重置安全启动密钥

重置安全启动密钥

如果我在 AMI Aptio 设置中选择“重置为设置模式”选项,会发生什么情况?我是否会不可挽回地丢失所有密钥,包括出厂密钥?或者出厂密钥无法从 NVRAM 中清除,并且我可以在重置后在设置模式下使用它们?

答案1

据我所知,设置模式的主要功能就是删除 PK(平台密钥)。PK 是最外层的“锁”,可防止更改其他安全启动密钥,因此删除它后,您可以自由更改 KEK/db/dbx 条​​目 - 当然也可以安装自定义 PK。

这意味着选择设置模式最有可能惯于从 KEK 或 db 中删除任何内容 – 我见过的 PC 固件通常具有单独的“清除”功能来实现这一点。

我是否会不可避免地丢失所有密钥(包括出厂密钥)?或者出厂密钥无法从 NVRAM 中清除,并且我可以在重置后在设置模式下使用它们?

是也不是。如果您要求这样做,与安全启动相关的“实时”EFI 变量(db、KEK、PK)可能会被完全清除,但 UEFI 也有“备份”变量(dbDefault、KEKDefault 等),它们是只读的,并且始终具有其原始值。这样,即使这些变量被删除,您或固件也可以使用 Microsoft+OEM 密钥恢复到其原始状态歼灭。

请记住,安全启动变量均不会存储任何私人的密钥,它们很少甚至从未包含任何系统独有的内容。它们仅包含公共 X.509 证书,并且它们的值通常广为人知(KEK 和 db 通常仅包含 Microsoft 和制造商 CA)或完全无关紧要(PK 证书的存在比其内容更重要)。

相关内容