mirror of
https://gitlab.com/bztsrc/bootboot.git
synced 2023-02-13 20:54:32 -05:00
Added more docs
This commit is contained in:
parent
fa4d1c5604
commit
7ca9bb8384
2 changed files with 16 additions and 18 deletions
|
@ -67,22 +67,21 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá
|
||||||
Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
|
Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
|
||||||
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
|
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
|
||||||
|
|
||||||
1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható).
|
1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
|
||||||
2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
|
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
|
||||||
3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
|
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
|
||||||
4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
|
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
|
||||||
5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
|
|
||||||
```
|
```
|
||||||
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
||||||
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
||||||
```
|
```
|
||||||
6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
|
5. írd alá a __bootboot.efi__-t SHA-256 hashel az `sbsign`-t használva.
|
||||||
```
|
```
|
||||||
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
||||||
```
|
```
|
||||||
7. másold át a MOK.cer fájlt az ESP partícióra.
|
6. másold át a MOK.cer fájlt az ESP partícióra.
|
||||||
8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
|
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
|
||||||
9. engedélyezd a Secure Boot-ot.
|
8. engedélyezd a Secure Boot-ot.
|
||||||
|
|
||||||
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
|
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
|
||||||
GRUBX64.EFI-t indítja a MOK Menedzser helyett).
|
GRUBX64.EFI-t indítja a MOK Menedzser helyett).
|
||||||
|
|
|
@ -67,22 +67,21 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F
|
||||||
If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
|
If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
|
||||||
not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
|
not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
|
||||||
|
|
||||||
1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable).
|
1. download [shim](https://apps.fedoraproject.org/packages/shim)
|
||||||
2. download [shim](https://apps.fedoraproject.org/packages/shim)
|
2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
|
||||||
3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
|
3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
|
||||||
4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
|
4. create a public-private key pair and x509 cert with `openssl`.
|
||||||
5. create a public-private key pair and x509 cert with `openssl`.
|
|
||||||
```
|
```
|
||||||
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
|
||||||
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
openssl x509 -outform DER -in MOK.crt -out MOK.cer
|
||||||
```
|
```
|
||||||
6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
|
5. sign __bootboot.efi__ using an SHA-256 hash with `sbsign`.
|
||||||
```
|
```
|
||||||
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
|
||||||
```
|
```
|
||||||
7. copy MOK.cer to the ESP partition.
|
6. copy MOK.cer to the ESP partition.
|
||||||
8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
|
7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
|
||||||
9. enable Secure Boot.
|
8. enable Secure Boot.
|
||||||
|
|
||||||
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
|
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
|
||||||
instead of the MOK Manager hereafter).
|
instead of the MOK Manager hereafter).
|
||||||
|
|
Loading…
Reference in a new issue