UEFI Secure Boot学习草稿(quqi99)

最新推荐文章于 2024-08-07 17:21:46 发布
最新推荐文章于 2024-08-07 17:21:46 发布
阅读量2.4k 收藏 7
点赞数 1
分类专栏: Linux Kernel 文章标签: uefi secure boot grub2 efi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quqi99/article/details/108874017
版权

作者:张华 发表于:2020-09-29
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

什么是secure boot

secureboot is designed to present non-Windows OS from booting(Secure Boot works by placing the root of trust in firmware), you can still boot Grub2 with secureboot using shim and MOK manager. And from grub2, you can boot into other operating systems.也就是说:
secureboot将根证书放在固件firmware中, 然后可以验证signed bootloader, signed bootloader然后再验证signed kernel和signed 2nd stage boot loader.这样系统允许你修改secureboot keys.

  • db, 允许bootloaders的公钥集合
  • dbx, 不允许bootloaders的公钥集合
  • KEK, 允许操作db的公钥集合
  • PK, 允许操作KEK的私钥.

默认地, 系统有硬件制造商的PK, microsoft和硬件制造商的公钥在db与KEK里. 这样就可以使用microsoft-certified bootloaders, 再通过它签名的shim来使用其他linuxers. 有的UEFI BIOS setup允许adding and delteing所有的secureboot keys, 而有些却允许你要么删除所有要么用默认(删除之前记得备份哦). 如果PK被删除的话, secure boot这时叫so-called setup mode. 你可能想有这个密钥:
the db set should contain:

  • your own public key certificate, for booting things you’ve explicitly signed
  • maybe your favorite Linux distribution’s kernel signing certificate, if you want to use pre-packaged kernels without manually re-signing them
  • maybe hardware vendor’s certificate, to allow installing firmware updates if necessary maybe Microsoft’s third-party UEFI certificate, to allow the use of pre-packaged Linux bootloaders and live Linux boot media without explicitly re-signing them or disabling Secure Boot
  • maybe Microsoft’s OS signing certificate, if you dual-boot with Windows

the KEK set should contain:

  • your own certificate, for updating db and dbx
  • if your system includes UEFI-aware Microsoft OSs, you may want to include Microsoft’s KEK certificate, as Microsoft’s updates sometimes include updates to db and/or dbx and those updates won’t install successfully if access to Secure Boot is denied
  • and finally, once all the rest is set up as you want, you should place your own certificate into PK to make Secure Boot effective again.

有无shim

bootloader有两种, shim与grub2都叫bootloader, 所以理论上是可以不需要shim的, 但为什么需要shim呢? 这个网页(https://unix.stackexchange.com/questions/423666/secureboot-with-uefi-bootloader-and-grub2-only)说:grub uses firmware API to validate binary signatures; you might prefer shim instead of signing the binaries with the “precious” key each time.

非secureboot模式下, 没有shim组件, efi直接启动grub2.
在secureboot模式下, 有shim组件, 且shim需要使用efi中的证书签名(grub2和kernel的签名不一定非要用efi中的证书, 可以自己随意定制后再使用shim相关工具导入nvram中). 即使在secureboot模式下也可以有shim和无shim:

  • 无shim, 在centos中可以跳过shim, 直接让efi启动grub2也是没问题的, 但grub2与kernel都需要使用efi中的证书签名, 由efi进行grub2与kernel的校验.
  • 有shim, grub2中用户选择kernel后, grub2回调shim组件校验kernel(grub2, kernel使用相同的私钥签名)

可信问题

  • initrd和intrd加载的模式都是不可信的, 这部分都没有经过签名;
  • systemtap, kexec, kdump也都是没有签名的;
  • 第三方KO模式没有签名(正常情况下, 模块需要使用mok签名, shim来验证)

secureboot启动流程

1, 打开电源, 先运行Secure Boot-capable UEFI firmware (对于qemu虚机, 这个secureboot capable UEFI OVMF firmware叫UEFI x86_64 : usr/share/OVMF/OVMF_CODE.fd, (sudo apt install ovmf && sudo systemctl restart libvirtd)

2, firware验证bootloader的签名. UEFI firmware中预先在NVRAM系统中(或者compiled-in defaults)集成了一些公钥集合(secure boot key sets) , 它可以给bootloader验证签名(shim or grub2), 不使用shim的话, grub2得每次调用firware api去验证签名.

UEFI firmware uses /boot/efi/EFI/BOOT/BOOTX64.EFI (从md5sum看它和/boot/efi/EFI/centos/shimx64.efi是同一个文件, 对于shim就是将shimx64.efi拷贝到BOOTX64.EFI, 对于grub2可能就是将grubx64.efi拷贝到BOOTX64.EFI了) to boot at the first stage.

[root@test2 ~]# md5sum /boot/efi/EFI/BOOT/BOOTX64.EFI
25d9ccc49c419d76324a29615e8371c2 /boot/efi/EFI/BOOT/BOOTX64.EFI
[root@test2 ~]# md5sum /boot/efi/EFI/centos/shimx64.efi
25d9ccc49c419d76324a29615e8371c2 /boot/efi/EFI/centos/shimx64.efi
[root@test2 ~]# md5sum /boot/efi/EFI/centos/shimx64-centos.efi
d435494a957479acac3aca09915c21d1 /boot/efi/EFI/centos/shimx64-centos.efi
[root@test2 ~]# md5sum /boot/efi/EFI/centos/grubx64.efi
031b972f3ab267f37e01ada73f4b480d /boot/efi/EFI/centos/grubx64.efi

3, bootloader再去验证kernel的签名.

then shim will load grub2 (/boot/efi/EFI/centos/grubx64.efi) in the second stage

4, kernel再去验证module的签名.

Reference

[1] https://wiki.ubuntu.com/UEFI/SecureBoot/Testing?action=show&redirect=SecurityTeam%2FSecureBoot
[2] https://www.aioboot.com/en/secure-boot/
[3] https://specs.openstack.org/openstack/nova-specs/specs/train/approved/allow-secure-boot-for-qemu-kvm-guests.html
[4] Grub 2:拯救你的 bootloader, https://linux.cn/article-6892-1.html?pr
[5] https://unix.stackexchange.com/questions/423666/secureboot-with-uefi-bootloader-and-grub2-only

quqi99
关注
专栏目录
如何在 Linux 系统启用 UEFISecure Boot
个人博客
09-02 2万+
如何在 Linux 系统启用 UEFISecure Boot概述Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭 ( 有少数恶心的计算机里面, Secure Boot 被设置为开启,却不存在关闭它的选项,但系统主板内置有 Windows 系统的公钥证书签名,使其只能加载 Windows ,其他系统一律不以加载,用户没的选,不能关闭,还没法换系统,真的很恶心)。 Se
Cstyle的UEFI导读:Secure Boot简介
业余电子爱好者的日常
11-25 4515
安全启动(SecureBoot)使用非对称加密与数字签名技术提供了一种从硬件到操作系统的安全启动信任链。本文介绍了系统固件、OS Loader、证书、密钥及之间的沟通流程。在windows下下可以使用如下命令获取PK,KEKdb、dbx、SetupMode、SecureBoot、PKDefault、KEKDefault、dbDefault、dbt、dbtDefault等全局变量的值。 例如:当前系统的SetupMode的NV值是0,表示工作在user模式。 平台密钥Platform Key (P
qemu-ovmf-secureboot:生成带有默认安全启动密钥的OVMF vars文件的脚本
05-25
QEMU,OVMF和安全启动 描述 ovmf-vars-generator是用于生成OVMF变量(“ VARS”)文件的脚本,该文件中注册了默认的安全启动密钥。 并验证它是否可以正常工作。 先决条件 要成功生成VARS文件,首先需要从给定Linux发行商处获得X.509证书,以便我们可以将它作为SMBIOS“ OEM字符串”提供给QEMU(通过ovmf-vars-generator )。 每个Linux发行版都应提供X.509证书,以作为安全启动平台密钥注册到OVMF虚拟机中。 为了演示,让我们创建一个自签名的CA(如此处所述 ): $> openssl要求-x509 -newkey rsa:2048 强大的PEM 按键PkKek1.private.key 出PkKek1.pem 填写详细信息。 然后,从base64编码的PkKek1.pem文件中“剥离页眉,页脚;在应用程序前缀之前
UEFI、BIOS、Secure Boot的关系和知识介绍
weixin_34161032的博客
09-10 1646
    从Windows 8操作系统时代开始,安装操作系统的方法也有了很大的改变,Windows 8采用了Secure Boot引导启动的方式,而不是过去Win XP和Win 7的Legacy启动方式,从而导致的问题是所有预装Windows 8/8.1系统的笔记本要安装Win7的话必须修改BIOS,给很多想更换操作系统的用户增加了一点小难度。     ...
安全启动的原理
最新发布
liudong200618的博客
08-07 425
安全启动机制是现代设备中保护系统免受恶意软件和其他安全威胁的关键组成部分,它确保了从设备启动到操作系统和应用程序加载的整个过程中软件的完整性和安全性。- 数字签名通常基于公钥基础设施,设备制造商会使用一个安全的私钥对软件进行签名,而设备上的安全硬件会使用相应的公钥来验证签名。- 在设备制造过程中,信任根的固件(如启动加载程序)会被安全地存储在设备的只读存储器(ROM)或类似的不可变存储介质中。- 安全启动过程始于硬件信任根,通常是设备上的一个安全硬件组件,如安全处理器或安全芯片。
UEFI Secure Boot
qq_40569221的博客
03-05 1562
在计算机世界,安全是一个永恒的话题。微软的Windows的安全性一直深受诟病,但随着操作系统层面的漏洞逐渐减少,黑客们盯上了BIOS固件。那如何保证从开机到进入操作系统这个过程中的安全呢?下图是Intel CPU的整个UEFI安全启动链条,涉及到了Boot Guard、Secure Boot等技术。Microcode验证ACM, ACM验证IBB,IBB验证OBB,而OBB后面就是本文的主题UEFI Secure BootUEFI Secure BootUEFI规范中所定义的一个功能。
UEFI实战】Secure Boot
热门推荐
jiangwei0512的博客
03-29 1万+
UEFI实战】Secure Boot
提取Secure Boot Key.rar
01-21
标题中的“提取Secure Boot Key.rar”表明这是一个关于获取UEFI Secure Boot安全密钥的工具包。Secure BootUEFI(统一可扩展固件接口)的一部分,它是一种安全机制,用于防止恶意软件在操作系统启动过程中感染系统...
secureboot_R32.4.2_aarch64_nvidia_tegra_secureboot_secureboot_
10-02
【标题】"secureboot_R32.4.2_aarch64_nvidia_tegra_secureboot_secureboot_" 提供的是NVIDIA Tegra平台上的安全启动(Secure Boot)相关资源,版本号为R32.4.2,适用于aarch64架构。安全启动是现代嵌入式设备和...
UEFI secure boot(1)- 简介
qq_21186033的博客
05-17 2133
1、公钥加密和数字签名 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息y,但因不知道解密的方法,仍然无法了解信息的内容x。 对称密钥和非对称密钥 对称密钥:在双方之间通信,有一个共同密钥来加减密 非对称密钥:不需要事先约定且不需要知道通信对方是谁,公钥部分和私钥部分共同组成新形式的密钥——非对称密钥。 好比是通信双方,有一个人建立了一个保险柜(将保险柜的制造方法理解为私钥),将信息存入其中,并把保险柜的钥匙(公钥)交给另一方,而另一方当然可以拿着这个钥匙获取保险柜
UEFI secure boot(2)- UEFI variable及签名认证过程
qq_21186033的博客
05-17 6136
UEFI中Variable的实现 安全启动涉及到的关于启动模式变量以及上述密钥变量的保存,在uefi中,设置开机的启动项,设置开机密码等功能.这部分功能在标准的uefi中都是使用Variable这套机制实现的。而安全启动中的变量的保存也是通过这套机制来实现的。这些变量将分别保存到内存以及flash中。 (1)Variable变量在flash中数据结构 当安全启动禁用时 即在系统中只保存关于一些启动过程中的相关变量时,格式如下: 在flash中的基地址是0x900000001fc01048 typed
UEFI secure boot(3)- 安全引导的实现
qq_21186033的博客
05-18 3713
1、先决条件 1)固件必须支持UEFISecureBoot。 2)固件必须支持Setup Mode,或至少清除密钥。 3)一个PKI,以及一种管理(生成和签名)您的X.509证书的方法。 2、生成及添加密钥 参考上述签名过程,简言之,配置包括: 1). 生成初始的已允许数据库(Allowed Database) 2). 生成初始的被禁止数据库(Forbidden Database) 3). 生成初始的秘钥交换秘钥数据库(KEK Database) 4). 设置平台秘钥(PK) .
Secure Boot(安全启动)
u013434525的博客
03-01 2418
如果在这个模式下清除了密钥,那么原有的密钥通常无法恢复,因为它们是存储在UEFI固件的非易失性存储区域中的,一旦清除,就无法通过正常的UEFI界面恢复。Secure Boot(安全启动)的原理基于链式验证,这是一种确保计算机在启动过程中只加载和执行经过认证的软件的机制。:在启动过程中,UEFI固件会使用存储的私钥来验证启动文件(如启动加载程序)的签名。:一旦验证通过,UEFI固件会将控制权交给启动加载程序,启动加载程序接着会验证操作系统内核和其他关键组件的签名,确保整个启动过程的安全性。
虚拟机Secure Boot安全启动
faxiang1230的专栏
05-16 1万+
概述 Secure Boot 作为 UEFI 的一个选项,它可以被设置为开启或关闭。 Secure Boot 所需要的公钥证书被保存在计算机的主板的 FLASH 里面,FLASH 里面保存着 PK , KEK, db, dbx 的证书链。下面我们在虚拟机中使能Secure Boot功能,可以在虚拟机中实验,这样比较安全。 工具 以下工具是必不可少的: openssl efitools sbsigntools 在有些系统上 efitools 和 sbsigntools 无法直接获取,请从源码包编译,其中ef
UEFI.Secure.Boot客制化方案一_Windows环境
NEWLIA 在 CSDN 的博客。
12-15 264
创建 ESL 文件,需要自定义 8-4-4-4-12 的 ID。备份 UEFI Secure Boot 原有的证书。先通过 Windows SDK 安装相关工具。ESL 转换为 AUTH。计算和保存文件哈希值。
双系统安装ubuntu18.04LTS时遇到的显卡驱动问题解决方案
qq_38705905的博客
02-13 850
由于最近搞毕业设计,需要在ubuntu上用GPU跑神经网络模型,在安装ubuntu的过程中出现了特别多的问题。查找了许多资料以后,我觉得有必要分享一下我完美解决这些问题的过程。 首先,下载ubuntu18.04的镜像文件和制作U盘启动盘的过程我就不做阐述了,百度随便一搜一大把。 这里我们要注意uefi模式,uefi是一种启动模式(另一种legacy)。我们需...
UEFI简介
疏影
05-21 5763
UEFI(Unified Extensible Firmware Interface)是一个新的工业标准,规定了一个预启动环境中的系统接口。UEFI会在电源加电之后以及操作系统完全加载之后控制系统。而且,UEFI也负责在系统提供的资源和运转中的系统之前提供接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

quqi99

你的鼓励就是我创造的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值