diff --git a/x86_64-efi/OLVASSEL.md b/x86_64-efi/OLVASSEL.md index 03592c3..6b051d2 100644 --- a/x86_64-efi/OLVASSEL.md +++ b/x86_64-efi/OLVASSEL.md @@ -67,22 +67,21 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett, -1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható). -2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et -3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$). -4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re. -5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el. +1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et +2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$). +3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re. +4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el. ``` openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt openssl x509 -outform DER -in MOK.crt -out MOK.cer ``` -6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva. +5. írd alá a __bootboot.efi__-t SHA-256 hashel az `sbsign`-t használva. ``` sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi ``` -7. másold át a MOK.cer fájlt az ESP partícióra. -8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá. -9. engedélyezd a Secure Boot-ot. +6. másold át a MOK.cer fájlt az ESP partícióra. +7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá. +8. engedélyezd a Secure Boot-ot. Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt GRUBX64.EFI-t indítja a MOK Menedzser helyett). diff --git a/x86_64-efi/README.md b/x86_64-efi/README.md index 87e9e05..9dca303 100644 --- a/x86_64-efi/README.md +++ b/x86_64-efi/README.md @@ -67,22 +67,21 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead, -1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable). -2. download [shim](https://apps.fedoraproject.org/packages/shim) -3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$). -4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`. -5. create a public-private key pair and x509 cert with `openssl`. +1. download [shim](https://apps.fedoraproject.org/packages/shim) +2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$). +3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`. +4. create a public-private key pair and x509 cert with `openssl`. ``` openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt openssl x509 -outform DER -in MOK.crt -out MOK.cer ``` -6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`. +5. sign __bootboot.efi__ using an SHA-256 hash with `sbsign`. ``` sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi ``` -7. copy MOK.cer to the ESP partition. -8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it. -9. enable Secure Boot. +6. copy MOK.cer to the ESP partition. +7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it. +8. enable Secure Boot. After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI instead of the MOK Manager hereafter).