目前我正在尝试了解背后的机制安全启动、shim 和机器所有者密钥。
我观察到的事实是,我通过莫库蒂尔是永久性的,即使:
- Linux 发行版正在重新安装(在本例中Debian 11(靶心))
- 安全启动存储被清除并恢复为默认值
按照管理 Linux 的 EFI 引导加载程序:处理安全启动,机器所有者密钥存储在非易失性随机存取存储器的UEFI。
但是,SHIM 似乎负责将 MOK 导入 NVRAM,因为它不是 UEFI 默认 PK/KEK/DB/DBX 存储的一部分。
我的问题是:
- 是否可以在安装之前告诉 SHIM(例如定制版本),它应该在机器的 NVRAM 中添加一个密钥,而无需用户交互?
- 制造商可以将我的密钥放在 NVRAM 中吗?
答案1
关于 MOK 预先部署的问题可以通过以下方式回答gpn20——Linux 安全启动(谢谢@themole转发)。这是一段德语视频。据我所知,相关部分摘要如下:
您必须经过“shim 审核”,即将您的公钥添加到项目代码中,经过审核后,您将获得官方签名的 shim 版本。
我找到了有关垫片审查的这个存储库:垫片评论
就我而言,不可能这样做,但我能够修改 UEFI 默认设置和内容,因此我将准备一个包含我的公钥的 PK-Package 并相应地更新此帖子。