安全启动简介之篇

• •
缺陷：EFI只适用64位系统，目前32位系统不支持
deepin
deepin分别用两种方式安装后的分辨方法：
• efi 安装的系统/boot目录下有efi文件，此文件只被efi方式安装的系统识别， 同硬盘的其他非efi安装系统只会把此文件当普通文件处理，不会特别显示
•
efi安装系统自带bootefimgr命令，可查询相关信息，非efi方式安装则没有
•
二种方法是第一个更一般的形式，其中一个站点或用户可以创建自己的密钥， 在系统固件进行部署，并签署自己的二进制文件
fedora
在Fedora的执行密钥使用比较复杂，下面是各个部件是如何签署：
• • • 垫片：这是通过将UEFI签名服务签署，垫片含有Fedora的引导CA的公钥 GRUB：这是由“Fedora的引导签署者”键，Fedora引导CA密钥签名 GRUB它调用到垫片进行核查。 内核：这也由Fedora引导签名者签名，内核包含用于签署内核模块的公共密 钥。
安全启动简介
UEFI和Legacy启动
legacy启动
•
legacy boot 是比较老旧的启动方式
•
基本启动流程为：cpu调动闪存/ROM——引导驱动器上的主引导记 录MBR加载第一个扇区——将MBR中的引导程序读入内存——MBR 读取DPT(此时找到激活的主分区)——DPT寻找这个主分区的 PBR(PBR位于激活主分区的第一个扇区)——Bootmgr(xp中是寻找 NTLDR)——Bootmgr读取相关信息——多操作系统选择界面
•
‘垫片’是创建UEFI固件和GRUB及内核软件之间的信任的加密签名的软件。 垫片由通过微软签名，以便UEFI固件将加密识别Fedora系统，让软件继续 通过引导过程 详细流程：https://docs.fedoraproject.org/en-US/Fedora/18/htmlsingle/UEFI_Secure_Boot_Guide/index.html#chapUEFI_Secure_Boot_Guide-What_is_Secure_Boot
EFI启动
• EFI 的全称是可扩展固件接口 (Extensible Firmware Interface)，它是 Intel 公司为全新类型的固件体系结构、接口和服务提出的建议性标准。该标 准有两个主要用途：向操作系统的引导程序和某些在计算机初始化时运行的 应用程序提供一套标准的运行环境；为操作系统提供一套与固件通讯的交互 协议
•
开启安全启动
• 由于安全启动需要在UEFI模式下才能正常启动，所以开启安全启动前必须关 闭掉legacy启动（以及cms）
•
开启安全启动后，硬盘中之前所以没有启动安全启动的操作系统在开机后不 会在grub界面中出现
•
windows8以后及Ubuntu14.04后都是带签名的
efi文件下的boot loader是可执行程序——由EFI Bootmgr执行后——出现 多系统选择截面 可参考： http://baike.baidu.com/link?url=kExzl_HobX0dQrB4xqo1d1A4iYiTO51 EEE92EJE8Zwy67Tc909JA39Ab0G0d1ROXq0U1jJT3B3LxxgiDIedhnq
•
•
内核模块：这些与构建过程中产生的私钥签名，新的密钥与每个内核构建使 用。
Fedora的安全引导的CA是用来验证GRUB和内核的完整性，公钥可目前在 垫片源包中找到
垫片
• ‘垫片’由两个包构成：一个是引导安装程序的包，一个是进行验证签名的包
•
垫片中嵌入自签名CA证书，然后，此CA被用来验证GRUB引导装载程序 （UEFI版本，用Authenticode签署了PE / COFF程序），引导内核之前， GRUB 2回调到垫片，以验证内核的验证码签名。
•
•
两者区别
EFI主要优势：
• GPT 使用 GUID 分区表 (GPT) 磁盘分区系统，最多允许 128 个分区；主引 导记录 (MBR) 磁盘可以支持 4 个主分区和扩展分区内的 124 个附加分区 允许大于 2 TB 的卷容量，而 2 TB 是 MBR 磁盘的极限 由于分区表提供了复制和循环冗余校检 (CRC) 保护，所以更加可靠，efi有备 份，若有引导出现意外还可以进行备份修复
•
两种方式安装的系统都可用blkid方式查看其他系统是否是efi安装
安全启动(UEFI)
• 微软：从win8开始，windows采用了带数字签名的UEFI(统一可扩展固件接 口)安全启动，主要防止恶意引导程序的破坏；意味着获得微软认证的计算机 无法启动未授权操作系统， Linux基金会：将获取一个微软密钥并签署一个小的预引导装载程序（prebootloader），然后链式加载（无需任何形式的签名许可）一个预先指示的 引导装载程序，从而启动Linux（或其它操作系统），阻止未签名的引导加载 程序
简而言之：就是在安装系统执行boot loader前加载一段有数字签名的认证程 序，如果此认证程序的数字签名（需要有经过微软许可的密匙验证码，常见 的是x.509安全证书）有效，才可以进行下一步的引导加载程序安装
•
•
安全源自文库动
• 以后deepin的安全启动和Fedora的安全启动方式一致
•
第一种方法是利用由微软托管提供与Microsoft密钥签名垫片引导程序的副本 签名服务
•
EFI启动
•
•
简单说，EFI 是 BIOS 的替代者。它为操作系统和固件提供了更加强大、安 全、方便的交互途径
EFI 固件提供了几种技术优势：
引导能力支持大容量磁盘（超过 2 TIB ）；
更快的启动； 独立 CPU 的体系结构； CPU 的独立的驱动程序； 灵活的预操作系统环境，包括网络功能；
两者区别
MBR的主要缺陷：
• 在 MBR 分区表中最多 4 个主分区或者 3 个主分区＋1 个扩展分区：从主引 导记录的结构可以知道，它仅仅包含一个 64 个字节的硬盘分区表 MBR 分区方案无法支持超过 2TB 容量的磁盘。因为这一方案用 4 个字节存 储分区的总扇区数，最大能表示 2 的 32 次方的扇区个数，按每扇区 512 字 节计算，每个分区最大不能超过 2TB 。磁盘容量超过 2TB 以后，分区的起 始位置也就无法表示了 主引导扇区记录着硬盘本身的相关信息以及硬盘各个分区的大小及位置信息， 是数据信息的重要入口。如果它受到破坏，硬盘上的基本数据结构信息将会 丢失