UEFI SecureBoot mini-HOWTO как настроить

В этой статье мы рассмотрим, что такое UEFI SecureBoot и как его настроить для безопасной загрузки операционной системы. UEFI SecureBoot — это система, предназначенная для защиты открытых систем загрузки, таких как загрузчики и драйверы устройств, от вредоносного кода и взлома.

В целом, SecureBoot — это механизм проверки подлинности кода перед его загрузкой. Для этого используются цифровые ключи и сертификаты, которые гарантируют, что код был создан и подписан валидным разработчиком или организацией.

У каждого разработчика или организации есть свой набор ключей, которые используются для подписи и проверки кода. Таким образом, даже если вредоносный код попадет на ваш компьютер, UEFI SecureBoot проверит его подлинность и, при несоответствии, откажет в загрузке.

Чтобы настроить UEFI SecureBoot, вам потребуются несколько внешних утилит, таких как gnu-efi и shim-signed. Вы также должны иметь сертификат и ключ для создания подписей. Один из способов получить их — это сделать через центров поддержки компании, которая вам предоставляет доступ к UEFI SecureBoot. Они должны предоставить вам необходимые активы и руководство по настройке.

Когда все подготовительные работы сделаны и вам предоставлены необходимые активы, вы можете приступить к настройке UEFI SecureBoot. Вам понадобятся утилиты для подписи и регистрации сертификата, а также создания базы данных SecureBoot.

Сначала вы должны импортировать свои сертификаты и ключи в базу данных SecureBoot. Затем вы должны зарегистрировать открытые ключи, которые будут использоваться для верификации загрузчиков и драйверов. После этого, каждый загрузчик или драйвер должен быть подписан вашим приватным ключом, чтобы быть допущенным к загрузке.

После настройки UEFI SecureBoot вы можете быть уверены, что загружаемый код подлинный и не содержит вредоносного кода. У вас также будет возможность авторизовать другие сертификаты и ключи для безопасности загрузки сторонних кодов и плагинов.

Сертификат от VerisignSymantec

Возможно, у вас уже есть сертификат от другого удостоверяющего центра или вы хотите создать свой собственный. Однако, использование сертификата от VerisignSymantec обеспечит самый высокий уровень доверия, поскольку VerisignSymantec является одним из самых известных и уважаемых удостоверяющих центров.

Если у вас еще нет сертификата от VerisignSymantec, пожалуйста, обратитесь к их официальному сайту. Они предлагают различные планы и варианты, чтобы удовлетворить нужды каждого пользователя. После получения сертификата, вам потребуется его экспортировать в формате PKCS#12 для использования в своих реализациях UEFI SecureBoot.

Обратите внимание, что для работы с сертификатами VerisignSymantec требуется специальное программное обеспечение, которое можно загрузить с их сайта. Это программное обеспечение позволяет использовать сертификаты для подписывания исполняемых файлов и последующей проверки их подлинности при загрузке системы.

Примечание: Если вам нужно только подписать файлы без использования UEFI SecureBoot, вы можете использовать другие инструменты, такие как Gnu-EFI, которые не требуют сертификатов от VerisignSymantec.

Будьте внимательны при использовании сертификата от VerisignSymantec! Не злоупотребляйте его использованием и не распространяйте его среди других пользователей или разработчиков без явного разрешения VerisignSymantec. Это может нарушить их политику использования и привести к проблемам с вашей учетной записью.

Также, помните, что сертификат от VerisignSymantec следует загружать только с официального сайта или других надежных источников. Не доверяйте подделкам и файлам, содержащим вредоносный код.

В следующей части статьи будет рассмотрена процедура подписывания файлов с помощью сертификата от VerisignSymantec и настройка UEFI SecureBoot для проверки их подлинности при загрузке системы.

Настройка UEFI SecureBoot

Для настройки UEFI SecureBoot вам понадобится загрузочное устройство с предварительно загруженной цифровой подписью, которую создала сертификационная авторитетность PKCS#12. Вы можете выбрать доверенное лицо, у которого есть права сертификации, или самостоятельно создать CA и получить сертификат.

Перед настройкой SecureBoot важно уточнить, поддерживает ли ваша система UEFI. Если это так, вы можете получить файлы загрузчика, которые уже подписаны соответствующей сертификацией и отвечают требованиям SecureBoot.

Если у вас есть система Linux, вы можете использовать программу «shim» вместе с CA-ключом, чтобы подготовить файлы загрузчика. Shim — это полезная утилита, которая позволяет избежать проблем, связанных с подписанием, и упрощает процесс авторизации и аутентификации при загрузке системы.

Перед началом настройки SecureBoot вам нужно создать альтернативный сертификат CA, который будет использоваться для подписания бинарных файлов загрузчика. После этого вам нужно будет экспортировать сертификат или ключ PKCS#12, который позволит вам получить доступ к сертификации.

Необходимо иметь учетную запись Microsoft Account, чтобы загружать программное обеспечение и получать доступ к CA-ключу, поскольку эти ресурсы часто требуют подписания с помощью учетной записи.

Если вам нужно создать или получить ключи и программы, специализированные для подписания файлов загрузчика UEFI, то вам следует обратиться к руководству по разработке, где описан способ создания ключа, который отвечает требованиям SecureBoot.

При работе с программным обеспечением, подписывающим бинарные файлы, рекомендуется иметь несколько вариантов CA-ключей, поскольку некоторые авторитеты сертификации могут быть недоступными или требовать специальных соглашений.

Когда вы готовы к настройке SecureBoot, следует убедиться, что система Linux на вашем компьютере обладает базовой поддержкой UEFI SecureBoot. Если поддержка отсутствует, вам может потребоваться выполнить обновление BIOS.

Для успешной настройки SecureBoot необходимо установить программное обеспечение «shim» и его зависимости. Вам потребуется скачать пакет сборки, который содержит бинарные файлы «shim.efi» и «shimx64.efi». Обратите внимание, что отправка программы «shim.efi» на бинарный спам-адрес не приветствуется, а в некоторых случаях может быть запрещена.

Когда у вас есть программы «shim.efi» и «shimx64.efi», вы можете выбрать конкретный код доверительного уровня, чтобы включить подпись. Это необходимо, так как сертификация и проверка подписи являются важными шагами в процессе авторизации и аутентификации системы Linux.

Если у вас уже есть файлы «shim.efi» и «shimx64.efi», можно избежать проблем с подписанием, экспортировав CA-ключи и использовав их для создания собственной подписи. Ключи CA могут быть получены от уполномоченных организаций или штатных сертификационных авторитетов.

Если вы затрудняетесь с получением ключей или программного обеспечения для подписания, рекомендуется обратиться к специалистам в области разработки или получить готовые программные продукты, специально предназначенные для работы с SecureBoot, если они уже доступны.

Важно отметить, что настройка и использование UEFI SecureBoot требует дополнительных исследований и рецензий, поскольку правила, требования и методы могут меняться. Будьте готовы работать с новыми версиями программного обеспечения и обновлять настройки SecureBoot при необходимости.

Подтверждение подлинности компании

Реализация данного механизма, по крайней мере для пользователей EFI Secure Boot, является необязательной. Однако, большинство реализаций EFI Secure Boot поддерживают подтверждение подлинности производителя, поэтому оно вероятнее всего присутствует в вашей системе.

Если ваше устройство имеет реализацию EFI Secure Boot, то оно может быть настроено таким образом, чтобы проверять подлинность подписи каждого загружаемого файла или вычисляемой смежной цепи. Эта подпись — это юридическое доказательство подлинности компании, поскольку только зарегистрированные и поддерживающие это сертификацию компании, такие как VeriSign/Symantec, способны создавать подписанные бинарные файлы.

Что же делать, если вы хотите подписать свои собственные файлы и использовать свои собственные ключи? На самом деле, средство командной строки keytool должно быть в состоянии создать подписи в формате PKCS#12. Таким образом, одним из способов обойти ограничение EFI Secure Boot на использование только сертификатов Symantec/VeriSign является переход к извлечению кода между этими двумя компаниями, и создание пакета на основе этого кода. Затем можно будет выполнить требуемые действия для его настройки как должно быть.

Однако, если ваша система уже загружена, и вам не нужно выполнять этот подход на практике, то вы можете использовать пакет CAcert, который предоставляет заслуживающее доверия подтверждение подлинности. В этом случае должны быть доступны все требуемые разрешения, чтобы все работало должным образом.

Тем не менее, следует помнить, что Symantec/VeriSign имеют высокий уровень доверия и поддержку; поэтому, даже если CAcert предоставляет альтернативу, можно все еще ждать, пока будет доступна ссылка для загрузки автономного файла PKCS#12 после какого-либо подписанного руководства. Это может быть очень удобно.

Если вы работаете с менеджером подписания Silverlight, который обеспечивает подпись на уровне определенной платформы, вы можете использовать файл подписи, чтобы подтвердить подлинность как часть процесса загрузки пакета.

Дополнительная информация доступна в базе данных Symantec/VeriSign, и, возможно, достаточно для настройки. В то же время, если вы уже загрузили файл политики, вы также можете использовать большую часть информации, предоставленной в этой документации, хотя имейте в виду, что изложенный здесь процесс только начало. Подлинность вашей системы будет проверяться только после начала процесса подписания, и важно убедиться в его правильности.

Таким образом, подтверждение подлинности компании является важной частью процесса Secure Boot, и хорошо заботиться о его правильной настройке. Даже если возможности безопасной загрузки у вас уже есть, это не означает, что вы должны расслабиться и не обращать внимания на проверку авторства.

Источник: shimreview.wordpress.com

Публикация ответов

Для публикации ответов на вопросы о файле shim.efi, вам необходимо обладать доступом к VeriSign/Symantec CA. Вам потребуется скачать шаблон CA-сертификата (private CA key) с помощью следующей команды:

• shim-install -p -f MOK.der

После этого вам потребуется зарегистрировать свой MOK с VeriSign/Symantec CA, предоставив им файл MOK.der. Для этого можно использовать онлайн-сервисы или связаться напрямую с VeriSign/Symantec.

После формирования вашего CA-сертификата вы сможете выбрать его в качестве подписывающего при установке shim или grub2-efi. При этом у вас будет возможность выбрать, кто будет подписывать следующий файл: shim или shim из MOK.

Если у вас нет доступа к VeriSign/Symantec CA, вы все равно можете использовать свой MOK для подписи bootloaders на этапе разработки и тестирования.

Процесс подписи bootloaders можно разбить на несколько шагов:

1. Создайте учетную запись на symantec.com (если вы еще не зарегистрировались).
2. Создайте свой MOK и загрузите его на сайт VeriSign/Symantec.
3. Создайте электронное письмо, в котором укажите версию shim и MOK, и отправьте его на адрес HighAssuranceCodeSigning@symantec.com с темой «The shim.efi Signer Verisign/Symantec User Request».
4. Дождитесь получения подтверждения от VeriSign/Symantec (это может занять некоторое время).
5. Подготовьте центр сертификации для штампа вашей MOK. Для этого вы должны будете подготовить веб-сервер, чтобы он поддерживал внешние запросы. Примените команду отправки на почту и ждите ответа VeriSign/Symantec.
6. Как только вы получите центр сертификации, установите его, командой cmd «certutil -addstore CA mol.crt». Отправьте ответ консольной команды следующей командой cmd: «request.png efiling.certchain@verisign.com»
7. После этого ожидайте получение скачанного файла shim.cab, который можно получить через сайт VeriSign/Symantec. Переместите его в свой winqual.exe
8. Продолжайте сборку
9. Если шаги выше выполнены правильно, у вас должна быть правильная SHA1 подпись виртуальных Windows Live, так как они являются образцом для развертывания
10. Перейдите на live.com, загрузите файл shim.cab и установите его.
11. Поля «Driver Signing System» и «Test Microsoft certificate signing» требуются для доступа к VeriSign/Symantec CA без дополнительного патча от Microsoft.

В идеале можно воспользоваться сайтом symantec.com для получения информации о все текущих аккредитациях. Возможно, вам придется использовать другой адрес электронной почты, который лучше всего отсылать в адресach corporatemessaging@mirapoint.com или aoengineering@mirapoint.com.

Также можно использовать сайт sysdev.microsoft.com для получения дополнительной информации о требованиях к эмиссии подписей .sys

Реализация UEFI SecureBoot

UEFI SecureBoot представляет собой технологию, разработанную компанией Microsoft, которая обеспечивает проверку и подтверждение цифровой подписи загружаемого программного обеспечения перед его выполнением на устройстве с UEFI-фирмварей. Реализация SecureBoot и его настройка может быть сложной задачей, требующей определенных знаний и навыков.

В настоящее время наиболее распространено использование UEFI SecureBoot во многих майнстримовых компьютерах и ноутбуках. Однако, есть множество способов реализации SecureBoot и некоторые производители могут использовать различные реализации. Следовательно, важно быть осведомленным о конкретном варианте реализации SecureBoot на вашем устройстве.

Процесс настройки SecureBoot сводится к следующему: инициализация SecureBoot с установкой сертификата мастера ключа, который будет использоваться для проверки ленты подписи загрузчика. Затем конкретная конфигурация SecureBoot, как правило, проводится с помощью нескольких утилит и программ. Например, в GNU-EFI-наборе есть утилиты, которые помогут вам сгенерировать и подписать различные компоненты загрузчика.

Этапы реализации SecureBoot
Подготовка UEFI: В первую очередь, вы должны убедиться, что ваш UEFI уже поддерживает и настроен для работы с SecureBoot. Вам может потребоваться обновить прошивку (BIOS) до последней доступной версии, которая поддерживает SecureBoot.
Получение сертификатов: Для реализации SecureBoot вы должны получить набор цифровых сертификатов, которые будут использоваться для подписи и проверки различных компонентов загрузчика. В зависимости от вашей конкретной реализации SecureBoot, вам может потребоваться получить сертификаты у поставщика или другого доверенного центра сертификации.
Настройка UEFI: Подготовка UEFI включает установку необходимых сертификатов и настройку правил проверки подписи. Вы можете настроить UEFI с помощью специальных программ и утилит поставщика, доступных в вашей операционной системе. В некоторых случаях вам может понадобиться загрузить новую версию UEFI, которая поддерживает SecureBoot, или изменить настройки в текущей версии.
Подпись загрузчика: После настройки UEFI вы можете подписать компоненты загрузки, такие как ядро операционной системы, драйверы и другие важные компоненты. Вы можете использовать командную строку или сторонний пакет подписывания для создания подписанных файлов.
Проверка настроек: После всех настроек и подписей вы можете убедиться, что SecureBoot работает, постоянно проверяя загружаемые файлы на соответствие цифровым сертификатам. Вы должны убедиться, что процесс проверки происходит без ошибок.

Реализация UEFI SecureBoot может быть сложной и требует определенных навыков. Однако, следуя инструкциям по настройке и используя правильные инструменты, вы сможете успешно настроить SecureBoot на вашем устройстве.

Важно помнить, что SecureBoot может быть полезным, но не является единственным способом защиты от злонамеренного загрузчика или программного обеспечения. Это только один из инструментов в вашем арсенале безопасности, и вам придется применять и другие меры для защиты вашей системы.

Подготовка учетной записи sysdev

Для того чтобы иметь возможность подписывать свои собственные загрузочные процедуры UEFI SecureBoot, вам потребуется зарегистрировать учетную запись на веб-сайте sysdev.microsoft.com.

Рекомендация:

Прежде чем приступать к подготовке учетной записи, рекомендуется прочитать официальное руководство Microsoft по настройке SecureBoot.

Когда вы готовы, зайдите на sysdev.microsoft.com и зарегистрируйтесь как пользователь. После регистрации вам будет предоставлен доступ к нескольким разделам, таким как:

• Консоль разработчика UEFI
• Управление сертификатами SecureBoot
• Настройки подписи устройств
• Документация и предоставление ключей

Учетная запись sysdev используется для аутентификации и авторизации вашей личности при подписывании UEFI-файлов и загрузочных процедур. Это позволяет гарантировать, что третьи лица не смогут изменять или подделывать ваши файлы.

Когда вы зарегистрировались, вы можете получить возможность размещать свои подписанные файлы на Live.com. Вам также предоставляется возможность использовать уникальный CA-сертификат, созданный Microsoft, для подписи ваших файлов.

Ваши ключи подписи и сертификаты SecureBoot будут храниться на сервере sysdev.microsoft.com. Вам потребуется загрузить некоторые из них (например, ключевой контейнер PKCS12) для использования их с программным обеспечением, подписывающим файлы.

Пользователи Windows также могут получить доступ к binary deliverables, таким как Gnu-EFI, shim и ShimCab. На сайте sysdev.microsoft.com вы найдете раздел «Deliverables» с ссылками на необходимые файлы.

Тем, кто уже зарегистрирован на sysdev, нет необходимости проходить процесс регистрации снова. Достаточно лишь войти в свою учетную запись для получения доступа к нужным разделам.

Итак, в подготовке вашей учетной записи sysdev на сайте sysdev.microsoft.com вам понадобятся следующие действия:

1. Зарегистрироваться на сайте sysdev.microsoft.com
2. Получить доступ к консоли разработчика UEFI
3. Настройка учетной записи и разрешений
4. Загрузка ключей и сертификатов с сервера sysdev

Эти шаги гарантируют, что ваша учетная запись sysdev полностью готова для подписывания загрузочных процедур и файлов UEFI SecureBoot.

Видео:

Windows 10 and 11 Wont Boot, How To Fix UEFI Partition

Windows 10 and 11 Wont Boot, How To Fix UEFI Partition by CyberCPU Tech 443,762 views 6 months ago 19 minutes