Debian

Ayude a probar el soporte inicial para el arranque seguro

Nuevos mantenedores de Debian (noviembre y diciembre de 2020)

El sábado 02 de febrero de 2019 con el instalador de tags buster

Escrito por Steve McIntyre y Cyril Brulebois

El equipo del instalador de Debian se complace en informar que la versión Buster Alpha 5 del instalador incluye algunos inicial soporte para UEFI Secure Boot (SB) en los medios de instalación de Debian.

Este soporte aún no está completo¡y nos gustaría solicitar ayuda! Siga leyendo para obtener más contexto e instrucciones que nos ayuden a obtener una mejor cobertura y asistencia.

En máquinas amd64, de forma predeterminada, el instalador de Debian ahora arrancará (e instalará) una versión firmada del shim package como cargador de arranque de la primera etapa. Shim es el paquete principal de una cadena de arranque de Linux firmada en PC compatibles con Intel. Es responsable de validar firmas en otras partes del proceso de arranque (GRUB y el kernel de Linux), lo que permite la verificación de esas partes. Cada una de esas piezas estará firmada por Debian producción clave de firma que se incluye en el
shim binario en sí.

Sin embargo, por seguridad durante la fase de desarrollo del soporte SB de Debian, solo hemos estado usando una clave de prueba temporal para firmar nuestros paquetes GRUB y Linux. Si cometiéramos un error con la administración de claves o la verificación de la ruta de confianza durante este desarrollo, esto nos evitaría tener que revocar la clave de producción. Planeamos cambiar pronto a la clave de producción.

Debido al uso de la clave de prueba hasta ahora, Debian
no aún instale o ejecute con SB habilitado; Shim no validará las firmas con la clave de prueba y se detendrá, informando el problema. ¡Este es un comportamiento correcto y útil!

Hasta ahora, los usuarios de Debian han necesitado deshabilitar SB antes de la instalación para que todo funcione. A partir de ahora, con SB aún deshabilitado, la instalación y el uso deberían funcionar igual que antes. Calce simplemente carga GRUB en cadena y continúa a través de la cadena de arranque sin verificar las firmas.

Es posible inscribir más claves en un sistema SB para que shim reconozca y permita otras firmas, y así es como hemos podido probar el resto de la cadena de arranque. Ahora invitamos a más usuarios a brindarnos una valiosa cobertura de prueba en una variedad más amplia de hardware al inscribir nuestra clave de prueba Debian y ejecutarla con SB habilitado.

Si deseas ayudarnos a probar nuestro soporte de arranque seguro, por favor siga las
instrucciones en la wiki de Debian
y proporcionar comentarios.

Con la ayuda de los usuarios, esperamos poder enviar UEFI Secure Boot completamente funcional y probado en una próxima versión del instalador de Debian y en la versión principal de Buster.


Leave a Comment

You may also like