Secure Boot/ru: Difference between revisions

(7 intermediate revisions by the same user not shown)

Line 18:

== Требования ==

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

Для реализации Secure Boot в Lanzaboote требуется система, установленная в режиме UEFI с включенной загрузкой systemd-boot. Это можно проверить, выполнив команду <code>bootctl status</code>:

~~The~~ Secure Boot ~~implementation of~~ Lanzaboote ~~requires a system installed in~~ UEFI ~~mode together with~~ systemd-boot ~~enabled~~. ~~This can be checked by running~~ <code>bootctl status</code>:

~~</div>~~

Line 35:

Line 33:

</syntaxHighlight>

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot.

~~It is recommended to enable a~~ BIOS ~~password and full disc encryption to prevent attacks against~~ UEFI ~~and~~ Secure Boot.

~~</div>~~

<~~div lang~~="~~en" dir="ltr" class="mw-content-ltr~~">

== ~~Setup~~ ==

== Настройка ==

~~</div>~~

Line 47:

Line 42:

</div>

~~<div lang~~=~~"en" dir~~=~~"ltr" class="mw-content-ltr">~~

== Управление ключами ==

~~== Key management~~ ==

На момент написания статьи Lanzaboote предлагает только локальное хранение связки ключей, иначе невозможно перестроить систему и подписать новые результирующие файлы.

~~At the time of writing,~~ Lanzaboote ~~offers only local storage of the keyring~~, ~~otherwise, it is not possible to rebuild the system and sign the new resulting files~~.

~~</div>~~

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

В будущем Lanzaboote предложит два новых варианта подписи: удаленная подпись (HTTP-сервер, который получает запросы на подпись и отвечает подписями) и подпись на основе PKCS#11 (то есть с использованием HSM-подобного устройства, например, YubiKey, NitroKey и т.д.).

~~In the future,~~ Lanzaboote ~~will offer two new signature backends~~: ~~remote signing~~ (an HTTP ~~server which receives signature requests and answers with signatures~~) ~~and~~ PKCS#11~~-based signing~~ (~~that is, bringing an~~ HSM-~~like device~~, ~~e.g.~~ YubiKey, NitroKey~~, etc~~.).

~~</div>~~

{{Warning|Управление ключами - сложная проблема, которая выходит за рамки проекта Lanzaboote, существует множество решений, но не существует единого идеального. Потратьте время на то, чтобы научиться управлять ключами и определить правильный уровень защиты от угроз - это очень важно для эффективной защиты загрузки}}.

~~<div lang~~=~~"en" dir~~=~~"ltr" class="mw-content-ltr">~~

== Различия с `systemd-stub` ==

~~== Differences with~~ `systemd-stub` ==

У systemd и upstream дистрибутивов есть существующее решение под названием `systemd-stub`, но оно не подходит для NixOS, так как в системе слишком много поколений.

systemd ~~and distribution~~ upstream ~~have an existing solution called~~ `systemd-stub` ~~but this is not a realistic solution for~~ NixOS ~~as there's too many generations on a system~~.

~~</div>~~

~~<div lang="en" dir="ltr" class="mw-content-ltr">~~

При использовании `systemd-stub', ядро и initrd приходится дублировать для '''каждого поколения''', а при использовании заглушки Lanzaboote ядро и initrd можно '''дедуплицировать''' без ущерба для безопасности.

~~Using~~ `systemd-stub`, ~~a kernel and an~~ initrd ~~has to be duplicated for~~ '''~~each generation~~''', ~~using~~ Lanzaboote~~'s stub, a kernel and~~ initrd ~~can be~~ '''~~deduplicated~~''' ~~without compromising on the security~~.

~~</div>~~

@@ Line 18: / Line 18: @@
 == Требования ==
-<div lang="en" dir="ltr" class="mw-content-ltr">
+Для реализации Secure Boot в Lanzaboote требуется система, установленная в режиме UEFI с включенной загрузкой systemd-boot. Это можно проверить, выполнив команду <code>bootctl status</code>:
-The Secure Boot implementation of Lanzaboote requires a system installed in UEFI mode together with systemd-boot enabled.  This can be checked by running <code>bootctl status</code>:
-</div>
 <syntaxHighlight lang=console>
@@ Line 35: / Line 33: @@
 </syntaxHighlight>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot.
-It is recommended to enable a BIOS password and full disc encryption to prevent attacks against UEFI and Secure Boot.
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+<span id="Setup"></span>
-== Setup ==
+== Настройка ==
-</div>
 <div lang="en" dir="ltr" class="mw-content-ltr">
@@ Line 47: / Line 42: @@
 </div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+== Управление ключами ==
-== Key management ==
+На момент написания статьи Lanzaboote предлагает только локальное хранение связки ключей, иначе невозможно перестроить систему и подписать новые результирующие файлы.
-At the time of writing, Lanzaboote offers only local storage of the keyring, otherwise, it is not possible to rebuild the system and sign the new resulting files.
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+В будущем Lanzaboote предложит два новых варианта подписи: удаленная подпись (HTTP-сервер, который получает запросы на подпись и отвечает подписями) и подпись на основе PKCS#11 (то есть с использованием HSM-подобного устройства, например, YubiKey, NitroKey и т.д.).
-In the future, Lanzaboote will offer two new signature backends: remote signing (an HTTP server which receives signature requests and answers with signatures) and PKCS#11-based signing (that is, bringing an HSM-like device, e.g. YubiKey, NitroKey, etc.).
-</div>
 {{Warning|Управление ключами - сложная проблема, которая выходит за рамки проекта Lanzaboote, существует множество решений, но не существует единого идеального. Потратьте время на то, чтобы научиться управлять ключами и определить правильный уровень защиты от угроз - это очень важно для эффективной защиты загрузки}}.
-<div lang="en" dir="ltr" class="mw-content-ltr">
+== Различия с `systemd-stub` ==
-== Differences with `systemd-stub` ==
+У systemd и upstream дистрибутивов есть существующее решение под названием `systemd-stub`, но оно не подходит для NixOS, так как в системе слишком много поколений.
-systemd and distribution upstream have an existing solution called `systemd-stub` but this is not a realistic solution for NixOS as there's too many generations on a system.
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
+При использовании `systemd-stub', ядро и initrd приходится дублировать для '''каждого поколения''', а при использовании заглушки Lanzaboote ядро и initrd можно '''дедуплицировать''' без ущерба для безопасности.
-Using `systemd-stub`, a kernel and an initrd has to be duplicated for '''each generation''', using Lanzaboote's stub, a kernel and initrd can be '''deduplicated''' without compromising on the security.
-</div>
 <div lang="en" dir="ltr" class="mw-content-ltr">