机器所有者密钥 (MOK) 详细信息和预部署选项

机器所有者密钥 (MOK) 详细信息和预部署选项

目前我正在尝试了解背后的机制安全启动、shim 和机器所有者密钥。

我观察到的事实是,我通过莫库蒂尔是永久性的,即使:

  • Linux 发行版正在重新安装(在本例中Debian 11(靶心))
  • 安全启动存储被清除并恢复为默认值

按照管理 Linux 的 EFI 引导加载程序:处理安全启动,机器所有者密钥存储在非易失性随机存取存储器UEFI

但是,SHIM 似乎负责将 MOK 导入 NVRAM,因为它不是 UEFI 默认 PK/KEK/DB/DBX 存储的一部分。

我的问题是:

  • 是否可以在安装之前告诉 SHIM(例如定制版本),它应该在机器的 NVRAM 中添加一个密钥,而无需用户交互?
  • 制造商可以将我的密钥放在 NVRAM 中吗?

答案1

关于 MOK 预先部署的问题可以通过以下方式回答gpn20——Linux 安全启动(谢谢@themole转发)。这是一段德语视频。据我所知,相关部分摘要如下:

您必须经过“shim 审核”,即将您的公钥添加到项目代码中,经过审核后,您将获得官方签名的 shim 版本。

我找到了有关垫片审查的这个存储库:垫片评论

就我而言,不可能这样做,但我能够修改 UEFI 默认设置和内容,因此我将准备一个包含我的公钥的 PK-Package 并相应地更新此帖子。

相关内容