Reboot the system after enrolling/erasing keys

Clear the screen before erasing keys

Get the second stage loader from the Load Options

This commit replaces the 2nd stage loader path with the first
argument in the Load Options and moves the rest arguments (if any)
to the Load Options for the 2nd stage loader.

For example, to make shim to load elilo.efi, just create a new
boot entry with efibootmgr:

 # efibootmgr -c -L "shim elilo" -l "efi\\shim.efi" -u "elilo.efi"

Remove debug code

secure_mode() was altered to always return true for debug purposes, and this
accidentally got committed to mainline. Fix that.

Sign MokManager with a locally-generated key

shim needs to verify that MokManager hasn't been modified, but we want to
be able to support configurations where shim is shipped without a vendor
certificate. This patch adds support for generating a certificate at build
time, incorporating the public half into shim and signing MokManager with
the private half. It uses pesign and nss, but still requires openssl for
key generation. Anyone using sbsign will need to figure this out for
themselves.

Don't fail if there's no network devices

findNetboot() would continue blindly even if no PXE-capable devices were
found. Fix that.

Bump version

This seems pretty much functionally complete, so let's call it 0.2.

Merge branch 'mok' into netboot

Conflicts:
shim.c

Add comments

Merge branch 'mok' into netboot

Conflicts:
Makefile
shim.c

Fix AuthenticodeVerify loop

Cert needs to be modified inside the Index loop, not outside it. This is unlikely to
ever trigger since there will typically only be one X509 certificate per
EFI_SIGNATURE_LIST, but fix it anyway.

Fix signature checking

We could potentially find a valid signature and then fail to validate it
due to not breaking out of the outer while loop.

Fix double free

load_image() didn't allocate PathName, don't have it free it.

Fix up some types

Type-checking the UEFI calls picked up a couple of problems. Fix them up.

Add documentation of the Mok variables

Brief overview of the function and format of the various variables used
by Shim and MokManager.

Merge branch 'mok' of github.com:mjg59/shim into mok

Check the vendor blacklist correctly

Initialize the size of vendor dbx as 0

The size of vendor dbx must be 0 if there is no vendor dbx provided
or the functions of db check will crash.

Clean up password setting

Permit clearing of the password, and avoid a case where choosing not to set
a password would result in an error message on exit. Fix the same problem
with MokSB.

Improve signature validation enable/disable

The logic used in checking the signature validation password was a bit
ugly. Improve that so it behaves rather more as expected.

Boot unsigned binaries if we're not in secure mode

read_header would fail if the binary was unsigned, even if we weren't then
going to verify the signature. Move that check to the verify function
instead.

Miscellaneous small fixups

Fixes for some small bugs noticed during review

Add another missing screen clearing

Another case where we were drawing text over existing text.

Merge branch 'mok' of github.com:mjg59/shim into mok

Fix password hash calculation

This was hardcoded, rather than being based on the actual password length,
resulting in incorrect hashes being generated.

Update image validation enable/disable

Update this to match the new mokutil behaviour

Delete MokList properly

A cut and paste error meant that attempts to delete MokList were instead
appending a zero-length addition.

Clean up checks for MokManager entry

Add a helper function and tidy up the calls for getting into MokManager

Fix key database parsing

The pointer to the certificate needs to be incremented by the size of the
entire certificate, not just the certificate data.

Support a vendor-specific DBX list.

In some rare corner cases, it's useful to add a blacklist of things that
were allowed by a copy of shim that was never signed by the UEFI signing
service.  In these cases it's okay for them to go into a local dbx,
rather than taking up precious flash.

Signed-off-by: Peter Jones <pjones@redhat.com>

Clear screen before prompting

We were drawing prompts on top of existing text, which was less than
ideal.

Don't print SHA1 sum when calculating file fingerprints

There's no point in printing the SHA1 of a SHA256...

Clean up timeout counter handling

Reduce menu redrawing by only redrawing the invalidated section of the menu
during the timeout countdown.

Add MOK password auth

Add support for setting an MOK password. The OS passes down a password hash.
MokManager then presents an option for setting a password. Selecting it
prompts the user for the same password again. If they match, the hash is
enrolled into a boot services variable and MokManager will prompt for the
password whenever it's started.

Pause on callback failures

If a callback returns any kind of failure, wait for a keypress in order to
give the user an opportunity to read any failure messages.

Skip signature checking if insecure

If we're configured to run untrusted code, print a message and skip the
validation checks.

Add support for disabling signature verification

Provide a mechanism for a physically present end user to disable signature
verification. This is handled by the OS passing down a variable that
contains a UINT32 and a SHA256 hash. If this variable is present, MokManager
prompts the user to choose whether to enable or disable signature validation
(depending on the value of the UINT32). They are then asked to type the
passphrase that matches the hash. This then saves a boot services variable
which is checked by shim, and if set will skip verification of signatures.

Add section headers

Provide a little more contextual information when people are in shim
menus.

Add draft version of Neil's netboot code

Reallocate the DevPath space for the volume label

The size of the DevPath string array was not sufficient to append
the volume label. This patch extends the size for the label and
re-enables the menu freeing.

Remove LoadImage/StartImage support

Some systems will show an error dialog if LoadImage() returned
EFI_ACCESS_DENIED, which then requires physical user interaction to skip.
Let's just remove the LoadImage/StartImage code, since the built-in code
is theoretically equivalent.

Switch to using db format for MokList and MokNew

Using the same format as the UEFI key databases makes it easier for the
kernel to parse and extract keys from MOK, and also permits MOK to contain
multiple key or hash types. Additionally, add support for enrolling hashes.

Split out hashing

We want to be able to generate hashes, so split out the hash generation
function from the verification function

Add missing header define

Add SHA1 support

In theory vendors could blacklist binaries with SHA1, so make sure we
calculate and check that hash as well.

Add menu header

Add a basic header to the menu to make it clearer what's going on.
Define SHIM_VENDOR in order to override the default.

Clear screen on exit

Add timeout support

We should time out if there aren't any keypresses at the top level menu
within a reasonable timeframe.

Fix whitespace

Remove unnecessary newline

The newline character shouldn't be present in the menu item string

Pass the size of MokNew to the key enrollment function

The size of MokNew was missing and it caused crash when enrolling new MOKs
with mokutil

Callbacks should return INTN, not UINTN

Remove unused variable

Don't lose the last file in top-level directories

The filesystem callback was failing to account for the additional menu
item to return to the filesystem list, and so the last file entry in the
root directory would be missing from the list.

Fix filesystem enrollment

We would always enrol a single key, deleting any existing keys in the
database. Fix that up.

Add an auth argument to store_keys()

If the user is manually installing keys from a filesystem then we don't need
to ask for the key password.

Add __attribute__ ((packed)) to MokListNode definition

Packing this lets us use MokListNode with the binary MokList representation.

Disable menu freeing

This looks like it ought to work, but is currently failing. Leaking here
isn't a big deal, so just disable it until I figure out what's wrong.

Fix menucount

Menucount wasn't being incremented for the final top level menu, so
the file explorer menu item wasn't appearing.

Free menus and add statics

Make sure we free menu items after exiting a menu. Also, add some missing
static annotations.

Fix menu items

Only show the MOK manipulation menu item if MokNew existed

Always show the MokManager UI

If someone explicitly starts MokManager then we want to show the UI

Fall back to MokManager if grub failed to validate

If we can't verify grub, fall back to MokManager. This permits shipping a
copy of shim and MokManager without distributing a key, letting
distributions provide their own for user installation.

Add filesystem browsing and enrollment

Add a basic menu system and file explorer. This makes it possible for the
user to enrol keys from media from within shim rather than having to boot
an OS first. This would permit vendors to distribute a signed shim without
having to install their own keys first - the keys could be stored on the
install media instead.

Don't show the invalid key number

Use the same function to get commands and password

Print the key number for the non-existent key also

Don't print Backspace as we print nothing

Calculate SHA1 fingerprint

openssl shows sha1 fingerprint by default.

Replace functions with the ones in gnu-efi

Use LibDeleteVariable in gnu-efi

More tips for the MOK password

Filter out newline from the password array

correct wording

Build debug image for all efi files

Define the max length of password

Request a password to verify the key list

The password must contain 8 characters at least and 16 characters
at most and will be hashed with the key list altogether. The keys
in MokNew won't be allowed to be enrolled unless the user provides
the correct password.

Erase stored keys when there is no key in the new key list

Make sure the variables are not broken

Allow the new keys to be listed again

Reject the binary when there is no key in MokList

Make the key list interactive

Make sure the time string is set

Improve the layout of the key info

Remove the unused debug message

Check the MOK list correctly

Simplify the key management

Move the key list building and management to mokutil to keep
MokManager as simple as possible.

Abandon the variable, MokMgmt

Copy the MOK list to a RT variable

The RT variable, MokListRT, is a copy of MokList so that the
runtime applications can synchronize the key list without touching
the BS variable.

Use the machine owner keys to verify images

Add a separate efi application to manage MOKs

Always try StartImage first

Only launch MokManager when necessary

Retrieve attributes of variables

We have to make sure the machine owner key is stored in a BS
variable.

Merge branch 'master' into mok-prototype3

Conflicts:
shim.c

Load MokManager for MOK management

Make the image loading process more generic

Fix data alignment on vendor_cert so we don't wind up with padding.

Add some convenience make targets.

Adds targets for "test-archive" and "archive"

Break out of our db checking loop at the appropriate time.

The break in check_db_cert is at the wrong level due to a typo in
indentation, and as a result only the last cert in the list can
correctly match.  Rectify that.

Signed-off-by: Peter Jones <pjones@redhat.com>