<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Thu, 27 Sep 2018 at 09:06, Tamas Baumgartner-Kis <<a href="mailto:tbk-ipxe@yals.de">tbk-ipxe@yals.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I'm wondering how ipxe handles image loading with uefi secure boot enabled.<br>
<br>
I have my own uefi secure boot keys (so no microsoft keys).<br>
<br>
When I sign ipxe with my own key everything is ok and I'm able to boot ipxe <br>
over the network and uefi secure boot isn't complaining. <br>
<br>
If I boot from ipxe a uefi_shell.efi signed with my key the shell is loading fine<br>
and again uefi secure boot is satisfied.<br>
<br>
But if I boot a kernel signed with my key ipxe stops to execute the kernel with following error:<br>
<br>
Could not boot image: Exec format error (<a href="http://ipxe.org/2e008081" rel="noreferrer" target="_blank">http://ipxe.org/2e008081</a>)<br>
<br>
Kind regards<br>
   Tamas Baumgartner-Kis<br>
<br><br></blockquote><div><br>This will be a simplified quick explanation. Sourcecode for details ;)</div><div>iPXE loads the binary and then calls the firmware LoadImage - meaning that it is up to the firmware LoadImage function to validate the signature, and return error to iPXE if the signature is not valid.</div><div>iPXE itself does not have any code to check the signature, and by using the firmware to check it, it isn't needed.<br>In this case it seems that the image is not valid according to Firmware functions?<br>Could you validate that the kernel loads fine from the efi_shell, or without having iPXE in between?</div><div><br></div><div>/Christian</div><div><br></div></div></div>