Como entender a instalação do UEFI Secure Boot do Ubuntu?

19

Agora que o Secure Boot é suportado, quais instruções especiais são necessárias para instalar o Ubuntu em um PC habilitado para UEFI Secure Boot fornecido com o Windows 8?

Pelo que entendi, o Ubuntu> = 12.04.2 é fornecido com o GRUB2 assinado. Eu procurei, mas não consigo passar pela instrução "suportada". Estou procurando instruções específicas sobre como registrar as chaves do Ubuntu para permitir que o firmware inicialize o Ubuntu.

ATUALIZAR:

Obrigado. O SecureBoot no Ubuntu 12.10 me dá a resposta. O gerenciador de inicialização EFI de primeiro estágio do Ubuntu é assinado pela Microsoft . A última vez que li, o Ubuntu tinha planos de publicar sua própria chave, que deveria ser registrada no banco de dados do firmware antes da instalação. Talvez eu não tenha rastreado a história por tempo suficiente para perceber que não é mais o caso.

boot uefi system-installation secure-boot Wolverine
fonte
2
Relacionado (mas provavelmente não uma duplicata, esta é uma pergunta prática geral sobre como instalar o Ubuntu em uma máquina Windows 8, enquanto as respostas aqui fornecem informações básicas, explicam "inicialização segura" e assim por diante): Instalando o Ubuntu em um UEFI pré-instalado Sistema Windows 8 com suporte
Eliah Kagan

Respostas:

12

Provavelmente comece aqui: help.ubuntu.com/community/UEFI

O UEFI (~ EFI) é uma interface de firmware difundida em computadores recentes, especialmente os mais recentes que 2010. Ele pretende substituir a interface de firmware tradicional do BIOS que prevalece em máquinas anteriores. Esta página fornece informações sobre a instalação e a inicialização do Ubuntu usando o EFI, bem como sobre a alternância entre o modo EFI e o modo BIOS herdado usando o Ubuntu.

ATUALIZAR:

O Ubuntu 12.10 pretende ser usado com o Secure Boot .

Softpedia (Sep-2012) >> Canonical divulga planos para inicialização segura do Ubuntu 12.10

A Canonical, através de Jon Melamut, anunciou em 20 de setembro que planejará implementar o suporte ao Secure Boot no próximo sistema operacional Ubuntu 12.10 (Quantal Quetzal).

Portanto, após uma discussão com a Free Software Foundation, a Canonical decidiu abandonar a implementação do EFILinux bootloader em favor do GRUB2, assinado com suas próprias chaves. ..

Muktware (Oct-2012) >> SecureBoot no Ubuntu 12.10

O Ubuntu 12.10 é a primeira distribuição que suporta a arquitetura de inicialização segura por padrão. Os desenvolvedores da Canonical gastaram uma quantidade enorme de tempo para garantir que o Ubuntu funcione bem e sem problemas em todo o hardware. Steve Langasek, um desenvolvedor do Ubuntu apresentou uma boa conta em seu blog, sobre como eles estão oferecendo suporte ao Secure Boot.

fecha com ..

Langasek diz que eles também suportarão o mecanismo de inicialização segura para o lançamento do Ubuntu 12.04, para que a versão LTS possa ser instalada em dispositivos de inicialização segura. Portanto, o próximo grande service pack do Ubuntu Precise (12.04.2) incluirá suporte ao SecureBoot.

david6
fonte
2
Obrigado pela resposta. Eu li este artigo. Minha pergunta não é sobre UEFI. É UEFI com inicialização segura. Em nenhum lugar deste artigo há uma menção de como lidar com o PC com inicialização segura. Por favor, você pode me indicar algum recurso que me ajude a instalar o Ubuntu em um PC com inicialização segura?
Wolverine
6

Há um problema em algumas máquinas, principalmente em laptops - elas não parecem ter a chave pública "Microsoft Windows UEFI Driver Publisher" instalada em seu BIOS para permitir que o carregador de inicialização do Ubuntu assinado (e outros softwares UEFI como o nosso) sejam executados com a opção Inicialização segura ativada. Essa NÃO é a mesma chave que a Microsoft usa para assinar seu próprio UEFI Windows Boot Manager e parece que algumas implementações do BIOS possuem apenas essa chave pública exclusiva da Microsoft .

A solução é:

  1. Para que a Microsoft assine binários UEFI de terceiros com a chave SAME, como eles usam para seu próprio carregador de inicialização.

  2. Para fornecedores de BIOS / fabricantes de placas-mãe de hardware de computador, certifique-se de incluir os dados para permitir que os binários assinados "Microsoft Windows UEFI Driver Publisher" funcionem corretamente.

Em uma máquina com Windows 8, digite Mountvol Z: /Suma caixa de prompt de comando com administração elevada. Em seguida, no prompt de comando, faça:

copy Z:\EFI\Microsoft\*.efi    C:\test

Onde Zestá uma letra de unidade não utilizada.

Você pode então fazer check-in (já criado) da C:\testpasta das assinaturas digitais nos arquivos .efi da Microsoft e ver que o nome da chave é diferente da chave usada para assinar o carregador de inicialização do Ubuntu.

Os arquivos de inicialização do Ubuntu podem ser encontrados em X: \ EFI \ Boot, onde X é a letra da unidade de CD.

Isso precisa ser resolvido e resolvido rapidamente.

Nossa pesquisa indica que, dos laptops testados até agora, apenas os laptops ASUS têm as chaves corretas instaladas em sua bios, mas ainda não conseguimos verificar todos. Não estou mencionando aqui os nomes das máquinas que não funcionarão, mas uma é um nome semelhante ao que funciona!

Shaun Hollingworth
fonte
1
Parece que os ThinkPads têm as chaves certas prontas para uso.
Nhinkle
1

Postaram uma pergunta semelhante há seis meses e, por não conseguir carregar o kernel, levaram à instalação de um sistema operacional alternativo não-linux para provar que meu firmware e hardware estavam pelo menos funcionando conforme o esperado. A intenção era fazer com que esse novo hardware fosse o primeiro a nunca ter visto o Windows, talvez da próxima vez ...

Desde o início da busca para fazer uso dos recursos EFI do meu hardware mais recente, passei algum tempo nessas páginas muito úteis, que incluem uma boa sinopse de como executar uma instalação do Ubuntu em uma máquina habilitada para Inicialização Segura e destacar que existem outras opções além de confiar no Grub2 e nas chaves assinadas da Microsoft. Qual o link na sua atualização para a pergunta indica como ser tudo e terminar tudo. Apenas pensei em compartilhar isso não é o caso. Como o último link deste parágrafo mostra o uso do rEFInd e de suas próprias chaves, é possível gerenciar uma instalação do Linux com o Secure Boot ativado. Qual é uma das muitas opções mencionadas, se não descritas em detalhes. Espero que você goste da leitura tanto quanto eu!

A alternativa é desativar a Inicialização segura. Pessoalmente, pelo menos, tentaria o método descrito breve e docemente pelo LovinBuntu.

Outra fonte útil de informações úteis sobre tudo o que é U / EFI é o artigo da wiki aqui . O que ajuda a descrever e especificar o Windows 8 exige UEFI> = 2.3.1 (o mais recente agora é 2.4) e o Secure Boot está disponível em> = 2.2 especificação UEFI.
(a página wiki vinculada compartilha um link para uma página similar da página EUFI, o que não me assusta! Ficção científica não é ficção!: p)

Mais alguns links para leitura adicional:

geezanansa
fonte