OC Security - Vault Support per OpenCore

[A23SS4NDRO]

Buongiorno ragazzi, mi studiavo un po' la documentazione di OC

Sezione Vault 

 

For this you are recommended to at least enable UEFISecureBoot with a custom certificate,and sign OpenCore.efi andBOOTx64.efi

 

Voi procedereste nella creazione di chiavi Custom? Dato che loro lo consigliano anche?

 

Da quel che ho capito, migliora la sicurezza (evitando eventuali tampering) implementare un certificato per Secure boot custom e firmarlo con Opencore.efi e bootx64.efi 

 

Per quanto riguarda il vault (quindi in separata sede dalla creazione di chiavi per Secure boot) potrei nel frattempo 

 

Imlementare tramite lo script:

"Sign.command" che è possibile trovare in CreateVault di OCsupportPkg, che effettua tramite gli script

• create_vault.sh 
• RsaTool 

-La creazione di una una directory "Keys" in EFI/OC 
-sha256 di Fwruntimeservices in vault.plist
-tramite il tool "dd" embedda una chiave in OpenCore.efi

E quindi applica un controllo del file Opencore.efi e Fwruntimeservices (dentro vault.plist)

 

 

 

 

 

Differences.pdf.zip CreateVault.zip

Edited February 17, 2020 by A23SS4NDRO
Aggiunti file dal repo Di acidanthera

[A23SS4NDRO]

Ecco il comando che applica queste features

 

cd /Volumes/EFI/EFI/OC
/path/to/create_vault.sh .
/path/to/RsaTool -sign vault.plist vault.sig vault.pub
off=$(($(strings -a -t d OpenCore.efi | grep "=BEGIN OC VAULT=" | cut -f1 -d' ')+16))
dd of=OpenCore.efi if=vault.pub bs=1 seek=$off count=528 conv=notrunc
rm vault.pub

 

"vault.plist file should contain SHA-256 hashes for all files used by OpenCore. Presence of this file is highly
recommended to ensure that unintentional file modifications (including filesystem corruption) do not happen
unnoticed. To create this file automatically use create_vault.sh script. Regardless of the underlying filesystem,
path name and case must match between config.plist and vault.plist"

 

Tradotto:

 

Il file vault.plist dovrebbe contenere hash SHA-256 per tutti i file utilizzati da OpenCore. La presenza di questo file è altamente consigliata per garantire che non si verifichino modifiche involontarie dei file (inclusa la corruzione del filesystem) evitando che passino inosservate. Per creare questo file utilizzare automaticamente lo script create_vault.sh. Indipendentemente dal filesystem sottostante, nome percorso e case devono corrispondere tra config.plist e vault.plist