bztsrc--bootboot/x86_64-efi/OLVASSEL.md

BOOTBOOT UEFI Implementáció
===========================

Általános leírásért lásd a [BOOTBOOT Protokoll](https://gitlab.com/bztsrc/bootboot)t.

Az [UEFI gépek](https://www.uefi.org/)en egy szabványos OS Loader alkalmazás használatos PCI Opció ROM-ként is.

Gép állapot
-----------

IRQ-k letiltva, GDT nincs meghatározva, de érvényes, IDT nincs beállítva. SSE, SMP engedélyezve. Kód felügyeleti módban, 0-ás gyűrűn
fut minden processzormagon.

Fájl rendszer meghajtók
-----------------------

Az UEFI verzióban a boot pratíción bármilyen fájl rendszer lehet, amit az EFI Simple File System Protocol támogat.
Ez az implementáció támogatja mind az SHA-XOR-CBC, mind az AES-256-CBC titkosítást.

Telepítés
---------

1. *UEFI lemez*: másold be a __bootboot.efi__-t az **_FS0:\EFI\BOOT\BOOTX64.EFI_**-be.

2. *UEFI ROM*: égesd ki a __bootboot.rom__-t, ami egy szabványos **_PCI Option ROM kép_**.

3. *GRUB*, *UEFI Boot Menedzser*: add hozzá a __bootboot.efi__-t az indítási opciókhoz.

Az EFI Shell-ből interaktívan is futtathatod a betöltőt paramétereket megadva a parancssorban.

```
FS0:\> EFI\BOOT\BOOTX64.EFI /?
BOOTBOOT LOADER (build Oct 11 2017)

SYNOPSIS
  BOOTBOOT.EFI [ -h | -? | /h | /? ] [ INITRDFILE [ ENVIRONMENTFILE [...] ] ]

DESCRIPTION
  Bootstraps an operating system via the BOOTBOOT Protocol.
  If arguments not given, defaults to
    FS0:\BOOTBOOT\INITRD   as ramdisk image and
    FS0:\BOOTBOOT\CONFIG   for boot environment.
  Additional "key=value" command line arguments will be appended to the
  environment. If INITRD not found, it will use the first bootable partition
  in GPT. If CONFIG not found, it will look for /sys/config inside the
  INITRD (or partition). With -s it will scan the memory for an initrd ROM.

  As this is a loader, it is not supposed to return control to the shell.

FS0:\>
```

Limitációk
----------

 - Az első 16G-nyi RAM-ot képezi le.
 - A PCI Option ROM-ot alá kell digitálisan írni ahhoz, hogy használni lehessen.
 - A tömörített initrd ROM 16M-nyi lehet.

Secure Boot
-----------

Először is, ez nem biztonságos egyáltalán. Az elnevezés egy átverés az M$ Marketing osztály részéről, hogy
magukhoz láncolják a gépeket, hogy azok csakis Windózt indítsanak. Ha teheted, kapcsold ki, egyébként sem ér
semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivárgott Secure Boot Golden Key-el.

Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,

1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
```
5. írd alá a __bootboot.efi__-t SHA-256 hashel az `sbsign`-t használva.
```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
```
6. másold át a MOK.cer fájlt az ESP partícióra.
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
8. engedélyezd a Secure Boot-ot.

Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
GRUBX64.EFI-t indítja a MOK Menedzser helyett).
Translations 2019-03-14 21:48:34 -04:00			`BOOTBOOT UEFI Implementáció`
			`===========================`

			`Általános leírásért lásd a [BOOTBOOT Protokoll](https://gitlab.com/bztsrc/bootboot)t.`

			`Az [UEFI gépek](https://www.uefi.org/)en egy szabványos OS Loader alkalmazás használatos PCI Opció ROM-ként is.`

			`Gép állapot`
			`-----------`

			`IRQ-k letiltva, GDT nincs meghatározva, de érvényes, IDT nincs beállítva. SSE, SMP engedélyezve. Kód felügyeleti módban, 0-ás gyűrűn`
			`fut minden processzormagon.`

			`Fájl rendszer meghajtók`
			`-----------------------`

			`Az UEFI verzióban a boot pratíción bármilyen fájl rendszer lehet, amit az EFI Simple File System Protocol támogat.`
			`Ez az implementáció támogatja mind az SHA-XOR-CBC, mind az AES-256-CBC titkosítást.`

			`Telepítés`
			`---------`

			`1. UEFI lemez: másold be a __bootboot.efi__-t az _FS0:\EFI\BOOT\BOOTX64.EFI_-be.`

			`2. UEFI ROM: égesd ki a __bootboot.rom__-t, ami egy szabványos _PCI Option ROM kép_.`

			`3. GRUB, UEFI Boot Menedzser: add hozzá a __bootboot.efi__-t az indítási opciókhoz.`

			`Az EFI Shell-ből interaktívan is futtathatod a betöltőt paramétereket megadva a parancssorban.`

			```
			`FS0:\> EFI\BOOT\BOOTX64.EFI /?`
			`BOOTBOOT LOADER (build Oct 11 2017)`

			`SYNOPSIS`
			`BOOTBOOT.EFI [ -h \| -? \| /h \| /? ] [ INITRDFILE [ ENVIRONMENTFILE [...] ] ]`

			`DESCRIPTION`
			`Bootstraps an operating system via the BOOTBOOT Protocol.`
			`If arguments not given, defaults to`
			`FS0:\BOOTBOOT\INITRD as ramdisk image and`
			`FS0:\BOOTBOOT\CONFIG for boot environment.`
			`Additional "key=value" command line arguments will be appended to the`
			`environment. If INITRD not found, it will use the first bootable partition`
			`in GPT. If CONFIG not found, it will look for /sys/config inside the`
Optional memory scan on UEFI, fixed issue #19 2020-09-02 05:35:56 -04:00			`INITRD (or partition). With -s it will scan the memory for an initrd ROM.`
Translations 2019-03-14 21:48:34 -04:00
			`As this is a loader, it is not supposed to return control to the shell.`

			`FS0:\>`
			```

			`Limitációk`
			`----------`

			`- Az első 16G-nyi RAM-ot képezi le.`
			`- A PCI Option ROM-ot alá kell digitálisan írni ahhoz, hogy használni lehessen.`
			`- A tömörített initrd ROM 16M-nyi lehet.`
Added Secure boot description 2020-07-12 15:29:15 -04:00
			`Secure Boot`
			`-----------`

			`Először is, ez nem biztonságos egyáltalán. Az elnevezés egy átverés az M$ Marketing osztály részéről, hogy`
			`magukhoz láncolják a gépeket, hogy azok csakis Windózt indítsanak. Ha teheted, kapcsold ki, egyébként sem ér`
			`semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivárgott Secure Boot Golden Key-el.`

			`Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem`
			`könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,`

Added more docs 2020-09-27 09:01:40 -04:00			`1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et`
			`2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).`
			3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
			4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
Added Secure boot description 2020-07-12 15:53:53 -04:00			```
			`openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt`
			`openssl x509 -outform DER -in MOK.crt -out MOK.cer`
			```
Added more docs 2020-09-27 09:01:40 -04:00			5. írd alá a __bootboot.efi__-t SHA-256 hashel az `sbsign`-t használva.
Added Secure boot description 2020-07-12 15:53:53 -04:00			```
			`sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi`
			```
Added more docs 2020-09-27 09:01:40 -04:00			`6. másold át a MOK.cer fájlt az ESP partícióra.`
			`7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.`
			`8. engedélyezd a Secure Boot-ot.`
Added Secure boot description 2020-07-12 15:29:15 -04:00
			`Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt`
			`GRUBX64.EFI-t indítja a MOK Menedzser helyett).`