根据主题:
- 我想编写自己的内核模式驱动程序
- 我希望能够在安全启动的情况下使用它
- 我不想请求使用它的许可(没有 WHQL 测试或证明签名)
- 此驱动程序不用于发布,仅供个人使用
我已经定义了自己的安全启动平台密钥(PK),并且知道如何填充 KEK、db 和 dbx。
这应该是可能的,而且肯定有一些组织需要这样做。例如,我认为没有哪个国家的国防部愿意为自己的运行 Windows 的硬件提交 WHQL 或认证签名。事实上,只要不打算公开发布,任何人都不应该被迫这样做。
那么,这样做可行吗?
- 添加我自己的公钥磷到安全启动数据库
- 使用相应的私钥对我的驱动程序进行签名钾
- 运行我的驱动程序
或者还有其他步骤,比如注册磷在 Windows 证书数据库中?或者证书可能应该包含一些特定的 x509 扩展,例如更精确的密钥使用定义?