SHIM/GRUB 리뷰 및 코드사인에 대해

과정 요약

shim을 빌드하고 Microsoft으로부터 코드사인 받기 위해서는 shim 개발팀의 리뷰가 필수적이다.

https://docs.microsoft.com/ko-kr/windows-hardware/drivers/dashboard/lsa-and-uefi-file-signing

위 링크를 보면 "제출이 shim 인 경우 shim 검토 보드에 검토를 위해 완성 된 템플릿을 제출해야합니다. shim 검토 프로세스는 https://github.com/rhboot/shim-review/에 설명되어 있습니다"
라고 쓰여져 있다.

 

1. shim 빌드

2. shim review 요청 (정확한 빌드 재현 가능해야 함, hash 값 확인)

3. shim review 수락

4. Microsoft 에게 codesign 요청

shim-review 주의 사항

https://github.com/rhboot/shim-review/issues/84#issuecomment-636051225 에 보면 누군가가 과거 리뷰에 대해 정리해놓은것이 있다.

(번역글)

과거 문제에 대한 거부 읽기 및 / 또는 의견. 일반적인 주제는 다음과 같습니다.

 

* 재현 불가능한 빌드, 빌드를 재현하기위한 불완전한 지침, 시간이 지남에 따라 빌드 재현성이 저하됨

 

* Certs / shim 제출은 grub 및 linux 커널이 아닌 다른 서명에 사용하려고 시도합니다. 즉, 사물을 강제하지 않는 다른 부트 로더 또는 비 Linux 운영 체제
모호한 코드-즉, 패치를 적용하지 않고 grub에 서명하려고 시도 함, 사용 된 grub / 소스에 대한 명확한 표시 없음
부분 패치가있는 오래된 심. 즉, acient shim에 서명하려고합니다. 패치가 삭제 된 shim, 추가 검토되지 않은 패치가있는 shim 등

 

* shim 빌드를 재현 가능하게 만들 수 있는지 또는 예를 들어 어떻게 든 shim을 바이너리 패치 할 수 있는지 궁금합니다. 이상적으로는 다양한 shim 간의 유일한 차이점은 인증서 여야합니다. 왜냐하면 인증서 만 차이가있는 동일한 shim 빌드를 일괄 제출할 수 있기 때문입니다.

 

Grub은 여전히 고통입니다. 업스트림 그룹에는 여전히 완전한 보안 부팅 패치가 없으며 모든 개인의 개별 그룹이 올바른 작업을 수행하고 올바른 작업을 수행 할 수있는 충분한 패치가 있는지 자동으로 검토하기가 쉽지 않습니다.

 

심 상류. 몇몇 사람들이 v15 위에 체리 픽을 가지고있는 것 같지만 v16은 아직 출시되지 않았습니다. 최신 shim을 릴리스하면 좋을 것입니다.

느린 review 문제

이전상황을 봐도 리뷰가 4개월만에 이루어진 경우도 있으며 올 해에는 BootHole때문인지 한건도 리뷰되지 않고 있다.

이러한 문제때문에 검토자를 추가하자는 토론 및 Microsoft를 리뷰에 참가하게 하자는 의견이 아래 Issue에 있다.
https://github.com/rhboot/shim-review/issues/84

이후 몇몇 사람이 자발적으로 빌드 재현에 대한 리뷰 (But, accept는 하지 못함)를 하고 있지만 @cyphermox 의 리뷰는 여전히 이루어지지 않고 있다.

답이없다...ㅠㅠ