重置安全启动密钥

Question

据我所知，设置模式的主要功能就是删除 PK（平台密钥）。PK 是最外层的“锁”，可防止更改其他安全启动密钥，因此删除它后，您可以自由更改 KEK/db/dbx 条目 - 当然也可以安装自定义 PK。

这意味着选择设置模式最有可能惯于从 KEK 或 db 中删除任何内容 – 我见过的 PC 固件通常具有单独的“清除”功能来实现这一点。

我是否会不可避免地丢失所有密钥（包括出厂密钥）？或者出厂密钥无法从 NVRAM 中清除，并且我可以在重置后在设置模式下使用它们？

是也不是。如果您要求这样做，与安全启动相关的“实时”EFI 变量（db、KEK、PK）可能会被完全清除，但 UEFI 也有“备份”变量（dbDefault、KEKDefault 等），它们是只读的，并且始终具有其原始值。这样，即使这些变量被删除，您或固件也可以使用 Microsoft+OEM 密钥恢复到其原始状态是歼灭。

请记住，安全启动变量均不会存储任何私人的密钥，它们很少甚至从未包含任何系统独有的内容。它们仅包含公共 X.509 证书，并且它们的值通常广为人知（KEK 和 db 通常仅包含 Microsoft 和制造商 CA）或完全无关紧要（PK 证书的存在比其内容更重要）。

Answer 1

据我所知，设置模式的主要功能就是删除 PK（平台密钥）。PK 是最外层的“锁”，可防止更改其他安全启动密钥，因此删除它后，您可以自由更改 KEK/db/dbx 条目 - 当然也可以安装自定义 PK。

这意味着选择设置模式最有可能惯于从 KEK 或 db 中删除任何内容 – 我见过的 PC 固件通常具有单独的“清除”功能来实现这一点。

我是否会不可避免地丢失所有密钥（包括出厂密钥）？或者出厂密钥无法从 NVRAM 中清除，并且我可以在重置后在设置模式下使用它们？

是也不是。如果您要求这样做，与安全启动相关的“实时”EFI 变量（db、KEK、PK）可能会被完全清除，但 UEFI 也有“备份”变量（dbDefault、KEKDefault 等），它们是只读的，并且始终具有其原始值。这样，即使这些变量被删除，您或固件也可以使用 Microsoft+OEM 密钥恢复到其原始状态是歼灭。

请记住，安全启动变量均不会存储任何私人的密钥，它们很少甚至从未包含任何系统独有的内容。它们仅包含公共 X.509 证书，并且它们的值通常广为人知（KEK 和 db 通常仅包含 Microsoft 和制造商 CA）或完全无关紧要（PK 证书的存在比其内容更重要）。

重置安全启动密钥

答案1

相关内容