システムバックアップソフト徹底比較30 (908レス)
上下前次1-新
抽出解除 必死チェッカー(本家) (べ) 自ID レス栞 あぼーん
643: 04/01(火)00:52 ID:44P2ofaM0(1/15) AAS
UEFIファームがブートデバイスとして判断するのはFAT領域に\efi\boot\bootx64.efiがあるかどうかでしょ
ちゃんとした知識を持ちましょうね
644: 04/01(火)00:57 ID:44P2ofaM0(2/15) AAS
きみはとかいつも言っているおまえは運営のノータリンバカだろうよ
出しゃばらなくていいからちゃんとした知識を持てよな
646(1): 04/01(火)01:10 ID:44P2ofaM0(3/15) AAS
合ってないよ
Rufusはbootx64.efiにUEFIの署名を入れたようだけれども、VentoyなんかはGrub側にデバイス署名を記憶させることによりSecure Booptを可能にしているようだな
本体マシンが変更になるとまた同じエラーメッセージを発するようになっている
要はgrubx64.efiにUEFIのデジタル署名を書き込んであったら問題はないが、それをしていないからGrub側でやる必要があるって事だと思う
647: 04/01(火)01:12 ID:44P2ofaM0(4/15) AAS
>Secure Bootを可能にしているようだな
648: 04/01(火)01:20 ID:44P2ofaM0(5/15) AAS
セキュリティ的にも非常に不味い事になるから勝手にgrubx64.efiへは署名を入れられないんだよな
だからその後のgrub側で対処しているんだろうよ
Ventoyでも対処出来ているんだから作者が同じように真似したらいいだけだと思うわ
650: 04/01(火)01:55 ID:44P2ofaM0(6/15) AAS
それで最新のVentoyをSecure Bootとして起動してその動作は確かめましたか?
確かめたのならデバイス情報を登録後にSecure Bootが可能になっているのが理解出来ますよね?
652: 04/01(火)03:11 ID:44P2ofaM0(7/15) AAS
Ventoyのブート領域にはルートにこんなファイルがある
\ENROLL_THIS_KEY_IN_MOKMANAGER.cer
外部リンク:whileint.com
外部リンク:github.com
しかし、ためになるねぇ
654(1): 04/01(火)03:26 ID:44P2ofaM0(8/15) AAS
外部リンク:github.com
MOKとは何ですか?
MOK(Machine Owner Key)は、UEFIブートローダーに署名してセキュアブートの準備をするために使用できるキーです。
あなたは実際のところ何もわかっていないようですね
655: 04/01(火)04:15 ID:44P2ofaM0(9/15) AAS
>マイクロソフトは今までのshimを無効化したので2024年夏以降linuxで問題になっている
何故マイクロソフトが関係あるのでしょうか?
UEFIファームへとマイクロソフトがWindowsUpdateで書き替えたとは書いてあるけれども本当なのでしょうかね?
だったらLinuxオンリーの人達には全く関係ないことですよね
656: 04/01(火)04:49 ID:44P2ofaM0(10/15) AAS
外部リンク[html]:docs.oracle.com
フェーズ1: Shimソフトウェアがロードされます。UEFIは、Shimの署名に使用された署名を最初に検証します。署名が有効な場合は、Shimのロードを続行できます。それ以外の場合、Shimをロードできません。その後、ロードされたShimによってすべてのコードが検証されます。Shimによって独自のMOKデータベースが維持され、そこには検証のための他のキーが格納されます。
こう言う事でこの説明がブートローダーであるbootx64.efiでしょ
WindowsのユーザーもそうだけどLinuxの方だってわかっていないバカだらけだよな
658(2): 04/01(火)05:18 ID:44P2ofaM0(11/15) AAS
外部リンク:docs.redhat.com
4.マシンを再起動します。
shim ブートローダーは、保留中の MOK キー登録要求を認識し、MokManager.efi を起動して、UEFI コンソールから登録を完了できるようにします。
\EFI\BOOT\MokManager.efi
Ventroyにも確かにあるわ
659: 04/01(火)05:25 ID:44P2ofaM0(12/15) AAS
>>657
バックアップソフトのPEも含めたブートスレだろうよ
最近ではSecure Bootも考慮する必要があるからLinuxユーザーは知っていないとならないぞ
バカはどうせわからないんだから変なネタを上げない方がいいぞw
662(1): 04/01(火)15:49 ID:44P2ofaM0(13/15) AAS
「Verfication failed:(0x1A)Security Violation」
\EFI\BOOT\MokManager.efi がある場合には、bootx64.efiやgrub.efiにUEFIの有効な署名がないとこのエラーメッセージが表示されるって事なんだろうと思う
そしてLinuxのgrub.efiだとUEFIファームウェア側に有効な署名が登録されていないのでMokManager.efi経由で署名の登録を実行するって事になっているんだと思う
Ventoyの場合には、別なマシン上でSecure Bootを実行すると再び署名の再登録を要求されるようになるので各マシンのUEFIファームウェア内のテーブルに登録されているはずだと思う
外部リンク[html]:docs.oracle.com
UEFI Secure Bootデータベース・キー(DB)
多くの場合、このキーは、ブート・ローダー、ブート・マネージャ、シェル、ドライバなど、実行するバイナリの署名または検証に使用されるため、セキュア・ブートに関連付けられています。ほとんどのハードウェアには2つのMicrosoftキーがインストールされています。1つはMicrosoftが使用するためのキーで、もう1つはShimなどのサードパーティ製のソフトウェアに署名するためのキーです。一部のハードウェアには、コンピュータの製造業者または他のパーティが作成したキーも付属しています。データベースには様々な目的に応じて複数のキーを保持できることに注意してください。また、データベースには、秘密キー(複数のバイナリの署名に使用できる)と照合される公開キーとハッシュ(個々のバイナリを記述する)の両方を含めることができます。
Machine Owner Key (MOK)
DBXと同等で、このキー・タイプはブート・ローダーや他のEFI実行可能ファイルを署名し、個々のプログラムに対応するハッシュを格納するためにも使用できます。MOKはセキュア・ブートの標準部分ではありません。ただし、ShimおよびPreLoaderプログラムでは、キーとハッシュを格納するために使用されます。MOK機能は、新しく生成されたキー・ペアと、それらで署名されているカーネル・モジュールをテストするための理想的な方法です。MOKキーはMOKデータベースに格納されます。MOKデータベースについてを参照してください。
663: 04/01(火)16:08 ID:44P2ofaM0(14/15) AAS
仕様を理解する事は重要だが、実際にはそれを実行しているものの側面から解析してみないと中々実体までは把握出来ないものであるw
664(2): 04/01(火)16:46 ID:44P2ofaM0(15/15) AAS
>MOK リストの鍵がプラットフォームキーリング (.platform) に追加されます。
このような記載があるが、じゃあ(.platform)ってのはどこにあるんだよって話しになる
詳しくはネット上にも書かれていないようだ
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 1.092s*