Neue Antwort schreiben 
 
Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Secure Boot unter Linux einrichten
DosAmp Offline
Flegkano

Beiträge: 11.969
Registriert seit: Jul 2008
Beitrag #11
RE: Secure Boot unter Linux einrichten
Sorry, hatte überlesen, dass efi-updatevar -a eine Variable ergänzt, nicht ersetzt.

[Bild: stempel.png]
11.02.2016 14:38
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
gandro Offline
Quälgeist

Beiträge: 8.820
Registriert seit: Jul 2008
Beitrag #12
RE: Secure Boot unter Linux einrichten
(11.02.2016 14:25)Alpha schrieb:  Wie genau meinst du das? Ich habe eine initramfs im Einsatz, weil LUKS. Gibt zwei Optionen. Entweder direkt in den Kernel miteinkompilieren oder im UEFI mitübergeben. Ich mache ersteres.. zweiteres sollte aber kein Problem sein. Mit efibootmgr einfach diese angeben:
Code:
efibootmgr --create --disk sda --part 1 --label "Gentoo Linux" --loader '\efi\gentoo\boot\kernel.efi' -u initrd='\efi\gentoo\boot\initramfs.img'
Oder worauf willst du hinaus?
Ah okay, wusste nicht dass UEFI auch die initramfs laden kann, danke für die Info.

Stellt sich aber die Frage, wie das mit dem Signieren der initramfs aussieht, und wer die Signatur davon prüft..?

Weil in der initramfs eine Backdoor einzubauen ist vermutlich der einfachste Angriffsvektor überhaupt. Einfach ein Shellscript rein was den den Passwort-Prompt von LUKS simuliert und schon hab ich dein Passwort, ich brauch deinen signierten Kernel nicht mal anfassen (abgesehen davon, dass Backdoor im Kernel einbauen auch etwas mehr Können und Aufwand benötigt).

Nachtrag: Die imho einfachste Alternative, wenn man auf einem System mit Microsoft-Keys was booten will ist HashTool. http://blog.hansenpartnership.com/linux-...-released/
(Dieser Beitrag wurde zuletzt bearbeitet: 11.02.2016 15:28 von gandro.)
11.02.2016 15:24
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #13
RE: Secure Boot unter Linux einrichten
(11.02.2016 15:24)gandro schrieb:  Ah okay, wusste nicht dass UEFI auch die initramfs laden kann, danke für die Info.

Kann es nicht, das macht der EFISTUB-Loader im Kernel. Der parst auch argv und lädt das, was in initrd= angegeben wird. Das UEFI lädt auch streng genommen nicht den Kernel, sondern EFISTUB. Liegt halt rein zufällig in der selben Datei.

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
11.02.2016 16:00
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 15.839
Registriert seit: Jan 2009
Beitrag #14
RE: Secure Boot unter Linux einrichten
Weiß eigentlich jemand, ob die Keys bei einem BIOS-Update im ThinkPad wieder gelöscht werden?

Mark IV Style Motherfucker!
(Dieser Beitrag wurde zuletzt bearbeitet: 16.04.2016 18:55 von Alpha.)
16.04.2016 18:54
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 15.839
Registriert seit: Jan 2009
Beitrag #15
RE: Secure Boot unter Linux einrichten
Offenbar lassen sich eigene Keys nicht einrichten im X260 :
Sobald ich das erste Set an Keys einspiele (Egal, ob die MS Keys oder meine eigenen), kann ich das zweite Set (Dann entweder MS oder meine eigenen) nicht mehr einspielen..

Cannot write to KEK, wrong filesystem permissions

Jemand ne Idee dazu? Erlaubt das ThinkPad etwa nicht mehr mehrere Keys?
Aufm Desktop im UEFI klappts einwandfrei.

Mark IV Style Motherfucker!
(Dieser Beitrag wurde zuletzt bearbeitet: 24.04.2016 18:10 von Alpha.)
24.04.2016 18:10
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #16
RE: Secure Boot unter Linux einrichten
T460p tut, und ich kann mir eigentlich nicht vorstellen, dass die Plattformen so anders sind.
Code:
Variable PK, length 817
PK: List 0, type X509
    Signature 0, size 789, owner 21b4f008-cf75-4e67-b09d-ae0aff1903e5
        Subject:
            CN=qsx’ PK
        Issuer:
            CN=qsx’ PK
Variable KEK, length 3364
KEK: List 0, type X509
    Signature 0, size 957, owner 7facc7b6-127f-4e9c-9c5d-080f98994345
        Subject:
            C=JP, ST=Kanagawa, L=Yokohama, O=Lenovo Ltd., CN=Lenovo Ltd. KEK CA 2012
        Issuer:
            C=JP, ST=Kanagawa, L=Yokohama, O=Lenovo Ltd., CN=Lenovo Ltd. KEK CA 2012
KEK: List 1, type X509
    Signature 0, size 1532, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
KEK: List 2, type X509
    Signature 0, size 791, owner 605dab50-e046-4300-abb6-3dd810dd8b23
        Subject:
            CN=qsx’ KEK
        Issuer:
            CN=qsx’ KEK
Variable db, length 7719
db: List 0, type X509
    Signature 0, size 962, owner 7facc7b6-127f-4e9c-9c5d-080f98994345
        Subject:
            C=JP, ST=Kanagawa, L=Yokohama, O=Lenovo Ltd., CN=ThinkPad Product CA 2012
        Issuer:
            C=JP, ST=Kanagawa, L=Yokohama, O=Lenovo Ltd., CN=Lenovo Ltd. Root CA 2012
db: List 1, type X509
    Signature 0, size 919, owner 7facc7b6-127f-4e9c-9c5d-080f98994345
        Subject:
            C=US, ST=North Carolina, O=Lenovo, CN=Lenovo UEFI CA 2014
        Issuer:
            C=US, ST=North Carolina, O=Lenovo, CN=Lenovo UEFI CA 2014
db: List 2, type X509
    Signature 0, size 919, owner 7facc7b6-127f-4e9c-9c5d-080f98994345
        Subject:
            C=US, ST=North Carolina, O=Lenovo, CN=Lenovo UEFI CA 2014
        Issuer:
            C=US, ST=North Carolina, O=Lenovo, CN=Lenovo UEFI CA 2014
db: List 3, type X509
    Signature 0, size 1572, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
db: List 4, type X509
    Signature 0, size 1515, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Subject:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
        Issuer:
            C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
db: List 5, type X509
    Signature 0, size 789, owner 605dab50-e046-4300-abb6-3dd810dd8b23
        Subject:
            CN=qsx’ db
        Issuer:
            CN=qsx’ db
db: List 6, type X509
    Signature 0, size 847, owner 9d873941-fadb-43db-8ae5-bb4f52b84252
        Subject:
            CN=Roderick W. Smith, rodsmith@rodsbooks.com
        Issuer:
            CN=Roderick W. Smith, rodsmith@rodsbooks.com
Variable dbx, length 652
dbx: List 0, type SHA256
    Signature 0, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:80b4d96931bf0d02fd91a61e19d14f1da452e66db2408ca8604d411f92659f0a
    Signature 1, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:f52f83a3fa9cfbd6920f722824dbe4034534d25b8507246b3b957dac6e1bce7a
    Signature 2, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:c5d9d8a186e2c82d09afaa2a6f7f2e73870d3e64f72c4e08ef67796a840f0fbd
    Signature 3, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:363384d14d1f2e0b7815626484c459ad57a318ef4396266048d058c5a19bbf76
    Signature 4, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:1aec84b84b6c65a51220a9be7181965230210d62d6d33c48999c6b295a2b0a06
    Signature 5, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:e6ca68e94146629af03f69c2f86e6bef62f930b37c6fbcc878b78df98c0334e5
    Signature 6, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:c3a99a460da464a057c3586d83cef5f4ae08b7103979ed8932742df0ed530c66
    Signature 7, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:58fb941aef95a25943b3fb5f2510a0df3fe44c58c95e0ab80487297568ab9771
    Signature 8, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:5391c3a2fb112102a6aa1edc25ae77e19f5d6f09cd09eeb2509922bfcd5992ea
    Signature 9, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:d626157e1d6a718bc124ab8da27cbb65072ca03a7b6b257dbdcbbd60f65ef3d1
    Signature 10, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:d063ec28f67eba53f1642dbf7dff33c6a32add869f6013fe162e2c32f1cbe56d
    Signature 11, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:29c6eb52b43c3aa18b2cd8ed6ea8607cef3cfae1bafe1165755cf2e614844a44
    Signature 12, size 48, owner 77fa9abd-0359-4d32-bd60-28f4e78f784b
        Hash:90fbe70e69d633408d3e170c6832dbb2d209e0272527dfb63d49d29572a6f44c
Variable MokList has no entries

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
24.04.2016 18:16
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 15.839
Registriert seit: Jan 2009
Beitrag #17
RE: Secure Boot unter Linux einrichten
Hm :/ Einspielen es PK klappt.
Aber KEK will bei mir nicht :S

Welche Version von efitools?

Mark IV Style Motherfucker!
24.04.2016 18:21
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #18
RE: Secure Boot unter Linux einrichten
Code:
[I] app-crypt/efitools
     Available versions:  (~)1.4.1 (~)1.4.1-r1 (~)1.4.1-r2 (~)1.4.2 (~)1.4.2-r1 (~)1.7.0[1]
     Installed versions:  1.7.0[1](11:34:31 21.04.2016)
     Homepage:            https://git.kernel.org/cgit/linux/kernel/git/jejb/efitools.git
     Description:         Tools for manipulating UEFI secure boot platforms

[1] "local" /usr/local/portage

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
24.04.2016 18:22
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 15.839
Registriert seit: Jan 2009
Beitrag #19
RE: Secure Boot unter Linux einrichten
Hm, also wie ich, habe auch lokal 1.7.0..

Eingespielt nach dem Tut hier oder anders?

Mark IV Style Motherfucker!
24.04.2016 18:23
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
thosch97 Offline
All things have a right to grow

Beiträge: 9.846
Registriert seit: Feb 2010
Beitrag #20
RE: Secure Boot unter Linux einrichten
(24.04.2016 18:23)Alpha schrieb:  Hm, also wie ich, habe auch lokal 1.7.0..

Eingespielt nach dem Tut hier oder anders?

Das hier sieht ziemlich nach sakaki’s Guide aus, dem bin ich im Wesentlichen gefolgt.

Mach mal lsattr /sys/firmware/efi/efivars/{PK,KEK,db,dbx}-*.

PGP-Key E384 009D 3B54 DCD3 21BF 9532 95EE 94A4 3258 3DB1 | S/MIME-Key 0x1A33706DAD44DA
G d-@ s+:- a--- C+++ UB+L++ P--- L++@ E-@>++ W+ N o? K? w>++ !O !M !V PS+++ PE-- Y+>++ PGP++>+++ !t 5? X? !R tv b+++>++++ DI !D G>+ e>+++ h !r>++ !z
„Die Aachener gelten als Erfinder des 4. Hauptsatzes der Thermodynamik: ‚Thermo schreibt man zweimal.“‘
“Saying that Java is good because it works on all platforms is like saying oral sex is good because it works on all sexes.”
„Es gibt 10 Sorten von Leuten: Die einen verstehen das Binärsystem, die anderen nicht.“
„Manche Männer lieben Männer, Manche Frauen eben Frauen; Da gibt's nix zu bedauern und nichts zu staunen; Das ist genau so normal wie Kaugummi kauen; Doch die meisten werden sich das niemals trauen“
(Dieser Beitrag wurde zuletzt bearbeitet: 24.04.2016 18:28 von thosch97.)
24.04.2016 18:25
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste