<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 11, 2017 at 11:56 AM, Michael Brown <span dir="ltr"><<a href="mailto:mcb30@ipxe.org" target="_blank">mcb30@ipxe.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 11/12/17 00:44, Ian Bobbitt wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It's unlikely that iPXE can, or will ever be able to, have a valid Secure Boot signature. iPXE is licensed GPL v2 (or later) [1]. Microsoft, who are in charge of Secure Boot signatures, will not sign software subject to GPL v3 [2], because doing so would obligate them to publicly disclose their signing keys [3]. Other Open Source projects that do have Secure Boot signed loaders use a shim [4] with another license (e.g. GPL v2 only, or a BSD variant) that is compatible with signed code.<br>
</blockquote>
<br></span>
Microsoft is prepared to sign iPXE provided that various subsystems with known flaws are excluded.  You can exclude the relevant subsystems using instructions as per<br>
<br>
  <a href="http://git.ipxe.org/ipxe.git/commitdiff/7428ab7" rel="noreferrer" target="_blank">http://git.ipxe.org/ipxe.git/c<wbr>ommitdiff/7428ab7</a><br>
<br>
I have previously obtained signed iPXE builds from Microsoft.  The process of obtaining a signed build from Microsoft is tedious and very manual; this is the only reason that we do not have regular signed releases.<span class="HOEnZb"><font color="#888888"><br>
<br>
Michael<br>
</font></span></blockquote></div><br></div><div class="gmail_extra">That's great to hear. How were you able to get around the GPL v3 key disclosure requirements?</div><div class="gmail_extra"><br></div><div class="gmail_extra">Are you able to make these signed builds public? If so, will you be able to release updates occasionally? Maybe yearly, or "major" iPXE release?</div></div>