OK. Warum also soll es dann ein Problem sein, einen eignen Kernel zu bauen? Der authentifiziert sich ja dann gegen den bereits gegen secure boot authentifizierten grub und nicht gegen secure boot und damit hat secure boot nichts damit zu tun. Es geht nur mehr darum, den boot loader laufbar zu machen. Noch mal: ich vermute, dass ich das system nicht richtig verstehe. Wär schön, wenn das mal jemand ganz klar erklären würde... Danke!
Man darf nicht übersehen, dass ein UEFI-konformer Boot-Loader (also auch die GRUB-für-UEFI-Variante) mit der Firmware interagieren muss, um den ganzen Spaß (also u.a. Secure Boot) spezifikationsgemäß umzusetzen.
Der von Fedora ausgelieferte GRUB wird von Fedora mit deren privatem Schlüssel signiert, und nur solche Kernel-Images laden die im Sinne von Secure Boot vertrauenswürdig, also ebenfalls von Fedora signiert sind. Das wäre z.B. der Fedora-Stock-Kernel, aber auch ein Custom-Kernel der mit einem anderen, wiederum von Fedora authorisierten, Schlüssel signiert wurde, der sich weiter unten in der Vertrauenskette befindet -- z.B. beim Nutzer.
Selbstverständlich könnte Fedora auch einen GRUB signieren, der irgendwelchen Müll lädt. Damit wäre aber Fedoras privater Schlüssel kompromittiert und beim nächsten Update der CRL nicht mehr funktionsfähig. Folglich wäre kein Fedora-System mehr out-of-the-box auf einem Rechner mit aktiviertem Secure Boot lauffähig, es sei denn, Fedora beantragt ein neues Zertifikat bzw. neue Schlüssel.
OK. Warum also soll es dann ein Problem sein, einen eignen Kernel zu bauen? Der authentifiziert sich ja dann gegen den bereits gegen secure boot authentifizierten grub und nicht gegen secure boot und damit hat secure boot nichts damit zu tun. Es geht nur mehr darum, den boot loader laufbar zu machen.
Noch mal: ich vermute, dass ich das system nicht richtig verstehe. Wär schön, wenn das mal jemand ganz klar erklären würde...
Danke!
Man darf nicht übersehen, dass ein UEFI-konformer Boot-Loader (also auch die GRUB-für-UEFI-Variante) mit der Firmware interagieren muss, um den ganzen Spaß (also u.a. Secure Boot) spezifikationsgemäß umzusetzen.
Der von Fedora ausgelieferte GRUB wird von Fedora mit deren privatem Schlüssel signiert, und nur solche Kernel-Images laden die im Sinne von Secure Boot vertrauenswürdig, also ebenfalls von Fedora signiert sind. Das wäre z.B. der Fedora-Stock-Kernel, aber auch ein Custom-Kernel der mit einem anderen, wiederum von Fedora authorisierten, Schlüssel signiert wurde, der sich weiter unten in der Vertrauenskette befindet -- z.B. beim Nutzer.
Selbstverständlich könnte Fedora auch einen GRUB signieren, der irgendwelchen Müll lädt. Damit wäre aber Fedoras privater Schlüssel kompromittiert und beim nächsten Update der CRL nicht mehr funktionsfähig. Folglich wäre kein Fedora-System mehr out-of-the-box auf einem Rechner mit aktiviertem Secure Boot lauffähig, es sei denn, Fedora beantragt ein neues Zertifikat bzw. neue Schlüssel.