подписывает свои двоичные файлы). С другой стороны, использование хешей требует, чтобы вы регистрировали хеш каждого неподписанного двоичного файла, который вы хотите запустить, потенциально включая каждое ядро ​​и модуль ядра. Это может быть проблемой, и именно здесь двоичные файлы, подписанные ключами, становятся лучше, поскольку вам придется регистрировать каждый ключ не более одного раза.Поскольку Shim более гибок и более доступен в текущей подписанной форме, Shim обычно является предпочтительной программой.

Использование программы регулировочных прокладок

В идеале Shim прост в использовании, и в этом случае вам нужно только прочитать раздел «Начальная настройка Shim» — и вы даже можете игнорировать части этого раздела. Однако, если у вас есть более сложные потребности или вы столкнетесь с проблемами, вам может потребоваться знать, как подписывать свои собственные двоичные файлы и проверять свои или чужие двоичные файлы.

Первоначальная установка регулировочной шайбы

Чтобы соответствовать целям безопасной загрузки, загрузчик Linux должен обеспечивать аутентификацию ядра Linux, а дистрибутив Linux должен обеспечивать дополнительные меры безопасности в ядрах, которые он предоставляет.К сожалению, эти цели идут вразрез с философией свободы открытого исходного кода и пользовательского контроля над своими компьютерами. Таким образом, решение безопасной загрузки для Linux должно сбалансировать эти две цели. Fedora разработала свою программу Shim именно для этого. Это достигается за счет поддержки трех разных типов ключей (или хэшей в последних версиях):

• Ключи безопасной загрузки —Shim распознает ключи, которые встроены в микропрограммное обеспечение или которые пользователи создают сами (как подробно описано на моей следующей странице, Управление безопасной загрузкой).
• Shim keys —Shim может быть дополнительно скомпилирован со своим собственным встроенным ключом, который принимает ту же форму, что и ключ безопасной загрузки, но не зарегистрирован во встроенном ПО. Поставщик распространения может подписывать свой собственный загрузчик и ядра с помощью этого ключа, что позволяет быстро подписывать эти важные элементы, чтобы не задерживать выпуск обновлений, ожидая, пока Microsoft их подпишет.
• MOK —A Ключ владельца машины (MOK) — это тип ключа, который пользователь создает и использует для подписи двоичного файла EFI.Смысл MOK — дать пользователям возможность запускать локально скомпилированные ядра, загрузчики, не поставляемые разработчиком дистрибутива, и так далее. Самая ранняя версия Shim (0.1) не поддерживала MOK, но они работают с версией 0.2 программы. MOK хранятся в энергонезависимой памяти и могут храниться только в ограниченных условиях, поэтому их нелегко установить вредоносными программами. Конечно, возможность использовать MOK создает определенный риск — если вас обманом заставят зарегистрировать MOK, предоставленный вам автором вредоносного ПО, ваш компьютер станет уязвимым для атак, запущенных этим автором вредоносного ПО.

Весь смысл безопасной загрузки заключается в том, чтобы предотвратить получение вредоносными программами контроля над компьютером. Поэтому при загрузке с активной безопасной загрузкой Fedora 18 и новее, Ubuntu 16.04 и новее и, возможно, другие дистрибутивы ограничивают действия, которые некоторые пользователи Linux воспринимают как должное. Например, модули ядра Linux должны быть подписаны, что затрудняет использование сторонних драйверов ядра, таких как проприетарные видеодрайверы Nvidia и AMD / ATI. Более свежие ядра могут, если безопасная загрузка активна, также проверять, были ли они запущены из загрузчика, поддерживающего безопасную загрузку, и завершать работу, если это не так.(Эта проверка может предотвратить использование ELILO, SYSLINUX или других загрузчиков, которые не поддерживают безопасную загрузку, даже если сам загрузчик подписан.) Чтобы запустить локально скомпилированное ядро, вы должны подписать его с помощью MOK и зарегистрируйте этот MOK в системе. (В обоих случаях вы можете зарегистрировать хэш, а не подписывать двоичный файл; но этот подход приводит к постоянно растущей базе данных в NVRAM, что нежелательно.) Степень таких ограничений полностью зависит от тех, кто разрабатывает и подписывает загрузку. загрузчик, запускаемый Shim, и ядро, запущенное этим загрузчиком.Некоторые дистрибутивы поставляют ядра, которые относительно не обременены дополнительными ограничениями безопасности.

На практике, если вы хотите использовать Shim, у вас есть два варианта: вы можете запустить дистрибутив, который предоставляет собственную подписанную версию Shim, например Fedora 18 или новее или Ubuntu 12.10 или новее; или вы можете запустить подписанную версию из такого дистрибутива или из другого источника, добавить свой собственный MOK и подписать любые двоичные файлы, которые вам нравятся. Этот первый вариант довольно прост, если вы хотите использовать дистрибутив, поставляемый с Shim, и он не требует дополнительной доработки.В идеале это будет просто работать. В противном случае это может указывать на ошибку в оболочке Shim или в вашей реализации UEFI. В таком случае отключение безопасной загрузки может быть вашим лучшим выбором, по крайней мере, в краткосрочной перспективе, когда вы исследуете причину проблемы.

Если вы используете двойную загрузку с несколькими дистрибутивами Linux или если вы хотите использовать дистрибутив, который не предоставляет предварительно подписанную прокладку, вам придется перепрыгнуть через несколько дополнительных обручей:

1. Загрузите компьютер. Это может быть проблемой само по себе.Вы можете необходимо использовать аварийный диск Linux с поддержкой безопасной загрузки, временно отключите безопасную загрузку, загрузитесь с помощью Linux Foundation PreLoader, либо делать работу из Windows. (Диск Ubuntu на помощь режим может работать для первого из этих вариантов.)
2. Установленная оболочка Shim может запускать загрузчики и проверять ядра. включены в дистрибутив, из которого вы его получили. Другой ботинок загрузчики и ядра делятся на две категории, каждая из которых требует своей предварительной подготовки:
3. Установите Shim, если он еще не установлен.Обработайте shim.efi или shimx64.efi, как и любой другой загрузчик, как описано на странице установки загрузчика EFI. (В первые версии Shim называли свои двоичные файлы shim.efi, но для несколько лет назад shimx64.efi было более распространенным именем на x 86-64 систем.)
4. Вместе с Shim установите MokManager. Эта программа должна идти с Shim, и должен находиться под именем MokManager.efi (для очень старых версии) или mmx64.efi (или вариант для отличных от x 86-64 системы; имя, используемое в последних версиях), в том же каталоге, что и Бинарная прокладка.Как следует из названия, эта программа управляет MOK. Я описываю его использование в ближайшее время.
5. При необходимости подпишите последующий загрузчик, как а также любое неподписанное ядро, которое вы хотите запустить. Этот шаг необходимо только в том случае, если последующий загрузчик и ядро ​​еще не подписаны — например, если вы их составили сами.
6. Если дополнительный загрузчик Shim еще не установлен, скопируйте его в имя файла grubx64.efi в том же каталоге, что и shimx64.efi.(Если в вашем двоичном файле Shim отсутствует x64 компонент имени файла, скорее всего, он попытается запустить grub.efi а не grubx64.efi. При необходимости измените имена файлов.) Shim предназначен для запуска GRUB 2, но может запускать другие загрузчики, если они называются grubx64.efi. Примечание, однако большинство старых загрузчиков, таких как ELILO, не соблюдайте настройки безопасной загрузки. rEFInd и gummiboot / systemd-boot предназначены для соблюдения Настройки безопасной загрузки. Обратите внимание, что вам нужно , а не , зарегистрировать последующий загрузчик непосредственно с прошивкой, используя efibootmgr.Такая регистрация может вызвать предупреждения о безопасности. Сбои при загрузке или даже зависания системы на некоторых компьютерах.
7. Если вам нужно использовать MOK, вы можете при желании импортировать их сейчас, используя программа мокутил. Это упростит выполнение MOK после перезагрузки. регистрации, но на этом этапе потребуется немного больше усилий. Увидеть следующий раздел, Использование mokutil, для Детали. Если вы не импортируете MOK с помощью mokutil, обязательно скопируйте их в ESP на этом этапе. Вам нужно будет скопировать файлы, имеют .cer или .der расширения имени файла.
8. Перезагрузка. Если повезет, вы увидите простой пользовательский интерфейс в текстовом режиме. с меткой управления ключами Shim UEFI. Это Программа MokManager, которую Shim запускает при сбое загрузчика. проверка, потому что его ключ еще не зарегистрирован.
9. Нажмите клавишу со стрелкой вниз и нажмите Enter, чтобы выбрать клавишу Enroll из диск. Экран очистится и предложит выбрать ключ, как показано здесь:
   
   
(Ранние версии MokManager использовали более примитивный пользовательский интерфейс с белый и желтый текст на черном фоне.Если это то, что вы видите, некоторые детали будут отличаться, но программа все равно должна работать. Ты можешь хотите найти более свежие программы для лучшего пользовательского интерфейса и другие обновленные функции.)
10. Каждая строка с длинной неловкой строкой представляет диск. раздел. Выберите один, и вы увидите список файлов и каталогов. Продолжайте выбирать подкаталоги, пока не найдете файл открытого ключа. вы получили или создали и скопировали в ESP ранее.
11. Выберите файл открытого ключа.MokManager запросит подтверждение того, что вы хотите зарегистрировать ключ. Обеспечьте это.
12. Выйдите из всех введенных вами каталогов и вернитесь в MokManager. главное меню.
13. Выберите «Продолжить загрузку» в главном меню.

На этом этапе компьютер может загрузиться с ОС по умолчанию, перезагрузиться или возможно даже повесить. Однако при перезагрузке программа загрузки, которую вы установленный под именем grubx64.efi должен запуститься в Secure Режим загрузки. В зависимости от своих возможностей он может загружать любое ядро, которое может загружаться, как если бы безопасная загрузка была отключена, запускать только загрузчики, подписанные ключи безопасной загрузки платформы или запускать программы EFI или ядра, подписанные с обычными ключами безопасной загрузки или собственным MOK.

Последние версии Shim и MokManager поддерживают регистрацию хэшей, а также ключей. Этот процесс работает так же, как только что описанный, но вы должны выбрать вариант для регистрации хэша, а не для регистрации ключа. Затем вы должны выбрать двоичный файл, которому компьютер должен доверять, например двоичный файл grubx64.efi в том же каталоге, что и shimx64.efi и mmx64.efi. Чтобы зарегистрировать хэш ядра, ядро ​​должно находиться в разделе, доступном для чтения EFI. Поскольку файловые системы Linux не являются стандартной частью репертуара EFI, вы должны либо скопировать ядро ​​в ESP, либо использовать драйвер файловой системы EFI, например тот, который поставляется с rEFInd, чтобы предоставить EFI доступ к разделу Linux.Я рекомендую использовать функцию подписи хэшей с осторожностью, если вообще, потому что пространство NVRAM для хранения хэшей и ключей ограничено; вы не хотите использовать все это вместе с хешами для каждого загрузчика, ядра и, возможно, даже модуля ядра, которые вы будете использовать в течение всего срока службы вашего компьютера. Вместо этого используйте его только для загрузчиков или связанных программ, которые вряд ли будут часто меняться. Преимущество использования хэшей, конечно, в том, что вам не нужно подписывать свои двоичные файлы, что может быть проблемой, как описано ниже.

Подпись ваших двоичных файлов

Если вы хотите загрузить ядро, которое вы скомпилировали самостоятельно, или запустить ОС, которая не подписывает свой загрузчик, вам необходимо либо подписать соответствующие двоичные файлы, либо зарегистрировать их хэши.Подписание двоичных файлов предпочтительнее, если вы делаете такие вещи даже удаленно. Чтобы начать этот процесс, вы должны сначала подготовить набор ключей с помощью openssl, как описано ранее. Вам также понадобится пакет sbsigntool, который входит в стандартную комплектацию некоторых дистрибутивов. Если ваш не один из них, вы можете получить двоичные файлы для нескольких дистрибутивов из Службы сборки OpenSUSE или загрузить исходный код с этой страницы.

После установки пакета sbsigntool и создания ключей вы можете подписать двоичный файл с помощью следующей команды:

$ sbsign --key ~ / efitools / MOK.ключ --cert ~ / efitools / MOK.crt \
         --output vmlinuz-signed.efi vmlinuz.efi
предупреждение: раздел, выровненный по файлу .text выходит за пределы конца файла
предупреждение: области контрольной суммы больше, чем размер изображения. Неверная таблица раздела?
 

Этот пример подписывает двоичный файл vmlinuz.efi, расположенный в текущем каталоге, записывая подписанный двоичный файл в vmlinuz-signed.efi. Конечно, вы должны изменить имена двоичных файлов в соответствии с вашими потребностями, а также настроить путь к ключам (MOK.key и MOK.crt).

В этом примере показаны два предупреждения.Я не претендую на полное понимание их, но похоже, что они не приносят никакого вреда — по крайней мере, подписанные мной двоичные файлы ядра Linux, которые выдавали эти предупреждения, работали нормально. (Такие предупреждения кажутся менее распространенными в 2015 году и позже, чем за пару лет до этого.) Другое предупреждение, которое я видел в двоичных файлах, созданных с помощью GNU-EFI, также кажется безобидным:

предупреждение: данные остались [1231832 vs 1357089]: пробелы между секциями PE / COFF?
 

С другой стороны, файл журнала изменений для GNU-EFI указывает, что двоичные файлы, созданные с помощью версий GNU-EFI ранее, чем 3.0q может не загружаться в среде безопасной загрузки при подписании, а подписание таких двоичных файлов приводит к другому предупреждению:

предупреждение: пробел в таблице разделов:
    .text: 0x00000400 - 0x00019c00,
    .reloc: 0x00019c91 - 0x0001a091,
предупреждение: пробел в таблице разделов:
    .reloc: 0x00019c91 - 0x0001a091,
    .data: 0x0001a000 - 0x00035000,
пробелы в таблице разделов могут привести к разным контрольным суммам
 

Если вы видите подобное предупреждение, возможно, вам нужно перекомпилировать двоичный файл, используя более новую версию GNU-EFI.

Если вы используете rEFInd или gummiboot / systemd-boot, вы должны подписать не только двоичный файл диспетчера загрузки, но и запускаемые им двоичные файлы, такие как драйверы файловой системы rEFInd, ядра Linux или двоичные файлы ELILO. Если вы этого не сделаете, вы не сможете запустить загрузчики, которые должен запускать менеджер загрузки. (Отказ подписать драйверы файловой системы EFI означает, что вы не сможете читать свои ядра из файловых систем Linux.) с МОК.Стандартные версии ELILO, SYSLINUX, GRUB Legacy и более старые сборки GRUB 2 не проверяют состояние безопасной загрузки и не используют системные вызовы EFI для загрузки ядер, поэтому даже подписанные версии этих программ будут запускать любое ядро, которое вы им скармливаете. Это противоречит цели безопасной загрузки, по крайней мере, при запуске Linux. Самые последние версии GRUB 2 взаимодействуют с Shim для аутентификации ядер Linux и поэтому откажутся запускать ядро ​​Linux, которое не было подписано, по крайней мере, когда GRUB запускается через Shim.

После того, как вы подписали свои двоичные файлы, вы должны установить их в свой ESP так же, как и неподписанный двоичный файл EFI.Подписанные двоичные файлы должны нормально работать даже в системах, на которых вы отключили безопасную загрузку. Однако обратите внимание, что все, что запускается непосредственно из прошивки (то есть зарегистрировано в efibootmgr или запускается с использованием резервного имени файла), должно быть подписано ключом в прошивке. Загрузчики, подписанные MOK, могут быть запущены непосредственно из Shim или из rEFInd (если rEFInd запускается из Shim).

Кстати, утилита pesign, доступная по адресу git: //github.com/vathpela/pesign.git, является альтернативой sbtools; однако, поскольку efitools написан для использования sbtools, я почти не смотрел на pesign.Тем не менее, вы можете проверить это, если у вас есть проблемы с sbtools.

Проверка загрузчиков

Вы можете использовать подпись безопасной загрузки в двоичном файле EFI для проверки подлинности двоичного файла. Это полезно как для диагностики проблем с загрузкой (поскольку двоичный файл с неправильной подписью не загружается), так и для проверки того, что этот двоичный файл исходит из заявленного источника.

Для проверки двоичного файла вам понадобятся две вещи: файл открытого ключа, соответствующий закрытый ключ, который использовался для подписи двоичного файла; и программа под названием sbverify.Как отмечалось ранее, я предоставляю коллекцию открытых ключей файлы с rEFInd; см. ссылку git репозиторий для доступа к отдельным ключам. Обратите внимание, что для проверки, вам понадобится текстовый файл PEM с расширением .crt расширение, а не файл .cer или .der, необходимый при добавлении ключ к списку МОК. Большинство файлов открытых ключей для безопасной загрузки распространяются в обеих формах, но если у вас есть только файл .cer / .der, его можно преобразовать в форму .crt с помощью openssl, например:

$ openssl x509 -в Fedora-ca.cer -inform der -out fedora-ca.crt 

В этом примере файл fedora-ca.cer преобразуется в fedora-ca.crt, который можно использовать для проверки подлинности подписанных двоичных файлов Fedora.

Программа sbverify доступна в некоторых дистрибутивах, таких как как Ubuntu, как часть пакета sbsigntool. Бинарные файлы OpenSUSE доступны из OpenSUSE Сервис сборки. При необходимости вы можете получить исходный код из различные сайты. Если у вас установлен git, введите git: //kernel.ubuntu.com/jk/sbsigntool, чтобы его вытащить. вниз.

После того, как вы установили sbsigntool, вы можете использовать команду sbverify:

$ sbverify --cert keys / refind.crt refind_x64.efi
Проверка подписи ОК 

В этом примере показана успешная проверка двоичного файла refind_x64.efi по общему ключу keys / refind.crt. Сбои обычно предшествуют сообщениям, описывающим, что пошло не так, часто с использованием технических терминов. Как правило, двоичные файлы либо не подписаны, либо подписаны ключом, отличным от того, публичный аналог которого вы пытались использовать.если вы не уверены, какой ключ использовался для подписи двоичного файла, вы можете найти ключ к разгадке, используя параметр —list для sbverify, например:

$ sbverify --list /boot/efi/EFI/opensuse/grub.efi
подпись 1
эмитенты подписи изображения:
 - / CN = openSUSE Secure Boot CA / C = DE / L = Нюрнберг / O = openSUSE Project/[email protected]
сертификаты подписи изображений:
 - тема: / CN = openSUSE Secure Boot Signkey / C = DE / L = Nuremberg / O = openSUSE Project/[email protected]
   эмитент: / CN = openSUSE Secure Boot CA / C = DE / L = Нюрнберг / O = openSUSE Project / emailAddress = build @ opensuse.org 

Этот пример показывает, что двоичный файл имеет подпись, указывающую, что он связан с OpenSUSE. Конечно, эта информация может вводить в заблуждение, но в этом суть — проверив файл с заведомо исправным открытым ключом, вы можете убедиться, что двоичный файл является легитимным. (Сама по себе операция —list этого не делает; вам нужно использовать —cert для проверки подписи. Параметр —list может просто помочь вам выяснить, какой ключевой файл может соответствовать .) Также обратите внимание на что в некоторых дистрибутивах есть несколько файлов ключей, либо потому, что они используются для разных целей, либо потому, что срок действия одного ключа истек и он был заменен новым.

Использование mokutil

Хотя вы можете использовать MokManager для регистрации MOK из EFI, его использование не интуитивно понятно для менее технически подкованных. Чтобы упростить задачу и разрешить проверку состояния MOK и других баз данных ключей EFI, существует программа mokutil. У этой программы много вариантов, и здесь я рассмотрю лишь некоторые из них; типа man mokutil, чтобы прочитать о них побольше. Эта программа может быть не установлена ​​по умолчанию, поэтому вам может потребоваться установить ее, как правило, из пакета с тем же именем.

Использование mokutil, наиболее подходящее для этой страницы, — это импорт MOK. В этом контексте , импортировавший , относится к хранению MOK в энергонезависимой памяти компьютера вместе с флагом, сообщающим Shim и MokUtil, что MOK присутствует и готов к включению при следующей перезагрузке компьютера. Для этого вы используете опцию -i, чтобы указать на файл .cer / .der, содержащий открытый ключ:

# mokutil -i ключи / centos.cer
введите пароль:
введите пароль еще раз:
 

Обязательно запомните введенный пароль, так как он понадобится вам при перезагрузке.(Впрочем, после этого вам не понадобится этот пароль.) Вы можете проверить текущий импорт, набрав mokutil —list-new, и отменить все текущие импорты, набрав mokutil —revoke-import.

Когда вы перезагружаете компьютер, MokUtil должен появиться, как описано ранее, в Initial Shim Setup; но когда вы нажимаете клавишу для управления своими MOK, в меню появляется новый параметр «Enroll MOK». Выбор этой опции очень похож на выбор MOK с диска; но когда вы утвердите установку, вам нужно будет ввести пароль, который вы ввели при использовании mokutil.

Как отмечалось ранее, mokutil имеет множество опций, которые позволяют ему делать гораздо больше. Некоторые из них включают следующее:

• Вы можете просмотреть подробную информацию обо всех зарегистрированных MOK, передав —list-enrolled программе. Имейте в виду, что один MOK будет генерировать десятки строк вывода, поэтому вам может потребоваться прокрутить много вывода!
• Если вы регистрируете MOK, которые вам больше не нужны, вы можете удалить их с помощью mokutil, передав .cer /.der, связанный с MOK с параметром —delete.
• Введите mokutil —sb-state, чтобы узнать, включена ли безопасная загрузка в данный момент.
• Передайте параметры —pk, —kek, —db или —dbx для просмотра стандартных баз данных безопасной загрузки, так же как —list-enrolled показывает MOK. (Назначение этих четырех баз данных описано на следующей странице, Управление безопасной загрузкой.)
• Вы можете удалить все MOK в системе, передав —reset команде mokutil.

Параметры, которые изменяют содержимое NVRAM, должны быть введены как root или с помощью sudo, и они требуют, чтобы вы вводили пароль.После перезагрузки MokManager запрашивает подтверждение того, что вы хотите выполнить запрошенную операцию. Если вы отказываетесь, о нем забывают; вам придется повторно ввести соответствующую команду mokutil из Linux или выполнить операцию каким-либо другим способом, если позже вы решите, что действительно хотите это сделать.

Использование PreLoader

Решение Linux Foundation для проблемы безопасной загрузки, известное как PreLoader, имеет некоторые существенные сходства с Shim, но также отличается в двух ключевых отношениях:

• По техническим причинам Shim может запускать программу EFI (например, загрузчик ), но эта программа может запускать последующие программы, подписанные Shim / MOK, только в том случае, если загрузчик спроектирован так, чтобы «общаться» с Shim.Это ограничение означает, что вы не сможете запускать программы, подписанные MOK, из оболочки EFI или rEFIt. PreLoader, напротив, был разработан для добавления своих новых функций аутентификации в стандартный путь аутентификации UEFI, тем самым предоставляя последующим программам, таким как gummiboot / systemd-boot, преимущества своих улучшений. В целом это преимущество; однако на некоторых компьютерах могут отсутствовать функции, необходимые PreLoader для такой вставки, поэтому на некоторых компьютерах он может не работать. Этот пост для SuperUser указывает, что это ограничение может быть реальным по крайней мере для некоторых компьютеров.
• Большинство версий Shim могут аутентифицировать либо двоичные файлы, подписанные ключом, публичный аналог которого находится в списке MOK, либо двоичные файлы, хэш которых хранится в списке MOK. Очень старые версии Shim могут работать только с подписанными двоичными файлами. PreLoader, напротив, работает только с хешами. Хеши могут быть полезны, если вам необходимо запустить программу с носителя, предназначенного только для чтения, или если у вас очень ограниченная потребность в аутентификации двоичных файлов, которые еще не подписаны, и вы не хотите иметь дело с проблемами подписания двоичных файлов.

На практике PreLoader имеет преимущество, если вы хотите запустить неподписанный загрузчик (как в более старом дистрибутиве Linux) или если вы хотите распространить загрузочный образ, но не имеете средств для оплаты собственного ключа подписи или терпения. чтобы справиться с византийским процессом подписания двоичного файла. PreLoader особенно хорош в этих случаях, если вы технически не склонны, поскольку вам не нужно иметь дело с ключами подписи, описанными в отношении Shim. Если ваш дистрибутив подписывает свои загрузчики и / или ядра, вам лучше использовать Shim.Если ваши загрузчики (возможно, включая ядра) меняются редко, то любая программа будет работать одинаково хорошо, при условии, что вы готовы иметь дело с подписью ключей.

Чтобы использовать PreLoader, выполните следующие действия:

1. Загрузите компьютер. Как и в случае с установкой Shim, этот шаг может быть проблемой. Возможно, вам потребуется временно отключить безопасную загрузку, использовать аварийный диск с поддержкой безопасной загрузки или выполнить работу из Windows.
2. Получить PreLoader. Предварительно подписанные двоичные файлы доступны на сайте загрузки.Однако обратите внимание, что эти предварительно подписанные двоичные файлы были выпущены в 2013 году — довольно старые по стандартам компьютерного программного обеспечения. С тех пор программа была обновлена, но мне не известно о новых подписанных двоичных файлах. Автор PreLoader, Джеймс Боттомли, сообщил мне по электронной почте, что изначально подписанный PreLoader предназначался в основном как демонстрация Linux с использованием безопасной загрузки и проверка процесса подписи Microsoft. Учитывая популярность Shim, он не планирует выпускать новые подписанные версии PreLoader. (Тем не менее, он остается активным в этой области; он поддерживает набор утилит efitools, которые полезны при получении полного контроля над безопасной загрузкой на компьютере.)
3. Установите предварительный загрузчик, как описано на странице установки загрузчика EFI. Вероятно, вы захотите установить его в каталог загрузчика по умолчанию.
4. Скопируйте файл HashTool.efi из пакета PreLoader в тот же каталог, что и двоичный файл PreLoader.
5. Переименуйте загрузчик по умолчанию в loader.efi в том же каталоге, что и PreLoader.
6. Перезагрузитесь и, если необходимо, выберите PreLoader в качестве варианта загрузки. PreLoader должен запуститься, но он, вероятно, будет жаловаться, что не может запустить загрузчик.эфи. Затем он запустит HashTool, программу, которую PreLoader использует для хранения информации ( хэшей, ) о программах, которые вы авторизуете.
7. В HashTool выберите опцию Enroll Hash.
8. Найдите и выберите файл программы loader.efi. HashTool запрашивает подтверждение; ответить Да.
9. На практике вы теперь захотите повторить предыдущие два шага для каждого загрузчика, который вы, возможно, захотите запустить с первого. Например, если вы используете gummiboot / systemd-boot или rEFInd для запуска ядер Linux, вам нужно выбрать каждое из этих ядер для регистрации.В этом нет необходимости, если вы используете ELILO, GRUB Legacy или некоторые версии GRUB 2 для запуска ядер Linux, но вам может потребоваться зарегистрировать хеш для загрузчика с цепочкой, запускаемого из GRUB.
10. Выберите «Выход» или «Перезагрузить систему» ​​в главном меню HashTool.

На этом этапе ваш компьютер должен перезагрузиться в обычный загрузчик, и он должен иметь возможность запускать ядра и последующие загрузчики, как если бы они были подписаны ключом безопасной загрузки вашей платформы — при условии, что вы зарегистрировали эти двоичные файлы с помощью HashTool! Этот последний момент очень важен.Если вы используете rEFInd или gummiboot / systemd-boot для запуска ядер Linux, вам необходимо регистрировать каждое новое ядро ​​по мере его установки вами (или системой пакетов вашего дистрибутива). Этот факт также означает, что вы должны предоставить способ запуска HashTool. ELILO не может этого сделать, но вы можете настроить rEFIt, rEFInd, gummiboot / systemd-boot, GRUB Legacy и GRUB 2 для запуска HashTool. Фактически, rEFInd 0.6.7 и более поздние версии распознают двоичный файл HashTool.efi и предоставляют для него тег на главном экране.

За кулисами PreLoader фактически использует тот же список MOK, что и Shim; PreLoader просто использует его для хранения программных хэшей, а не ключей.

Замена или дополнение ключей прошивки

Можно заменить ключи Microsoft своими собственными, что позволит вам воспользоваться преимуществами безопасной загрузки без использования Shim или PreLoader. Это может быть полезным подходом, если вам нужны преимущества безопасной загрузки, но не хочет, чтобы доверял Microsoft или кому-либо из других, кто распространяет двоичные файлы, подписанные с помощью ключей Microsoft. Также возможно добавить свои собственные ключи к тем, которые встроены в прошивку, не удаляя ключи Microsoft.Это полезно при сбоях в работе Shim или PreLoader или если вы хотите использовать программу загрузки, такую ​​как rEFIt, которая не работает с Shim. Вообще говоря, этот процесс состоит из трех основных этапов: создание собственных ключей, подписание двоичных файлов и установка ключей в прошивку. Первые два из этих шагов также необходимы, если вы хотите подписать свои собственные двоичные файлы для использования с Shim.

К сожалению, существуют значительные различия между моделями в реализациях безопасной загрузки и доступных инструментах, что означает, что описание этого подхода к управлению безопасной загрузкой является сложным.Таким образом, я написал отдельную страницу, подробно описывающую этот процесс.

Замена ключей прошивки не требует гораздо больших усилий, чем использование Shim, если вам по какой-то причине нужно подписывать собственные двоичные файлы — скажем, если вы используете такой дистрибутив, как Gentoo, который не предоставляет предварительно подписанные двоичные файлы. Он также имеет некоторые преимущества безопасности, особенно если вам не нужны ключи Microsoft. С другой стороны, это намного сложнее, чем использование Shim, если вы просто хотите быстро запустить и запустить дистрибутив, использующий Shim.В целом, я рекомендую этот подход только для тех, кто достаточно технически подкован.

Отзыв ключей и хэшей

Как более подробно описано на странице «Управление безопасной загрузкой», безопасная загрузка опирается на несколько небольших баз данных ключей и хэшей, хранящихся в энергонезависимой памяти NVRAM. Чтобы устранить возможность ошибок безопасности в программах загрузки, одна из этих баз данных, известная как dbx, содержит список ключей и хэшей для двоичных файлов, выполнение которых запрещено. Если в конкретном двоичном файле обнаружена ошибка, его хеш можно добавить в dbx, чтобы предотвратить его запуск.(Его ключ может быть добавлен, чтобы охватить все, что подписано этим ключом, но это может повлиять на другие двоичные файлы, на которые проблема не распространяется.)

Для добавления элементов в dbx необходимо, чтобы новые ключи были подписаны другим ключом. На практике этот другой ключ обычно контролируется Microsoft, поэтому Microsoft является контроллером de facto dbx, и эти дополнения обычно выполняются посредством обновлений Windows или, возможно, обновлений других операционных систем, которые доставляют обновления, предоставляемые Microsoft.За годы, прошедшие с момента появления Secure Boot, появилось множество таких одобренных Microsoft добавлений dbx.

В начале 2020 года в GRUB 2 была обнаружена уязвимость, известная как Boot Hole, , которая привела к тщательному изучению GRUB 2, в результате которого было обнаружено в общей сложности восемь различных уязвимостей GRUB 2. Эта ситуация создавала проблему: поскольку очень многие дистрибутивы Linux выпустили так много подписанных двоичных файлов GRUB 2, количество записей dbx, необходимых для их запуска, угрожало перегрузить доступное пространство в энергонезависимой памяти компьютера.

Решение, разработанное основными разработчиками дистрибутивов Linux совместно с Microsoft, заключается в использовании обновленной оболочки Shim, которая включает собственный dbx (который я называю здесь Shim-dbx), и добавление более ранних версий оболочки Shim (которые являются менее многочисленны, чем затронутые двоичные файлы GRUB) в собственный dbx UEFI. Поскольку Shim-dbx не так подвержен ограничениям места, как UEFI dbx на основе NVRAM на большинстве компьютеров, это решение может предотвратить запуск многочисленных версий GRUB 2 с ошибками, не перегружая NVRAM.Однако у этого есть отрицательные последствия: старые версии Shim перестанут работать, как только dbx компьютера будет обновлен. Маловероятно, что это будет проблемой для пользователей популярных дистрибутивов Linux, которые используют только эти дистрибутивы или которые выполняют двойную загрузку с Windows с использованием GRUB 2; двоичные файлы GRUB 2 таких компьютеров будут обновлены вместе с двоичными файлами Shim, если повезет, до обновления dbx UEFI, таким образом, все будет работать. Это решение может повлиять на людей, которые вручную установили Shim для загрузки дистрибутивов, которые обычно не используют его, или тех, кто использует Shim вместе с диспетчерами загрузки или загрузчиками, такими как rEFInd; Если двоичные файлы Shim этих нестандартных программ не обновляются, но Windows устанавливает обновление dbx, которое предотвращает запуск Shim, загруженные программы, установленные вручную, скорее всего, перестанут работать.

Решение должно быть простым: обновите старый двоичный файл shim.efi или shimx64.efi, который был добавлен в UEFI dbx, с новой версией. Теоретически другое решение — предотвратить обновления UEFI dbx. На практике это нежелательное решение, поскольку оно оставляет компьютер уязвимым для любых эксплойтов, которые могут включать затронутые двоичные файлы GRUB 2. Замена всех ключей безопасной загрузки, как описано на следующей странице, может или не может сделать вас уязвимыми, как описано на этой странице.

Также обратите внимание, что всегда есть вероятность уязвимостей в rEFInd, systemd-boot или других программах загрузки.Эти программы не так популярны, как GRUB 2, и поэтому в них не проводился такой интенсивный аудит, как GRUB 2 в 2020 и начале 2021 годов, поэтому в них могут скрываться ошибки безопасности. Конечно, тот факт, что они менее популярны и редко подписываются разработчиками дистрибутива, означает, что они с меньшей вероятностью могут быть векторами атаки — но это в основном «безопасность через неизвестность», что в лучшем случае ненадежно.

Для получения дополнительной информации по этой теме см. Это сообщение в блоге, в котором проблема рассматривается с точки зрения Ubuntu.Некоторые детали различаются от одного дистрибутива к другому, но затронуты все дистрибутивы Linux, которые предоставляют подписанные двоичные файлы GRUB 2, и решение для них одинаково.

Заключительные мысли

В начале 2021 года безопасная загрузка станет чем-то средним между несложной проблемой и серьезной проблемой для пользователей Linux. Хотя безопасная загрузка может повысить безопасность, Linux исторически не заражалась вирусами, поэтому неясно, является ли безопасная загрузка практическим преимуществом для компьютеров только с Linux, хотя она дает теоретические преимущества.Однако, если вы выполняете двойную загрузку с Windows, вы можете оставить безопасную загрузку включенной. Использование программы Shim кажется лучшим способом сделать это для пользователей Fedora, OpenSUSE, Ubuntu и других дистрибутивов, поддерживающих Shim. Если вы используете другой дистрибутив или у вас возникли проблемы с загрузкой нескольких дистрибутивов, отключение безопасной загрузки — самый простой способ справиться с этим. Подписание собственных загрузчиков для использования собственного механизма безопасной загрузки и собственного набора ключей — еще одна альтернатива, обеспечивающая максимальную безопасность и гибкость.Этот подход труднее всего реализовать, особенно если в программе настройки микропрограммы вашего компьютера нет возможности добавлять ключи.

Перейти к «Управление безопасной загрузкой»

Вернуться на главную страницу «Управление загрузчиками EFI для Linux»

, авторское право © 2012–2021 Родерик В. Смит

Если у вас есть проблемы или комментарии по поводу этой веб-страницы, пожалуйста, напишите мне на [email protected]. Спасибо.

Вернуться на мою главную веб-страницу.

Включение безопасной загрузки UEFI при U-Boot

U-Boot — любимый загрузчик для встраиваемых устройств, поддерживающий различные архитектуры и платформы.За последние несколько лет в U-Boot был добавлен ряд новых интерфейсов UEFI, и последним добавленным элементом является Secure Boot. Как он работает и от чего он предназначен для защиты?

UEFI U-Boot

UEFI (Unified Extensible Firmware Interface) [1] — это спецификация, разработанная UEFI Forum для стандартизации интерфейсов между прошивкой и ОС с целью замены устаревшего BIOS в архитектуре ПК.

В настоящее время UEFI повсюду. Он был по умолчанию на ПК и на стороне сервера, поэтому теперь используется на платформах arm64.Хотя U-Boot по-прежнему популярен среди встраиваемых систем, поддержка универсальных интерфейсов, таких как UEFI, значительно упростит пользователям перенос на свои платформы более широкого спектра дистрибутивов ОС с минимальными усилиями и без настройки. Помните, что grub может поддерживать собственные API-интерфейсы U-Boot, но только через порт arm. Никакие дистрибутивы не поддерживают его на arm64 или x86.

Соответственно, с 2016 года было потрачено огромное количество усилий на разработку интерфейсов UEFI поверх U-Boot framework. Linaro участвовал в этой деятельности сообщества с 2018 года и вместе работал над улучшением функциональности и качества.(В Linaro мы сосредоточены на экосистеме arm, но эти разработки приносят пользу и другим архитектурам. Возможно, стоит упомянуть, что в последнем выпуске risc-v добавлен в список поддерживаемых архитектур вместе с arm и x86.)

Для дальнейшего усиления взаимодействия (и, следовательно, совместимости с существующей реализацией, такой как EDK-II), UEFI U-Boot теперь усиливает свою цель разработки, заключающуюся в том, что он должен полностью фиксироваться и соответствовать EBBR (Embedded Base Boot Requirement) [2]. EBBR — это коллективный документ, разрабатываемый сообществом.Он определяет набор требований, которым должна соответствовать прошивка на встроенных устройствах, чтобы можно было устанавливать стандартные ОС без настройки.

На момент написания этой статьи UEFI U-Boot предоставляет:

• большинство служб загрузки (до запуска ОС)
• ограниченное количество служб времени выполнения (после запуска ОС)
• подмножество соответствующих протоколов (блок устройства, консоль, сеть и т. д.)
• минимальный менеджер загрузки

По-прежнему существует множество недостающих функций и ограничений, но функциональность теперь достаточно развита для запуска программного обеспечения, такого как:

• оболочка EDK-II
• shim and grub , или более прямо
• ядро ​​linux

Хотя основной целевой ОС является Linux, подтверждено, что другие ОС, такие как варианты BSD, также работают с UEFI U-Boot.Кроме того, UEFI SCT (Self Certification Tests) также может быть запущен непосредственно при U-Boot. Это позволяет нам оценить, в какой степени текущая реализация соответствует спецификации UEFI и способствовала повышению соответствия.

Безопасная загрузка: как это работает?

Среди прочего, UEFI Secure Boot — это новая функция, представленная в последней версии U-Boot v2020.10. (На момент написания этот статус находится в -rc5.)

Это, как следует из названия, структура безопасности в последовательности загрузки, которая предназначена для защиты системы от выполняемых вредоносных программ, гарантируя, что только надежное программное обеспечение, EFI приложения и ядра ОС загружаются и выполняются в процессе передачи управления от прошивки к ОС.

Фактически, U-Boot уже имеет собственную платформу безопасной загрузки, получившую название FIT Signature Verification. Всегда есть за и против; Например, исходная безопасная загрузка может подписывать и проверять не только двоичные файлы, но и другие типы данных, такие как blob-объект дерева устройств и initrd, а безопасная загрузка UEFI может работать только с исполняемыми файлами PE (переносимый исполняемый файл) (по крайней мере, на данный момент). С другой стороны, UEFI Secure Boot обеспечивает более гибкий способ управления ключами в дополнение к совместимости с существующим сторонним программным обеспечением (включая дистрибутивы Linux).Он не предназначен для замены оригинального U-Boot, это остается на усмотрение пользователя в зависимости от требований системы.

Поскольку на веб-сайтах есть множество статей о безопасной загрузке UEFI, например [3], мы не будем углубляться в технические детали. Вместо этого здесь будет описана основная логика безопасной загрузки UEFI. Безопасная загрузка UEFI основана на дайджестах сообщений (хэшах) и технологиях криптографии с открытым ключом. При попытке загрузить файл изображения U-Boot проверяет подпись изображения по базам данных подписей, чтобы определить, является ли изображение надежным или нет.

Здесь используются четыре основные базы данных сигнатур.

• PK (ключ платформы)
• KEK (ключ регистрации ключа)
• db (список разрешенных подписей)
• dbx (список запрещенных подписей)

База данных «db» может иметь сертификаты x509, хэши изображения в виде подписей и «dbx» могут дополнительно содержать хэши сертификатов.

Изображение будет предоставлено для загрузки, если

• оно подписано и его подпись подтверждена одним из сертификатов в «db» (может быть задействовано несколько промежуточных сертификатов) или
• его дайджест сообщения найден в «Db»

Аналогично, любое изображение будет отклонено, если

• оно подписано и его подпись подтверждена одним из сертификатов в «dbx».
• оно подписано и проверено «db», но любым из сертификатов в цепочке доверия находится в «dbx» или
• , его дайджест сообщения находится в «dbx».

В июле уязвимость системы безопасности под названием «BootHole» [5] привлекла внимание людей.Grub, де-факто загрузчик для Linux и других дистрибутивов, имеет вектор атаки безопасности из-за переполнения памяти и может позволить злоумышленникам выполнить произвольный код в обход безопасной загрузки UEFI на целевых системах.

Чтобы устранить эту дыру в безопасности, необходимо обновить grub и, следовательно, прокладку, и в то же время цепочку доверенной последовательности загрузки также необходимо изменить, чтобы предотвратить загрузку любой старой и уязвимой версии программного обеспечения и ее возможное использование вредоносным кодом .Ожидается, что в будущих исправлениях безопасности хэши всех затронутых двоичных файлов будут добавлены в «dbx». (Кроме того, оболочка shim будет поддерживать свою собственную базу данных сигнатур, MokList / MokListX (ключи владельца машины), также на запросы ОС.)

Все вышеперечисленные базы данных сигнатур хранятся и поддерживаются как переменные с аутентификацией UEFI, что означает, что они также защищены со своими собственными подписями, и что обновление их значений должно быть разрешено путем проверки подписей. PK используется для проверки KEK перед изменением его значения, а KEK — это ключ для обновления db и dbx.

После регистрации PK активируется безопасная загрузка UEFI. Поскольку PK является корнем цепочки в доверенной последовательности загрузки, ожидается, что он будет храниться в энергонезависимом и устойчивом к несанкционированному вмешательству месте в системах на заводском уровне.

Текущая версия UEFI U-Boot предоставляет две альтернативы для энергонезависимого хранения переменных:

a) простой файл в системном разделе UEFI

b) служба переменных на основе OP-TEE

В то время как файловая система в (a) не работает » t обеспечить надежную защиту от взлома, безопасная служба, работающая под OP-TEE в (b), автономный режим управления EDK-II, изолирована, но при этом проксируется и доступна из незащищенного кода U-Boot.Таким образом, вариант (b) на данный момент является единственным полностью безопасным решением. Необходимые исправления были объединены для U-Boot и OP-TEE, но некоторые из них для EDK-II все еще ожидаются.

В настоящее время U-Boot не имеет переключателя для включения и выключения безопасной загрузки UEFI после регистрации PK.

Игра с безопасной загрузкой

Давайте возьмем Red Hat Enterprise Linux (8.2) в качестве реального примера и проиллюстрируем, как мы можем активировать безопасную загрузку UEFI и установить ОС с U-Boot на qemu (arm64). (Обратите внимание, что это предназначено только для демонстрационных целей, чтобы помочь людям легко испытать безопасную загрузку UEFI, а не для демонстрации того, что UEFI U-Boot полностью соответствует требованиям RHEL).

Чтобы упростить необходимые шаги, мы воспользуемся вариантом (A) в этом примере.

1. build U-Boot

CONFIG_EFI_SECURE_BOOT — единственная опция, необходимая в дополнение к qemu_arm64_defconfig для поддержки безопасной загрузки UEFI.

  $ make qemu_arm64_defconfig
# включить CONFIG_EFI_SECURE_BOOT и CONFIG_SEMIHOSTING
$ make
  

2. Подготовьте диск с помощью системного раздела UEFI

Служба переменных на основе файловой системы использует системный раздел UEFI для реализации энергонезависимых переменных путем сохранения значений в файле в разделе.

  $ qemu-img create -f raw redhat_fs.img 5G
$ sgdisk -n 1: 0: + 100MiB -t 1: C12A7328-F81F-11D2-BA4B-00A0C93EC93B redhat_fs.img
$ guestfish -a redhat_fs.img
 > беги
 > mkfs vfat / dev / sda
 > бросить
  

3. получить сертификат Red Hat

Этот шаг немного сложен, поскольку, AFAIK, нет доступного веб-сайта, с которого можно было бы загрузить действующий сертификат Red Hat.

К счастью, любое приложение EFI может содержать связанные сертификаты в своей подписи (в формате pkcs7) и «прокладке».efi ’, который должен быть загружен как первое приложение EFI, подписанное с помощью« Red Hat Secure Boot (ключ CA 1) ». Вам нужно будет изучить структуру данных подписи и извлечь этот сертификат в отдельный файл.

Подробности здесь не описаны, но вы можете использовать команду «sbverify» для извлечения данных подписи (или аутентификационного кода) из двоичного файла, а затем использовать команду «openssl» для проверки и анализа, чтобы определить смещение и размер сертификата в нем. .

4.создать данные для базы данных подписей

Здесь промежуточные «PK» и «KEK» создаются как самоподписанные сертификаты, а «db» должен содержать сертификат, названный «rh_ca.crt», из шага (3).

  № ПК
$ openssl req -x509 -sha256 -newkey rsa: 2048 -subj / CN = TEST_PK / \
  -keyout PK.key -out PK.crt -nodes -days 365
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
  PK.crt PK.esl
$ sign-efi-sig-list -c PK.crt -k PK.key PK PK.esl PK.auth

# KEK
$ openssl req -x509 -sha256 -newkey rsa: 2048 -subj / CN = TEST_KEK / \
  -ключ КЭК.key -out KEK.crt -nodes -days 365
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
  KEK.crt KEK.esl
$ sign-efi-sig-list -c PK.crt -k PK.key KEK KEK.esl KEK.auth

# дб
$ cert-to-efi-sig-list -g 11111111-2222-3333-4444-123456789abc \
  rh_ca.crt rh_ca.esl
$ sign-efi-sig-list -c KEK.crt -k KEK.key db rh_ca.esl rh_ca.auth
  

5. Запустите U-Boot и зарегистрируйте ключи в базе данных сигнатур

Теперь вы можете зарегистрировать ключи в командной строке U-Boot. Сначала запустите qemu с помощью следующей команды:

  $ qemu-system-aarch64 \
  -машина вирт \
  -cpu cortex-a57 -smp 1 -m 4G -d unimp \
  -nographic -serial mon: stdio \
  -полухостинг \
  -bios / путь / к / u-boot.корзина \
  -drive, если = none, file = / path / to / redhat_fs.img, format = raw, id = hd0 \
  -device virtio-blk-device, диск = hd0 \
  -cdrom /path/to/rhel-8.2-aarch64-dvd.iso
  

Затем

  => smhload PK.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> PK
=> smhload KEK.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> KEK
=> smhload rh_ca.auth 50000000
=> setenv -e -nv -bs -rt -at -i 50000000: <размер-файла> db
  

6.установить ОС

Запустить установщик ОС:

  => fatload virtio 1: 1 50000000 EFI / BOOT / BOOTAA64.EFI
=> бутефи 50000000
  

Выберите «Установить Red Hat Enterprise Linux 8.2». В конце концов, установщик загружается в текстовом режиме и останавливается в меню установки.

  ...
05:32:49 Не запрашиваем VNC, потому что у нас нет сети
05:32:50 Ошибка запуска X, возврат в текстовый режим
================================================== ==============================
================================================== ==============================
Установка

1) [x] Настройки языка 2) [x] Настройки времени
       (Английский (США)) (Часовой пояс Америка / Нью-Йорк)
3) [!] Источник установки 4) [!] Выбор ПО
       (Обработка...)                          (Обработка...)
5) [!] Место установки 6) [x] Kdump
       (Диски не выбраны) (Kdump включен)
7) [!] Конфигурация сети 8) [!] Пароль root
       (Не подключен) (Пароль не установлен.)
9) [!] Создание пользователя
       (Пользователь не будет создан)

Сделайте выбор из приведенного выше ['b', чтобы начать установку, 'q', чтобы выйти,
'r' обновить]:
  

Установка

Вы можете настроить параметры по своему усмотрению.Дело здесь в «5) Место установки». Выберите диск, созданный на шаге (2), в качестве места назначения и

  Опции разбиения на разделы.

1) [X] Заменить существующие системы Linux
2) [] Использовать все пространство
3) [] Использовать свободное пространство
4) [] Назначьте точки монтирования вручную

Для установки необходимо разбить жесткий диск на разделы. Выберите, какое пространство использовать
для цели установки или вручную назначьте точки монтирования.

Пожалуйста, сделайте выбор из приведенного выше ['c', чтобы продолжить, 'q', чтобы выйти, 'r', чтобы
обновить]:
  

Выберите «Заменить существующие системы Linux», поскольку мы уже создали системный раздел UEFI на шаге (2).

После настройки всех параметров продолжайте установку.

В конце установки вы, вероятно, увидите ошибку типа:

  Вопрос

При установке загрузчика произошла следующая ошибка. Система будет
не быть загрузочным. Вы хотите проигнорировать это и продолжить установку?

не удалось установить новую цель загрузки efi. Скорее всего, это ошибка ядра или прошивки.
Пожалуйста, ответьте «да» или «нет»:
  

Вы можете проигнорировать это сообщение и сказать «да».Здесь произошло то, что установщик не смог настроить переменные UEFI, относящиеся к параметрам загрузки, т. Е. «BootXXXX» и «BootOrder» как переменные UEFI недоступны из ОС в службах времени выполнения.

7. перезагрузите систему

После успешного выполнения вышеуказанных шагов вы увидите в dmesg из кода efistub и ядра:

  Заглушка EFI: Загрузка ядра Linux ...
Заглушка EFI: EFI_RNG_PROTOCOL недоступен, случайность не указана
Заглушка EFI: включена безопасная загрузка UEFI.Заглушка EFI: использование DTB из таблицы конфигурации
Заглушка EFI: выход из служб загрузки и установка карты виртуальных адресов ...
[0.000000] Загрузка Linux на физическом процессоре 0x0000000000 [0x411fd070]
[0.000000] Linux версии 4.18.0-193.el8.aarch64 ([email protected]) (версия gcc 8.3.1 20191121 (Red Hat 8.3.1-5) (GCC) ) # 1 SMP Пт 27 мар, 15:23:34 UTC
[0.000000] Модель машины: linux, dummy-virt
[0.000000] efi: Получение параметров EFI из FDT:
[0.000000] efi: EFI v2.80 от Das U-Boot
...
  

Вот и последняя магия. Несмотря на то, что на шаге (6) не были созданы переменные параметров загрузки, UEFI U-Boot настроен на поиск резервного загрузочного образа «/EFI/BOOT/BOOTAA64.efi» в системном разделе UEFI и попытку его автоматического запуска.

Этот двоичный файл на самом деле является копией загрузчика ОС, то есть shimaa64.efi, если включена безопасная загрузка UEFI, и он также обнаружит отсутствие параметров загрузки и создаст их со стандартным путем ОС и запустит второй загрузчик ОС », grubaa64.efi ’, который подписан поставщиком ОС и должен быть проверен перед загрузкой.