1
0
Fork 0
mirror of https://gitlab.com/bztsrc/bootboot.git synced 2023-02-13 20:54:32 -05:00

Added more docs

This commit is contained in:
bzt 2020-09-27 14:58:38 +02:00
parent 1ac5020e3e
commit fa4d1c5604
2 changed files with 18 additions and 16 deletions

View file

@ -67,21 +67,22 @@ semmit, a rootkitek meg tudják kerülni az FBI által megkövetelt, de kiszivá
Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem Ha mégis ragaszkodsz hozzá, akkor ahhoz, hogy működjön, olyan betöltő kell, amit a Microsoft digitálisan aláírt. Ezt nem
könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett, könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadni, akkor se, ha fizetsz érte. Szóval ehelyett,
1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et 1. másold be a `bootboot.efi`-t `EFI\BOOT\GRUBX64.EFI` néven (ez a név be van drótozva a shim-be, nem változtatható).
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$). 2. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re. 3. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el. 4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
``` ```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer openssl x509 -outform DER -in MOK.crt -out MOK.cer
``` ```
5. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva. 6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
``` ```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
``` ```
6. másold át a MOK.cer fájlt az ESP partícióra. 7. másold át a MOK.cer fájlt az ESP partícióra.
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá. 8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
8. engedélyezd a Secure Boot-ot. 9. engedélyezd a Secure Boot-ot.
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
GRUBX64.EFI-t indítja a MOK Menedzser helyett). GRUBX64.EFI-t indítja a MOK Menedzser helyett).

View file

@ -67,21 +67,22 @@ workaround it using the leaked Secure Boot Golden Key backdoor demanded by the F
If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is If despite that you insist, then to get it to work, you'll need a loader that is signed by Microsoft. It is
not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead, not easy to get your custom loader signed, because M$ just won't do that even if you pay for it. So instead,
1. download [shim](https://apps.fedoraproject.org/packages/shim) 1. copy `bootboot.efi` as `EFI\BOOT\GRUBX64.EFI` (this filename is hardwired in shim, not changeable).
2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$). 2. download [shim](https://apps.fedoraproject.org/packages/shim)
3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`. 3. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
4. create a public-private key pair and x509 cert with `openssl`. 4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
5. create a public-private key pair and x509 cert with `openssl`.
``` ```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer openssl x509 -outform DER -in MOK.crt -out MOK.cer
``` ```
5. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`. 6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
``` ```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
``` ```
6. copy MOK.cer to the ESP partition. 7. copy MOK.cer to the ESP partition.
7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it. 8. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
8. enable Secure Boot. 9. enable Secure Boot.
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
instead of the MOK Manager hereafter). instead of the MOK Manager hereafter).