我最近注意到 GRUB 能够执行签名检查和基于软件的安全启动操作。我想尝试一下,所以我按照说明操作这里并执行sudo grub-install --pubkey=<my-key> /dev/sda。唯一的问题是,尽管我正确签名了 GRUB 的所有模块,但它无法加载它们,包括首先执行签名检查所必需的。虽然verify_detached内置于 GRUB 中,但我收到一条错误消息,提示我未加载 SHA-256 的哈希函数。有人知道我在这里做错了什么吗?
答案1
您需要在核心映像本身中包含以下模块:gcry_rsa gcry_sha256
--modules 选项应该可以工作。
顺便说一下,在处理这个问题时,我注意到 GRUB 执行不如果核心映像中不包含验证模块,则根本无法进行验证。我预计在指定 --pubkey 但不包含验证映像时至少会出现错误。