From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
Date: Thu, 10 Jan 2013 01:43:40 +0200
From: Michael Shigorin <mike@osdn.org.ua>
To: sisyphus@lists.altlinux.org
Message-ID: <20130109234340.GU9659@osdn.org.ua>
Mail-Followup-To: sisyphus@lists.altlinux.org
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
User-Agent: Mutt/1.4.2.1i
Subject: [sisyphus] I: initial signed UEFI bootloader support
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: shigorin@gmail.com,
	ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 09 Jan 2013 23:43:47 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20130109234340.GU9659@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

	Здравствуйте.
В ночь на сегодня наконец сложились кусочки и получилось
http://ftp.linux.kiev.ua/pub/Linux/ALT/people/mike/iso/mkimage-profiles/half-/20130110/regular-e17-20130110-x86_64.iso
-- по идее, этот образ способен загружаться на UEFI firmware
с неотключенным Secure Boot (aka Restricted Boot).

Если фирмварь предоставляет возможность бэкапа существующих баз
на флэшку, стоит ей воспользоваться.

Перед первой загрузкой собственно ядра потребуется добавить
сгенерированный и опубликованный мной в составе пакета
alt-uefi-keys ключ как Machine Owner Key[!], как описано здесь:
http://www.rodsbooks.com/efi-bootloaders/secureboot.html
(пп. 13--18).

При успешной загрузке первой строчкой будет "Binary is whitelisted"
или "Secure boot not enabled".

[!] поскольку опубликована также и *приватная* часть ключа
    (в составе alt-uefi-keys-private), это в принципе может
    привести к тому, что когда-то кто-то подпишет этим ключом
    зловредный код и убедит вас запустить его как загрузочный;
    предложения по организации подписывания загрузчиков
    принимаются, текущий "рабочий" вектор -- вслед за федорой
    выделить отдельное сборочное окружение и в дальнейшем
    обеспечить доступность из него HSM вроде yubikey.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/