Secure Boot/ru: Difference between revisions

Revision as of 23:20, 8 December 2025

Под безопасной загрузкой обычно подразумевается возможность встроенного программного обеспечения платформы проверять компоненты загрузки и гарантировать, что загрузится только ваша собственная операционная система.

Secure Boot имеет несколько реализаций, наиболее известная - UEFI Secure Boot, которая опирается на прошивку платформы UEFI, но во встраиваемых системах могут существовать и другие реализации.

На NixOS, Secure Boot может быть включён с помощью проекта [Lanzaboote].

Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot.

@@ Line 9: / Line 9: @@
 Рекомендуется включить пароль BIOS и полное шифрование диска, чтобы предотвратить атаки на UEFI и Secure Boot.
-<div class="mw-translate-fuzzy">
-Lanzaboote состоит из двух компонентов:
-<code>lzbt</code> and <code>stub</code>.
-</div>
-<code>lzbt</code> - это программа командной строки, которая подписывает и устанавливает загрузочные файлы на ESP.
-<code>stub</code> - это UEFI-приложение, которое загружает ядро и initrd из ESP. Оно отличается от systemd-stub, смотрите ниже, чтобы увидеть точные различия.
-{{warning|Lanzaboote все еще находится в разработке и требует некоторых предварительных условий и мер предосторожности. В настоящее время он доступен только для nixos-unstable. Для получения дополнительной информации, пожалуйста, обратитесь к репозиторию GitHub или руководству по Quick Start}}.
-<span id="Requirements"></span>
-<div class="mw-translate-fuzzy">
-== Требования ==
-</div>
-Для реализации Secure Boot в Lanzaboote требуется система, установленная в режиме UEFI с включенной загрузкой systemd-boot. Это можно проверить, выполнив команду <code>bootctl status</code>:
-<syntaxHighlight lang=console>
-$ bootctl status
-System:
-     Firmware: UEFI 2.70 (Lenovo 0.4720)
-  Secure Boot: disabled (disabled)
- TPM2 Support: yes
- Boot into FW: supported
-Current Boot Loader:
-      Product: systemd-boot 251.7
-...
-</syntaxHighlight>
-<span id="Setup"></span>
-<div class="mw-translate-fuzzy">
-== Настройка ==
-</div>
-<div lang="en" dir="ltr" class="mw-content-ltr">
-Follow the instructions in the [https://github.com/nix-community/lanzaboote/blob/master/docs/QUICK_START.md Quick Start guide].
-</div>
-<div class="mw-translate-fuzzy">
-== Управление ключами ==
-На момент написания статьи Lanzaboote предлагает только локальное хранение связки ключей, иначе невозможно перестроить систему и подписать новые результирующие файлы.
-</div>
-В будущем Lanzaboote предложит два новых варианта подписи: удаленная подпись (HTTP-сервер, который получает запросы на подпись и отвечает подписями) и подпись на основе PKCS#11 (то есть с использованием HSM-подобного устройства, например, YubiKey, NitroKey и т.д.).
-{{Warning|Управление ключами - сложная проблема, которая выходит за рамки проекта Lanzaboote, существует множество решений, но не существует единого идеального. Потратьте время на то, чтобы научиться управлять ключами и определить правильный уровень защиты от угроз - это очень важно для эффективной защиты загрузки}}.
-<div class="mw-translate-fuzzy">
-== Различия с `systemd-stub` ==
-У systemd и upstream дистрибутивов есть существующее решение под названием `systemd-stub`, но оно не подходит для NixOS, так как в системе слишком много поколений.
-</div>
-При использовании `systemd-stub', ядро и initrd приходится дублировать для '''каждого поколения''', а при использовании заглушки Lanzaboote ядро и initrd можно '''дедуплицировать''' без ущерба для безопасности.
-<div lang="en" dir="ltr" class="mw-content-ltr">
-Tracking the feature parity with `systemd-stub` can be done in this issue: https://github.com/nix-community/lanzaboote/issues/94.
-[[Category:Security]]
-[[Category:Booting]]
-</div>