[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ядро 5.14 и драйвер Nvidia

В Wed, 29 Sep 2021 19:18:28 +0300
Maksim Dmitrichenko <dmitrmax@gmail.com> пишет:

> ср, 29 сент. 2021 г. в 17:52, Victor Wagner <vitus@wagner.pp.ru>:
> 
> > После этого модуль собрался. А вот чтобы он загрузился, пришлось еще
> > читать
> >
> >
> > https://wiki.debian.org/SecureBoot, генерировать machine owner key,
> > инсталлировать его в UEFI, и подписывать модули.
> >
> 
> Более того, это придется делать теперь каждый раз при обновлении ядра
> или модуля ( В смысле генерить не придется, а вот подписывать надо
> будет.
> 

Ну это касается только самостоятельно скомпилированных модулей.
Нормальные-то модули с нормальной лицензией подпишет мейнтейнер пакета.
А вот проприетарные, которые приходится каждому у себя пересобирать -
увы...

Вообще конечно, немножко у них непродумано. Надо бы уметь в сертификаты
Name constraint-ы прописывать. Что вот вот этот ключ - он только для
подписи модулей, собранных через dkms.

Ну и саму dkms тоже подписать bsign-ом и чтобы проверяла корректность
подписи под пакетом с исходниками, и только потом подписывала. 

Но вот bsign-а по-моему в Debian уже лет десять как нет.

Так-то в принципе сделать криптографическую защиту кода по всей цепочке
от загрузчика до прикладного софта, так чтобы для нормального
пользователя это было удобно, а  для разработчиков "можно привыкнуть" -
можно.


-- 
                                   Victor Wagner <vitus@wagner.pp.ru>
Reply to: