Unified Extensible Firmware Interface/セキュアブート
Linux における Secure Boot の概要については Rodsbooks' Secure Boot を見て下さい。この記事では Arch Linux で Secure Boot を設定する方法に焦点を置いています。
目次
Secure Boot の無効化
Secure Boot 機能はファームウェアのインターフェイスから無効化することができます。Rod Smith's Disabling Secure Boot を見てください。
署名済みのブートローダーを使う
archiso の起動
EFI アプリケーション PreLoader.efi
と HashTool.efi
が archiso に追加されたことで Secure Boot を有効にして archiso を起動することが可能になりました。Failed to Start loader... I will now execute HashTool
というメッセージが表示されます。HashTool を使って loader.efi
と vmlinzu.efi
のハッシュを登録するには、以下の手順に従って下さい:
OK
を選択してください- HashTool のメインメニューから
Enroll Hash
を選択し、\loader.efi
を選んでYes
で確定します。また、Enroll Hash
とarchiso
を選択して archiso のディレクトリに入り、vmlinuz-efi
を選んでYes
で確定してください。それからExit
を選択してブートデバイスの選択メニューに戻って下さい。 - ブートデバイスの選択メニューから
Arch Linux archiso x86_64 UEFI CD
を選択して下さい
archiso が起動し、シェルプロンプトが表示され、自動的に root でログインがされます。archiso が Secure Boot で起動しているかどうか確認するには、次のコマンドを使って下さい (1234 という所はマシンによって異なります。タブ補完を使ったり efi 変数を表示することで調べることができます):
$ od -An -t u1 /sys/firmware/efi/vars/SecureBoot-1234abcde-5678-/data
このコマンドで返ってくるリストの最後が 1
ならば Secure Boot で起動しています。例:
6 0 0 0 1
次のコマンドを実行すると、詳しい状態を表示できます:
# bootctl status
PreLoader の設定
prebootloader パッケージをインストールして PreLoader.efi
と HashTool.efi
をブートローダーのディレクトリにコピーしてください。systemd-boot の場合、以下を実行:
# cp /usr/share/efitools/efi/{PreLoader,HashTool}.efi esp/EFI/systemd
そしてブートローダーのバイナリをコピーして loader.efi
に名前を変更します。systemd-boot の場合、以下を実行:
# cp esp/EFI/systemd/systemd-bootx64.efi esp/EFI/systemd/loader.efi
最後に、PreLoader.efi
を起動する NVRAM エントリを新しく作成してください:
# efibootmgr --disk /dev/sdX --part Y --create --label "PreLoader" --loader /EFI/systemd/PreLoader.efi
X
は EFI システムパーティションのドライブ文字に、Y
は同じくパーティション番号に置き換えてください。
上記のエントリは起動リストの一番最初に追加する必要があります。efibootmgr
コマンドで確認して、必要であればブートローダーの設定を変更してください。
フォールバック
カスタム NVRAM エントリの起動に問題が発生する場合、HashTool.efi
と loader.efi
を UEFI によって自動的に起動されるデフォルトのブートローダーの場所にコピーしてください:
# cp /usr/share/efitools/efi/HashTool.efi esp/EFI/Boot # cp esp/EFI/systemd/systemd-bootx64.efi esp/EFI/Boot/loader.efi
PreLoader.efi
をコピーして名前を変更します:
# cp /usr/share/efitools/efi/PreLoader.efi esp/EFI/Boot/bootx64.efi
Windows にしか対応しない非協力的な UEFI 実装の場合、PreLoader.efi
を Windows で使用されるデフォルトローダーの場所にコピーしてください:
# mkdir -p esp/EFI/Microsoft/Boot # cp /usr/share/efitools/efi/PreLoader.efi esp/EFI/Microsoft/Boot/bootmgfw.efi
上と同じように、HashTool.efi
と loader.efi
を esp/EFI/Microsoft/Boot
にコピーしてください。
Secure Boot を有効にした状態でシステムを起動したら、上のセクションの手順に従って loader.efi
と /vmlinuz-linux
(あるいは使用している他のカーネルイメージ) を登録します。
PreLoader の削除
インストールした efitools パッケージやコピーしたファイルを削除して、設定を元に戻します。systemd-boot の場合、以下を実行:
# rm esp/EFI/systemd/{PreLoader,HashTool}.efi # rm esp/EFI/systemd/loader.efi # efibootmgr -b N -B # bootctl update
N
は PreLoader.efi
を起動するために作成した NVRAM のブートエントリに置き換えてください。efibootmgr
コマンドで確認を行なって、必要に応じてブート順序を修正してください。
自分で署名した鍵を使う
Secure Boot では以下の鍵が使われます:
- Platform Key (PK)
- トップレベル鍵
- Key Exchange Key (KEK)
- 署名データベースや EFI バイナリに署名するのに使われる鍵
- Signature Database (db)
- EFI バイナリに署名するのに使われる鍵やハッシュが含まれます
- Forbidden Signatures Database (dbx)
- EFI バイナリをブラックリスト化するのに使われる鍵やハッシュが含まれます
Secure Boot を使用するには最低でも PK, KEK, db 鍵が必要です。
鍵の作成
鍵を生成するには、efitools のインストールが必要です。
鍵と複数の形式の証明書を作成する必要があります:
- 鍵を作成して
sbsign
のための PEM 形式の証明書を作成 - ファームウェア用に証明書を DER 形式に変換
KeyTool
のために証明書を EFI Signature List に変換
所有者を識別する GUID を作成:
$ uuidgen --random
Platform Key:
$ openssl req -new -x509 -newkey rsa:2048 -subj "/CN=my PK/" -keyout PK.key -out PK.crt -days 3650 -nodes -sha256 $ openssl x509 -outform DER -in PK.crt -out PK.cer $ cert-to-efi-sig-list -g GUID PK.crt PK.esl $ sign-efi-sig-list -g GUID -k PK.key -c PK.crt PK PK.esl PK.auth
空のファイル null.esl
を作成して Platform Key を削除できるように署名:
$ sign-efi-sig-list -g GUID -c PK.crt -k PK.key PK null.esl rm_PK.auth
Key Exchange Key:
$ openssl req -new -x509 -newkey rsa:2048 -subj "/CN=my KEK/" -keyout KEK.key -out KEK.crt -days 3650 -nodes -sha256 $ openssl x509 -outform DER -in KEK.crt -out KEK.cer $ cert-to-efi-sig-list -g GUID KEK.crt KEK.esl
Signature Database:
$ openssl req -new -x509 -newkey rsa:2048 -subj "/CN=my db/" -keyout db.key -out db.crt -days 3650 -nodes -sha256 $ openssl x509 -outform DER -in db.crt -out db.cer $ cert-to-efi-sig-list -g GUID db.crt db.esl
ブートローダーとカーネルの署名
Secure Boot を有効にすると ("User Mode")、署名したバイナリしか起動できなくなるため、カーネルとブートローダーに署名が必要です。
sbsigntools をインストールしてください。
# sbsign --key db.key --cert db.crt /boot/vmlinuz-linux # sbsign --key db.key --cert db.crt --output esp/EFI/BOOT/BOOTX64.EFI esp/EFI/BOOT/BOOTX64.EFI
ブートローダーのエントリにカーネルオプション vmlinuz-linux.signed
を追加してください。
ファームウェアを "Setup Mode" にする
Platform Key を削除するとき Secure Boot は Setup Mode になります。ファームウェアを Setup Mode にするには、ファームウェアのセットアップユーティリティを起動して証明書を削除・消去するオプションを探して下さい。
ファームウェアに鍵を登録
*.cer
, *.esl
, *.auth
を全て FAT でフォーマットされたファイルシステムにコピーしてください (EFI システムパーティションを使うことができます)。
ファームウェアのセットアップユーティリティあるいは KeyTool を起動して db, KEK, PK 証明書を登録してください。
使用しているツールが .auth
や .esl
をサポートしている場合 .cer
よりも優先して使って下さい。
ファームウェアのセットアップユーティリティを使う
ファームウェアには様々なインターフェイスがあります。鍵を登録する例が Replacing Keys Using Your Firmware's Setup Utility に載っています。
KeyTool を使う
KeyTool.efi
は efitools パッケージに含まれているので、ESP にコピーしてください。鍵を登録した後に使用するには、sbsign
で署名する必要があります:
# sbsign --key db.key --cert db.crt --output esp/EFI/KeyTool-signed.efi /usr/share/efitools/efi/KeyTool.efi
ファームウェアのセットアップユーティリティやブートローダー、あるいは UEFI シェルで KeyTool-signed.efi
を起動して鍵を登録してください。
KeyTool のメニューオプションの解説は Replacing Keys Using KeyTool を参照。