AppleがT2でネット検証させるSecureBoot出してた時はいやそんなんまで考えるんやなあとなっていたが本当にこういうことってあるんだな (まああれはWindowsとAppleの署名鍵しか入ってないのでGRUBのSecureBootはできないが…)
Conversation
Notices
-
rinsuki (rinsuki@mstdn.rinsuki.net)'s status on Thursday, 30-Jul-2020 11:38:50 JST rinsuki
-
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:38:48 JST まちカドおるみん御嬢様
@rinsuki できるよ(Ubuntu や Red Hat は Microsoft から署名を受けた shimx64.efi というのを経由して GRUB2 を起動する)
-
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:44:02 JST まちカドおるみん御嬢様
@rinsuki shim 自体の仕組みで,ファームウェアに鍵が登録されてなくても特定の署名の GRUB2 はロードできる(たとえば Ubuntu の signed ってついてる grub2 パッケージと shim の組合せだと,shim が Canonical の鍵を内蔵しててそれで Canonical の署名がついた GRUB2 だけ通すようにしている
-
rinsuki (rinsuki@mstdn.rinsuki.net)'s status on Thursday, 30-Jul-2020 11:44:03 JST rinsuki
@orumin AppleのマシンにはサードパーティのほうのCAは入ってないんじゃないっけ
-
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:47:44 JST まちカドおるみん御嬢様
@rinsuki あと MokManager.efi を使えば third-party の鍵もオレオレ署名もユーザーの意思で MOK (Machine Owners Key) として NVRAM に登録できる,UEFI にはその機能がある(Apple EFI だと MOK あえて実装されていない可能性が大なので shim を使うよりかは出来る可能性低いけど)
-
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:48:21 JST まちカドおるみん御嬢様
@rinsuki あー。そうなのか。なるほどね。
-
rinsuki (rinsuki@mstdn.rinsuki.net)'s status on Thursday, 30-Jul-2020 11:48:22 JST rinsuki
@orumin そっちじゃなくて、MSが(Ubuntuとか赤帽とかの)サードパーティーのを署名するのに使っているCAが Apple T2 のセキュアブートの信頼対象に入っていないという話
まちカドおるみん御嬢様 repeated this. -
rinsuki (rinsuki@mstdn.rinsuki.net)'s status on Thursday, 30-Jul-2020 11:52:59 JST rinsuki
@orumin sradしかまともそうなソース出てこなかった… https://srad.jp/story/18/11/09/0657254
-
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:52:59 JST まちカドおるみん御嬢様
@rinsuki リンク先で参照されてる T2 のホワイトペーパーのほうに> NOTE: There is currently no trust provided for the the Microsoft CorporationUEFI CA 2011, which would allow verification of code signed by Microsoftpartners. This UEFI CA is commonly used to verify the authenticity ofbootloaders for other operating systems such as Linux variants. ってあるからまあ信頼できる情報っぽいhttps://www.apple.com/jp/mac/docs/Apple_T2_Security_Chip_Overview.pdf
In conversation permalink -
まちカドおるみん御嬢様 (orumin@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:54:34 JST まちカドおるみん御嬢様
In conversation permalink Attachments
-
Masanori Ogino 𓀁 (omasanori@mstdn.maud.io)'s status on Thursday, 30-Jul-2020 11:54:35 JST Masanori Ogino 𓀁
@rinsuki @orumin “Apple T2 Security Chip: Security Overview” (October 2018), p.8
In conversation permalink
-