Comment comprendre l'installation d'Ubuntu UEFI Secure Boot?

19

Maintenant que Secure Boot est pris en charge, quelles instructions spéciales doit-on suivre pour installer Ubuntu sur un PC compatible UEFI Secure Boot livré avec Windows 8?

Si je comprends bien, Ubuntu> = 12.04.2 est livré avec GRUB2 signé. J'ai cherché mais je ne peux pas dépasser la déclaration "prise en charge". Je recherche des instructions spécifiques sur l'enregistrement des clés Ubuntu pour permettre au firmware de démarrer Ubuntu.

MISE À JOUR:

Merci. SecureBoot dans Ubuntu 12.10 me donne la réponse. Le chargeur de démarrage EFI Ubuntu de premier étage est signé par Microsoft . La dernière fois que j'ai lu, Ubuntu avait prévu de publier sa propre clé qui devait être enregistrée dans la base de données du firmware avant l'installation. Peut-être que je n'ai pas suivi l'histoire assez longtemps pour réaliser que ce n'est plus le cas.

Carcajou
la source
2
Lié (mais probablement pas un doublon, il s'agit d'une question pratique générale sur la façon d'installer Ubuntu sur une machine Windows 8, alors que les réponses ici donnent un contexte, expliquent "démarrage sécurisé" et ainsi de suite): Installer Ubuntu sur un UEFI préinstallé Système Windows 8 pris en charge
Eliah Kagan

Réponses:

12

Commencez probablement ici: help.ubuntu.com/community/UEFI

UEFI (~ EFI) est une interface de micrologiciel répandue sur les ordinateurs récents, en particulier ceux plus récents que 2010. Elle est destinée à remplacer l'interface de micrologiciel BIOS traditionnelle qui est répandue sur les machines antérieures. Cette page fournit des informations sur l'installation et le démarrage d'Ubuntu à l'aide d'EFI, ainsi que sur la commutation entre le mode EFI et le mode BIOS hérité à l'aide d'Ubuntu.


MISE À JOUR:

Ubuntu 12.10 est destiné à être utilisé avec Secure Boot .

Softpedia (sept. 2012) >> Canonical dévoile ses plans pour le démarrage sécurisé d'Ubuntu 12.10

Canonical, via Jon Melamut, a annoncé le 20 septembre son intention d'implémenter la prise en charge de Secure Boot dans le prochain système d'exploitation Ubuntu 12.10 (Quantal Quetzal).

Par conséquent, après une discussion avec Free Software Foundation, Canonical a décidé d'abandonner l'implémentation du chargeur de démarrage EFILinux au profit du chargeur de démarrage GRUB2, signé avec leurs propres clés. ..

Muktware (oct-2012) >> SecureBoot dans Ubuntu 12.10

Ubuntu 12.10 est la première distribution qui prend en charge l'architecture Secure Boot par défaut. Les développeurs canoniques ont passé énormément de temps à s'assurer qu'Ubuntu fonctionne correctement et sans problème dans tout le matériel. Steve Langasek, un développeur Ubuntu a présenté un joli compte dans son blog, concernant la façon dont ils rendent Secure Boot pris en charge.

ferme avec ..

Langasek dit qu'ils rétroporteront également le mécanisme de démarrage sécurisé vers la version Ubuntu 12.04, afin que la version LTS puisse être installée sur les périphériques de démarrage sécurisé. Le prochain service pack majeur d'Ubuntu Precise (12.04.2) inclura donc la prise en charge de SecureBoot.

david6
la source
2
Merci pour la réponse. J'ai lu cet article. Ma question ne concerne pas l'UEFI. C'est UEFI avec Secure Boot. Nulle part dans cet article il n'y a une mention de la façon de traiter avec un PC activé pour le démarrage sécurisé. Pouvez-vous m'indiquer une ressource qui m'aide à installer Ubuntu sur un PC compatible avec le démarrage sécurisé?
Wolverine
6

Il y a un problème sur certaines machines, en particulier les ordinateurs portables - Il ne semble pas que la clé publique "Microsoft Windows UEFI Driver Publisher" soit installée dans leur BIOS pour permettre au chargeur de démarrage Ubuntu signé (et à d'autres logiciels UEFI comme le nôtre) de fonctionner avec l'option Secure Boot activée. Ce n'est PAS la même clé que Microsoft utilise pour signer son propre gestionnaire de démarrage Windows UEFI et il semble que certaines implémentations du BIOS ne disposent que de cette Microsoft exclusive clé publique.

La solution est soit:

  1. Pour que Microsoft signe des binaires UEFI tiers avec la même clé qu'ils utilisent pour leur propre chargeur de démarrage.

  2. Pour que les fournisseurs de BIOS / fabricants de cartes mères de matériel informatique s’assurent qu’ils incluent les données pour permettre aux binaires signés «Microsoft Windows UEFI Driver Publisher» de fonctionner correctement.

Sur une machine Windows 8, entrez Mountvol Z: /Sdans une boîte de dialogue d'invite de commandes élevée. Ensuite, dans l'invite de commande, faites:

copy Z:\EFI\Microsoft\*.efi    C:\test

Z trouve une lettre de lecteur non utilisée.

Vous pouvez ensuite vous enregistrer (déjà créé) C:\test dossier des signatures numériques sur les fichiers Microsoft .efi et voir que le nom de la clé est différent de la clé utilisée pour signer le chargeur de démarrage Ubuntu.

Les fichiers de démarrage Ubuntu se trouvent dans X: \ EFI \ Boot où X est la lettre du lecteur de CD.

Cela doit être trié et trié rapidement.

Nos recherches indiquent que sur les ordinateurs portables testés jusqu'à présent, seuls les ordinateurs portables ASUS ont les bonnes clés installées dans leur bios, mais nous n'avons pas encore réussi à vérifier tout le monde. Je ne mentionne pas ici, les noms des machines qui ne fonctionneront pas, mais on est un nom similaire à celui qui fonctionne!

Shaun Hollingworth
la source
1
Il semble que les ThinkPad aient les bonnes clés prêtes à l'emploi.
nhinkle
1

J'ai posté une question similaire six mois et en raison de l'impossibilité de charger le noyau, j'ai conduit à installer un système d'exploitation alternatif non linux pour prouver que mon firmware et mon matériel fonctionnaient au moins comme prévu. L'intention était que ce nouveau matériel soit le premier que je n'aie jamais vu Windows, alors peut-être la prochaine fois ...

Depuis que j'ai commencé à chercher à utiliser les capacités EFI de mon dernier matériel, j'ai passé du temps sur ces pages très utiles qui incluent un bon synopsis sur la façon d'effectuer une installation Ubuntu sur une machine compatible Secure Boot et soulignent qu'il existe d'autres options autre que de s'appuyer sur Grub2 et les clés signées de Microsoft. Ce que le lien dans votre mise à jour à la question indique comme être tout et terminer tout. Penser juste partagerait ce n'est pas le cas. Comme le dernier lien de ce paragraphe montre l'utilisation de rEFInd et de vos propres clés, il est possible de gérer une installation linux avec Secure Boot activé. C'est l'une des nombreuses options mentionnées si elle n'est pas décrite en détail. J'espère que vous apprécierez la lecture autant que moi!

L'alternative consiste à désactiver le démarrage sécurisé. Personnellement, j'essaierais au moins la méthode décrite brièvement et gentiment par LovinBuntu.

Une autre source utile d'informations utiles concernant toutes les choses U / EFI est l'article wiki ici . Ce qui aide à décrire et à spécifier les exigences de Windows 8 UEFI> = 2.3.1 (la dernière version est désormais 2.4) et Secure Boot est disponible à partir de la spécification UEFI> = 2.2.
(la page wiki liée partage un lien vers une page similaire page EUFI qui me fait peur sans fin! La science-fiction n'est pas une fiction!: p)

Quelques liens supplémentaires pour une lecture plus approfondie:

geezanansa
la source