Es wird doch nur der bootloader signiert - richtig? Dieser lädt und startet dann letztlich den Kernel. Warum also sollte es also nicht möglich sein einen beliebigen (auch selbst kompilierten) Kernel mit z.B. einem bereits signierten grub zu booten? Warum also sollten diejenigen, die einen eigenen Kernel einsetzen wollen/müssen irgendwelche Signiergebühren an MS abliefern müssen? Ich sehe da keine Einschränkungen. Oder hab ich da was falsch verstanden?
Nein, nach dem Ansatz von Fedora muss auch der Kernel inkl. aller Kernel-Module signiert sein.
Q: What if I want to build a custom kernel or load 3rd party kernel modules? A: You will need to disable Secure boot, or setup your own keys and sign everything with them.
Aber das ist dann auf Grund einer Funktion im grub und nicht auf Grund einer Funktion des secure boot gegeben - oder? Also: secure boot checkt ob der boot loader korrekt signiert ist und grub checkt ob der Kernel darf. So stell ich mir das zumindest in meiner Naivität vor...
OK. Warum also soll es dann ein Problem sein, einen eignen Kernel zu bauen? Der authentifiziert sich ja dann gegen den bereits gegen secure boot authentifizierten grub und nicht gegen secure boot und damit hat secure boot nichts damit zu tun. Es geht nur mehr darum, den boot loader laufbar zu machen. Noch mal: ich vermute, dass ich das system nicht richtig verstehe. Wär schön, wenn das mal jemand ganz klar erklären würde... Danke!
Man darf nicht übersehen, dass ein UEFI-konformer Boot-Loader (also auch die GRUB-für-UEFI-Variante) mit der Firmware interagieren muss, um den ganzen Spaß (also u.a. Secure Boot) spezifikationsgemäß umzusetzen.
Der von Fedora ausgelieferte GRUB wird von Fedora mit deren privatem Schlüssel signiert, und nur solche Kernel-Images laden die im Sinne von Secure Boot vertrauenswürdig, also ebenfalls von Fedora signiert sind. Das wäre z.B. der Fedora-Stock-Kernel, aber auch ein Custom-Kernel der mit einem anderen, wiederum von Fedora authorisierten, Schlüssel signiert wurde, der sich weiter unten in der Vertrauenskette befindet -- z.B. beim Nutzer.
Selbstverständlich könnte Fedora auch einen GRUB signieren, der irgendwelchen Müll lädt. Damit wäre aber Fedoras privater Schlüssel kompromittiert und beim nächsten Update der CRL nicht mehr funktionsfähig. Folglich wäre kein Fedora-System mehr out-of-the-box auf einem Rechner mit aktiviertem Secure Boot lauffähig, es sei denn, Fedora beantragt ein neues Zertifikat bzw. neue Schlüssel.
Es wird doch nur der bootloader signiert - richtig? Dieser lädt und startet dann letztlich den Kernel.
Warum also sollte es also nicht möglich sein einen beliebigen (auch selbst kompilierten) Kernel mit z.B. einem bereits signierten grub zu booten? Warum also sollten diejenigen, die einen eigenen Kernel einsetzen wollen/müssen irgendwelche Signiergebühren an MS abliefern müssen? Ich sehe da keine Einschränkungen. Oder hab ich da was falsch verstanden?
Nein, nach dem Ansatz von Fedora muss auch der Kernel inkl. aller Kernel-Module signiert sein.
https://fedoraproject.org/wiki/SecurebootAber das ist dann auf Grund einer Funktion im grub und nicht auf Grund einer Funktion des secure boot gegeben - oder? Also: secure boot checkt ob der boot loader korrekt signiert ist und grub checkt ob der Kernel darf. So stell ich mir das zumindest in meiner Naivität vor...
Ja, so soll die Chain-of-Trust aussehen...
OK. Warum also soll es dann ein Problem sein, einen eignen Kernel zu bauen? Der authentifiziert sich ja dann gegen den bereits gegen secure boot authentifizierten grub und nicht gegen secure boot und damit hat secure boot nichts damit zu tun. Es geht nur mehr darum, den boot loader laufbar zu machen.
Noch mal: ich vermute, dass ich das system nicht richtig verstehe. Wär schön, wenn das mal jemand ganz klar erklären würde...
Danke!
Man darf nicht übersehen, dass ein UEFI-konformer Boot-Loader (also auch die GRUB-für-UEFI-Variante) mit der Firmware interagieren muss, um den ganzen Spaß (also u.a. Secure Boot) spezifikationsgemäß umzusetzen.
Der von Fedora ausgelieferte GRUB wird von Fedora mit deren privatem Schlüssel signiert, und nur solche Kernel-Images laden die im Sinne von Secure Boot vertrauenswürdig, also ebenfalls von Fedora signiert sind. Das wäre z.B. der Fedora-Stock-Kernel, aber auch ein Custom-Kernel der mit einem anderen, wiederum von Fedora authorisierten, Schlüssel signiert wurde, der sich weiter unten in der Vertrauenskette befindet -- z.B. beim Nutzer.
Selbstverständlich könnte Fedora auch einen GRUB signieren, der irgendwelchen Müll lädt. Damit wäre aber Fedoras privater Schlüssel kompromittiert und beim nächsten Update der CRL nicht mehr funktionsfähig. Folglich wäre kein Fedora-System mehr out-of-the-box auf einem Rechner mit aktiviertem Secure Boot lauffähig, es sei denn, Fedora beantragt ein neues Zertifikat bzw. neue Schlüssel.