UEFI Secure Boot (подписывание загрузчика)

[Bizdelnick]

Доброго времени суток всем!
Угораздило связаться с Secure Boot. Сгенерил сертификаты CA и для подписи по мануалу. На флешку уже раньше был запилен и работал grub, подписал его pesign --force -s -n /path/to/signer -c 'my key' -i /media/usb0/EFI/debian/grubx64.efi -o /media/usb0/EFI/boot/bootx64.efi. До этого места всё шло вроде нормально.
Дальше началась веселуха. Сертификат, как советуют во всех мануалах, в формате DER, UEFI не принимал. Говорил "failed" без каких-либо подробностей. Залез в инструкцию от материнки, вычитал, что "ключ" должен быть в виде некой uefi variable. Почесал репу, выгрузил из UEFI имеющиеся там мелкомягкие ключи, препарировал и выяснил, что собственно сертификату в них предшествуют какие-то непонятные 84 байта. Скопировал их в файлик, после записал свой сертификат, и в таком виде UEFI его скушал со словом "succeeded". Залил сертификат таким образом в PK, KEK и DB, пробую загрузить подписанный Grub - ан нет, проверка подписи не проходит. На всякий случай пробовал заливать в PK сертификат CA - результат тот же.
Народ, если кто имел дело с этой мерзостью, подскажите, как забороть?

[yars]

Я просто мимо проходил, дела с этой мерзостью не имел... Но Grub подписан, как я понимаю, старой подписью, без добавки в 84 байта? Если да, вероятно, дело в этом. Может, эти байты - "соль" какая-нибудь...

[Bizdelnick]

Но Grub подписан, как я понимаю, старой подписью, без добавки в 84 байта?

Эти 84 байта к сертификату отношения не имеют. Какая-то служебная информация. А сертификат - самый обычный x509.

[drBatty]

Эти 84 байта к сертификату отношения не имеют. Какая-то служебная информация. А сертификат - самый обычный x509.

отношения может и не имеют, но подпись очевидно и их подписывает.

ЗЫЖ по теме: а почему просто не отключить?

[Bizdelnick]

отношения может и не имеют, но подпись очевидно и их подписывает.

Тогда по идее была бы ругань уже при заливке "ключа". Мне где-то попадалась инфа, что там нечто наподобие GUID'а переменной и timestamp'а. Если и они должны быть подписаны, то как это сделать?

[drBatty]

Тогда по идее была бы ругань уже при заливке "ключа".

не, оно же вряд-ли проверяет ЭЦП всего при заливке. Только какую-нить контрольную сумму.

Мне где-то попадалась инфа, что там нечто наподобие GUID'а переменной и timestamp'а.

да, наверное. В принципе любая случайная информация пойдёт. Это делает невозможным клонирование, ведь ЭЦП клона тоже правильная.

Лично я подожду, пока всё устаканится, и производители договорятся, КАК это делать им. Т.е. по моему мнению, от SB сегодня больше вреда, чем пользы.

[yars]

Скажем прямо, польза есть только для M$, остальным он нафиг не нужен.

[drBatty]

польза есть только для M$, остальным он нафиг не нужен.

ИМХО нужен, но далеко не всем. И не в таком недоделанном состоянии.

[Hephaestus]

ИМХО нужен, но далеко не всем. И не в таком недоделанном состоянии.

А он в другом состоянии и не может быть. Потому что доделанное состояние означает - убрать эту хрень совсем.
Когда одна контора ни с того, ни с сего пытается рулить остальными, да ещё без всякого согласования, ясно, что этим остальным оно будет невыгодно, неудобно и недоделано.

[drBatty]

сама идея SB нужная и годная ИМХО.

Когда одна контора ни с того, ни с сего пытается рулить остальными, да ещё без всякого согласования

когда она делала иначе?

[Hephaestus]

когда она делала иначе?

Никогда не делала. Я не об этом. Я о том, что "доделано" это никогда не будет по определению.
Ибо рулящую контору проблемы негров остальных не волнуют.

[drBatty]

fflatx
сама фича нужная и годная. Не только для мысы. Хотя для мысы она критически важная.

[Bizdelnick]

Поставил efitools отсюда, сделал, как описано в документации, - вроде заработало. Только для этого ядро не ниже 3.8 нужно.
Спасибо всем за ценные соображения по поводу нужности/ненужности SB.