Jump to content

OC Security - Vault Support per OpenCore


A23SS4NDRO

Recommended Posts

Buongiorno ragazzi, mi studiavo un po' la documentazione di OC

Sezione Vault 

 

For this you are recommended to at least enable UEFISecureBoot with a custom certificate,and sign OpenCore.efi andBOOTx64.efi

 

Voi procedereste nella creazione di chiavi Custom? Dato che loro lo consigliano anche?

 

Da quel che ho capito, migliora la sicurezza (evitando eventuali tampering) implementare un certificato per Secure boot custom e firmarlo con Opencore.efi e bootx64.efi 

 

Per quanto riguarda il vault (quindi in separata sede dalla creazione di chiavi per Secure boot) potrei nel frattempo 

 

Imlementare tramite lo script:

"Sign.command" che è possibile trovare in CreateVault di OCsupportPkg, che effettua tramite gli script

• create_vault.sh 
• RsaTool 

-La creazione di una una directory "Keys" in EFI/OC 
-sha256 di Fwruntimeservices in vault.plist
-tramite il tool "dd" embedda una chiave in OpenCore.efi

E quindi applica un controllo del file Opencore.efi e Fwruntimeservices (dentro vault.plist)

 

 

 

 

 

Differences.pdf.zip CreateVault.zip

Edited by A23SS4NDRO
Aggiunti file dal repo Di acidanthera
Link to comment
Share on other sites

Ecco il comando che applica queste features

 

cd /Volumes/EFI/EFI/OC
/path/to/create_vault.sh .
/path/to/RsaTool -sign vault.plist vault.sig vault.pub
off=$(($(strings -a -t d OpenCore.efi | grep "=BEGIN OC VAULT=" | cut -f1 -d' ')+16))
dd of=OpenCore.efi if=vault.pub bs=1 seek=$off count=528 conv=notrunc
rm vault.pub

 

"vault.plist file should contain SHA-256 hashes for all files used by OpenCore. Presence of this file is highly
recommended to ensure that unintentional file modifications (including filesystem corruption) do not happen
unnoticed. To create this file automatically use create_vault.sh script. Regardless of the underlying filesystem,
path name and case must match between config.plist and vault.plist
"

 

Tradotto:

 

Il file vault.plist dovrebbe contenere hash SHA-256 per tutti i file utilizzati da OpenCore. La presenza di questo file è altamente consigliata per garantire che non si verifichino modifiche involontarie dei file (inclusa la corruzione del filesystem) evitando che passino inosservate. Per creare questo file utilizzare automaticamente lo script create_vault.sh. Indipendentemente dal filesystem sottostante, nome percorso e case devono corrispondere tra config.plist e vault.plist

 

 

 

 

 

 

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • There are no registered users currently online
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.