From fa4d1c56048fcd17faabdb6203e8ae806b0e7be5 Mon Sep 17 00:00:00 2001
From: bzt <bztemail@gmail.com>
Date: Sun, 27 Sep 2020 14:58:38 +0200
Subject: [PATCH] Added more docs

---
 x86_64-efi/OLVASSEL.md | 17 +++++++++--------
 x86_64-efi/README.md   | 17 +++++++++--------
 2 files changed, 18 insertions(+), 16 deletions(-)

diff --git a/x86_64-efi/OLVASSEL.md b/x86_64-efi/OLVASSEL.md
index b71649b..03592c3 100644
--- a/x86_64-efi/OLVASSEL.md
+++ b/x86_64-efi/OLVASSEL.md
@@ -67,21 +67,22 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá
 Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
 könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
 
-1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
-2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
-3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
-4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
+1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható).
+2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
+3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
+4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
+5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
 ```
 openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
 openssl x509 -outform DER -in MOK.crt -out MOK.cer
 ```
-5. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
+6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
 ```
 sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
 ```
-6. másold át a MOK.cer fájlt az ESP partícióra.
-7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
-8. engedélyezd a Secure Boot-ot.
+7. másold át a MOK.cer fájlt az ESP partícióra.
+8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
+9. engedélyezd a Secure Boot-ot.
 
 Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
 GRUBX64.EFI-t indítja a MOK Menedzser helyett).
diff --git a/x86_64-efi/README.md b/x86_64-efi/README.md
index 9d97d9f..87e9e05 100644
--- a/x86_64-efi/README.md
+++ b/x86_64-efi/README.md
@@ -67,21 +67,22 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F
 If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
 not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
 
-1. download [shim](https://apps.fedoraproject.org/packages/shim)
-2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
-3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
-4. create a public-private key pair and x509 cert with `openssl`.
+1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable).
+2. download [shim](https://apps.fedoraproject.org/packages/shim)
+3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
+4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
+5. create a public-private key pair and x509 cert with `openssl`.
 ```
 openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
 openssl x509 -outform DER -in MOK.crt -out MOK.cer
 ```
-5. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
+6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
 ```
 sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
 ```
-6. copy MOK.cer to the ESP partition.
-7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
-8. enable Secure Boot.
+7. copy MOK.cer to the ESP partition.
+8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
+9. enable Secure Boot.
 
 After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
 instead of the MOK Manager hereafter).