Welcome to the Slackware Documentation Project

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Próxima revisión Ambos lados, revisión siguiente
es:howtos:security:enabling_secure_boot [2019/02/11 01:42 (UTC)]
slackwarespanol creado
es:howtos:security:enabling_secure_boot [2019/02/20 02:50 (UTC)]
ak3.devel
Línea 1: Línea 1:
-====== Enabling Secure Boot on Slackware ====== +<note warning>​Traduccion en progreso Ak3.devel </​note>​
-On Unified Extensible Firmware Interface (UEFI) based hardware, a system can operate in Secure Boot mode. In Secure Boot mode, only EFI binaries (i.e. boot managers, boot loaders) that are trusted by the platform owner, either explicitly or via a chain of trust, are allowed to run at boot time. This prevents unauthorised EFI binaries and operating systems from running on your system, which can improve security.+
  
-This article will teach you: 
-  * About Secure Boot keys and signature databases 
-  * How to enroll Secure Boot keys while booted into Slackware 
-  * How to sign EFI binaries for use in Secure Boot mode. 
-<note important>​Make sure you can find and manipulate the Secure Boot settings with your system'​s UEFI firmware. That way, if you make a mistake, you can simply turn off Secure Boot to have a bootable system again.</​note>​ 
-<note important>​Once you have changed your Secure Boot keys, signed your EFI binaries and have tested that Secure Boot is working, you should store your private keys in a safe location until the keys are required again. Anyone with access to your private keys can bypass the protection that Secure Boot offers.</​note>​ 
  
-===== Secure Boot Keys and Signature Databases ===== 
-Two types of Secure Boot keys are used to create trust relationships:​ 
-  * Platform Key - This establishes the trust relationship between the platform owner and platform firmware. Only one Platform Key can be stored by the UEFI firmware. The public key is stored in the ''​PK''​ Secure Boot variable. This key allows the platform owner to manipulate all the Secure Boot keys and signature databases. 
-  * Key Exchange Key - This establishes the trust relationship between the operating system and platform firmware. Multiple Key Exchange Keys can be stored by the UEFI firmware. The public keys are stored in the ''​KEK''​ Secure Boot variable. Key Exchange Keys only allow the operating system to manipulate the signature databases. 
  
-There are two signature databases for authorising EFI binaries: 
-  * Forbidden signature database - This stores hashes and public signing keys of forbidden EFI binaries. This uses the ''​dbx''​ Secure Boot variable. EFI binaries with hashes present in this database or signatures that can be authenticated using a signing key stored in the database are forbidden from loading. 
-  * Authorised signature database - This stores hashes and public signing keys of trusted EFI binaries. This uses the ''​db''​ Secure Boot variable. EFI binaries with hashes present in this database or signatures that can be authenticated using a signing key stored in the database are permitted to run if there are no matches with any entries in the Forbidden signature database. 
  
-===== Requirements ​===== +====== Habilitando el arranque seguro en Slackware ====== 
-You will need the [[https://​git.kernel.org/​cgit/​linux/​kernel/​git/​jejb/​efitools.git/​|efitools]] and [[https://​git.kernel.org/​cgit/​linux/​kernel/​git/​jejb/​sbsigntools.git/​|sbsigntools]] packages before you beginSlackbuilds are available at http://​slackbuilds.org.+En el hardware basado en la Interfaz de firmware extensible unificada (UEFI), un sistema puede operar en modo de arranque seguroEn el modo de arranque seguro, solo los binarios EFI (es decir, los gestores de arranque, los cargadores de arranque) en los que el propietario de la plataforma confía, ya sea explícitamente o mediante una cadena de confianza, pueden ejecutarse en el momento del arranqueEsto evita que los binarios y sistemas operativos no autorizados de EFI se ejecuten en su sistema, lo que puede mejorar la seguridad.
  
-If you do not already have your own Platform Key enrolled in the UEFI firmware, the howto assumes you have Secure Boot off and have cleared the ''​PK''​ variable in the UEFI firmware.+Este artículo te enseñará:​ 
 +  * Acerca de las claves de arranque seguro y las bases de datos de firmas 
 +  * Cómo registrar claves de arranque seguro mientras se inicia en Slackware 
 +  * Cómo firmar archivos binarios de EFI para su uso en el modo de arranque seguro. 
 +<note important>​Asegúrese de que puede encontrar y manipular la configuración de arranque seguro con el firmware UEFI de su sistema. De esa manera, si comete un error, simplemente puede desactivar el Arranque seguro para tener nuevamente un sistema de arranque.</​note>​ 
 +<note important>​Una vez que haya cambiado sus claves de arranque seguro, haya firmado sus binarios de EFI y haya probado que el arranque seguro está funcionando,​ debe almacenar sus claves privadas en un lugar seguro hasta que las claves sean requeridas nuevamente. Cualquier persona con acceso a sus claves privadas puede pasar por alto la protección que ofrece el arranque seguro.</​note>​
  
-===== Enrolling Secure Boot Keys and Signature Database Entries ​===== +===== Claves de arranque seguro y bases de datos de firmas ​===== 
-If you do not have an existing Platform ​Key pair and an EFI binary signing key pairthe easiest method to create the key pairs would be to create self signed keysIt is recommended to create 2048-bit ​RSA key pairs that use the sha256RSA ​signature algorithmTo generate self signed keys with the recommended propertiesrun:+Se utilizan dos tipos de claves de arranque seguro para crear relaciones de confianza:​ 
 +  * Clave de la plataforma: esto establece la relación de confianza entre el propietario de la plataforma y el firmware de la plataforma. El firmware UEFI solo puede almacenar una clave de plataforma. La clave pública se almacena en la variable de arranque seguro ''​ PK ''​. Esta clave permite al propietario de la plataforma manipular todas las claves de arranque seguro y las bases de datos de firmas. 
 +  * Key Exchange Key: establece la relación de confianza entre el sistema operativo y el firmware de la plataforma. El firmware UEFI puede almacenar múltiples claves de intercambio de claves. Las claves públicas se almacenan en la variable de arranque seguro "​KEK"​. Key Exchange Keys solo permite que el sistema operativo manipule las bases de datos de firmas. 
 + 
 +Hay dos bases de datos de firmas para autorizar binarios de EFI: 
 +  * Base de datos de firmas prohibidas: almacena hashes y claves de firma públicas de binarios EFI prohibidos. Esto utiliza la variable de arranque seguro ''​ dbx ''​. Los binarios EFI con hashes presentes en esta base de datos o firmas que pueden autenticarse con una clave de firma almacenada en la base de datos tienen prohibido cargarse. 
 +  * Base de datos de firmas autorizada: almacena hashes y claves de firma públicas de binarios de EFI de confianza. Esto utiliza la variable de arranque seguro ''​ db ''​. Los binarios EFI con hashes presentes en esta base de datos o firmas que pueden autenticarse usando una clave de firma almacenada en la base de datos pueden ejecutarse si no hay coincidencias con ninguna entrada en la base de datos de firmas prohibidas. 
 + 
 +===== Requisitos ===== 
 +Necesitarás el paquete [[https://​git.kernel.org/​cgit/​linux/​kernel/​git/​jejb/​efitools.git/​|efitools]] ​and [[https://​git.kernel.org/​cgit/​linux/​kernel/​git/​jejb/​sbsigntools.git/​|sbsigntools]] antes de que empieces. En Slackbuilds están disponibled http://​slackbuilds.org. 
 + 
 +Si aún no tiene su propia clave de plataforma inscrita en el firmware UEFI, el howto asume que tiene desactivado el arranque seguro y que ha borrado la variable ''​ PK ''​ en el firmware UEFI. 
 + 
 +===== Inscripción de claves de inicio seguro y entradas de base de datos de firmas ===== 
 +Si no tiene un par de claves de plataforma existentes y un par de claves de firma binaria ​EFI, el método más sencillo para crear los pares de claves sería crear claves autofirmadasSe recomienda crear pares de claves ​RSA de 2048 bits que usen el algoritmo de firma sha256RSA. ​Para generar claves autofirmadas con las propiedades recomendadasejecute:
 <​code>​openssl req -new -x509 -newkey rsa:2048 -subj "/​CN=Platform Key Common Name/" \ <​code>​openssl req -new -x509 -newkey rsa:2048 -subj "/​CN=Platform Key Common Name/" \
         -keyout PK.priv -out PK.pub -days 3650 -nodes -sha256         -keyout PK.priv -out PK.pub -days 3650 -nodes -sha256
 openssl req -new -x509 -newkey rsa:2048 -subj "/​CN=EFI Binary Signing Key Common Name/" \ openssl req -new -x509 -newkey rsa:2048 -subj "/​CN=EFI Binary Signing Key Common Name/" \
         -keyout db.priv -out db.pub -days 3650 -nodes -sha256</​code>​         -keyout db.priv -out db.pub -days 3650 -nodes -sha256</​code>​
-which creates private keys with the ''​.priv'' ​extension and public key certificates with the ''​.pub'' ​extensionYou may wish to adjust the key validity period and choose a different Common Name (CN) to help distinguish your keys.+que crea claves privadas con la extensión ​''​ .priv '' ​y certificados de clave pública con la extensión ​''​ .pub ''​. ​Es posible que desee ajustar el período de validez de la clave y elegir un Nombre común ​(CN) diferente para ayudar a distinguir sus claves.
  
-<​note>​It is not necessary to create or use your own Key Exchange Key as that is intended for use by operating systems. Key Exchange Key instructions,​ however, have been provided below so you understand how to enroll ​Key Exchange Keys for operating systems that require it.</​note>​+<​note>​No es necesario crear o usar su propia clave de intercambio de clave, ya que está destinada a ser utilizada por los sistemas operativosSin embargo, a continuación se proporcionan las instrucciones de Key Exchange Key para que sepa cómo inscribir las Key Exchange Keys para los sistemas operativos que lo requieren.</​note>​
 To prepare a new Platform Key for writing to the ''​PK''​ variable: To prepare a new Platform Key for writing to the ''​PK''​ variable:
   - Insert the public Platform Key into an EFI signature list: <​code>​cert-to-efi-sig-list -g owner_guid PK.pub PK.esl </​code>​ replacing ''​owner_guid''​ with a hexadecimal GUID in the format ''​12345678-1234-1234-123456789abc''​. The owner GUID should be the same for all keys that you own. If an operating system cannot add a signature to a signature database due to a lack of resources, it may remove a signature with an owner GUID associated with the operating system.   - Insert the public Platform Key into an EFI signature list: <​code>​cert-to-efi-sig-list -g owner_guid PK.pub PK.esl </​code>​ replacing ''​owner_guid''​ with a hexadecimal GUID in the format ''​12345678-1234-1234-123456789abc''​. The owner GUID should be the same for all keys that you own. If an operating system cannot add a signature to a signature database due to a lack of resources, it may remove a signature with an owner GUID associated with the operating system.

En otros idiomas
QR Code
QR Code es:howtos:security:enabling_secure_boot (generated for current page)