В Wed, 29 Sep 2021 19:18:28 +0300 Maksim Dmitrichenko <dmitr...@gmail.com> пишет:
> ср, 29 сент. 2021 г. в 17:52, Victor Wagner <vi...@wagner.pp.ru>: > > > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще > > читать > > > > > > https://wiki.debian.org/SecureBoot, генерировать machine owner key, > > инсталлировать его в UEFI, и подписывать модули. > > > > Более того, это придется делать теперь каждый раз при обновлении ядра > или модуля ( В смысле генерить не придется, а вот подписывать надо > будет. > Ну это касается только самостоятельно скомпилированных модулей. Нормальные-то модули с нормальной лицензией подпишет мейнтейнер пакета. А вот проприетарные, которые приходится каждому у себя пересобирать - увы... Вообще конечно, немножко у них непродумано. Надо бы уметь в сертификаты Name constraint-ы прописывать. Что вот вот этот ключ - он только для подписи модулей, собранных через dkms. Ну и саму dkms тоже подписать bsign-ом и чтобы проверяла корректность подписи под пакетом с исходниками, и только потом подписывала. Но вот bsign-а по-моему в Debian уже лет десять как нет. Так-то в принципе сделать криптографическую защиту кода по всей цепочке от загрузчика до прикладного софта, так чтобы для нормального пользователя это было удобно, а для разработчиков "можно привыкнуть" - можно. -- Victor Wagner <vi...@wagner.pp.ru>