[sisyphus] I: initial signed UEFI bootloader support

[Michael Shigorin]

	Здравствуйте.
В ночь на сегодня наконец сложились кусочки и получилось
http://ftp.linux.kiev.ua/pub/Linux/ALT/people/mike/iso/mkimage-profiles/half-/20130110/regular-e17-20130110-x86_64.iso
-- по идее, этот образ способен загружаться на UEFI firmware
с неотключенным Secure Boot (aka Restricted Boot).

Если фирмварь предоставляет возможность бэкапа существующих баз
на флэшку, стоит ей воспользоваться.

Перед первой загрузкой собственно ядра потребуется добавить
сгенерированный и опубликованный мной в составе пакета
alt-uefi-keys ключ как Machine Owner Key[!], как описано здесь:
http://www.rodsbooks.com/efi-bootloaders/secureboot.html
(пп. 13--18).

При успешной загрузке первой строчкой будет "Binary is whitelisted"
или "Secure boot not enabled".

[!] поскольку опубликована также и *приватная* часть ключа
    (в составе alt-uefi-keys-private), это в принципе может
    привести к тому, что когда-то кто-то подпишет этим ключом
    зловредный код и убедит вас запустить его как загрузочный;
    предложения по организации подписывания загрузчиков
    принимаются, текущий "рабочий" вектор -- вслед за федорой
    выделить отдельное сборочное окружение и в дальнейшем
    обеспечить доступность из него HSM вроде yubikey.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/