Как изменить размер раздела до его максимальной емкости после разделения на половину его емкости?

Я бы скорее описал процесс загрузки как:

1. )Включите питание, начните выполнять безопасную загрузку -микропрограммы с поддержкой UEFI

2. )Микропрограмма проверяет любые потенциальные загрузчики по наборам ключей безопасной загрузки, которые хранятся в системной NVRAM (или скомпилированы -с настройками по умолчанию ).

3. )Загрузчик должен таким же образом проверять ядро ​​ОС.

4. )Чтобы быть совместимым с безопасной загрузкой -и эффективным, ядро ​​Linux также должно криптографически проверять все загруженные модули ядра.

Современные ядра включают дополнительную функцию для пункта 4. ):Ядра корпоративных дистрибутивов, такие как RedHat, включают ее автоматически при загрузке в системе, поддерживающей безопасную загрузку -. Пользовательские ядра могут быть снабжены ключом подписи во время компиляции.

Для ядер RedHat во время выполнения список разрешенных ключей: (ключ, используемый для подписи основного ядра )+ (все, что находится в наборе ключей безопасной загрузки db)+ (разрешенные ключи в наборе MOK, используемом shim.efi, если он существует ).

Таким образом, если вы используете безопасную загрузку и планируете использовать сторонние -модули ядра с ядрами дистрибутива, вам необходимо подписать их и получить ключ подписи в списке разрешенных. Но если вы запускаете свои собственные ядра и/или контролируете свои ключи безопасной загрузки, ваш закрытый ключ безопасной загрузки можно использовать и для подписи сторонних -модулей.

Чтобы вы могли управлять безопасной загрузкой, ваша система должна позволять вам изменять ключи безопасной загрузки. Есть четыре (набора ключей ), которые вас интересуют:

• db, набор общедоступных сертификатов разрешенных загрузчиков и/или контрольных сумм SHA256 разрешенных загрузчиков
• dbxнабор общедоступных сертификатов и/или контрольных сумм явно занесенных в черный список загрузчиков.
• KEK, набор общедоступных сертификатов, которые используются для проверки любых подписанных обновлений до db
.
• и PKединственный и единственный сертификат первичного ключа (), который используется для проверки подписанных обновлений KEK.

По умолчанию система должна иметь PK производителя оборудования, а также ключи Microsoft и производителя оборудования в KEKи db. Это позволяет использовать сертифицированные Microsoft -загрузчики (, которые включают в себя «прокладку», используемую с некоторыми системами Linux ), и средства обновления микропрограммы производителя оборудования из -из -коробки -.

Первым шагом будет очень внимательное изучение настроек UEFI BIOS Setup. В некоторых системах программа установки позволяет как добавлять, так и удалять все ключи безопасной загрузки. В других системах единственными вариантами являются возврат к заводским ключам по умолчанию и очистка всех ключей. Если ваша установка требует очистки всех ключей, чтобы иметь возможность использовать пользовательские ключи, вы можете сначала сделать резервную копию любых существующих ключей, чтобы при желании их можно было выборочно восстановить.

В соответствии со спецификацией безопасной загрузки, если PKне установлен, безопасная загрузка будет находиться в так называемом -режиме настройки, который позволяет свободное редактирование всех наборов ключей и неограниченную загрузку. Итак, в идеале вы хотите просто удалить PK, но пока оставить остальные клавиши как -.

В лучшем случае это позволяет редактировать ключи безопасной загрузки из операционной системы, -поддерживающей UEFI, с помощью соответствующих инструментов; В худшем случае необходимо использовать UEFI Shell и утилиту keytool.efiиз пакета efitools Джеймса Боттомли .

Вероятно, ваша конечная цель должна быть примерно такой:

• набор dbдолжен содержать :
  • ваш собственный сертификат открытого ключа для загрузки вещей, которые вы явно подписали
  • возможно, сертификат подписи ядра вашего любимого дистрибутива Linux,если вы хотите использовать предварительно -упакованные ядра без их повторной -подписи вручную
  • возможно, сертификат поставщика оборудования, чтобы разрешить установку обновлений прошивки при необходимости
  • возможно, сторонний -сертификат UEFI от Microsoft, позволяющий использовать предварительно -упакованные загрузчики Linux и живые загрузочные носители Linux без явного повторного -их подписания или отключения безопасной загрузки
  • возможно, сертификат подписи ОС Microsoft, если вы выполняете двойную -загрузку с Windows
• набор KEKдолжен содержать :
  • собственный сертификат для обновления dbиdbx
  • Если ваша система включает ОС Microsoft с поддержкой UEFI -, вы можете включить сертификат Microsoft KEK, так как обновления Microsoft иногда включают обновления для dbи/или dbx, и эти обновления не будут успешно установлены, если доступ в безопасной загрузке отказано
• и, наконец, после того, как все остальное настроено так, как вы хотите, вы должны поместить свой собственный сертификат в PK, чтобы безопасная загрузка снова стала эффективной.