如果启用了安全启动,UEFI 系统将允许仅运行已签名的选项 ROM。我推测 PCIe 卡供应商希望他们的设备即使启用了安全启动也能正常工作。那么 PCIe 卡供应商如何为他们的设备签名选项 ROM?
目前我看到了三种方法:
- 要求 Microsoft 签署其 OPROM。这看起来是最简单的方法,因为 Microsoft
KEK是每个 UEFI 固件的标准。但它看起来像是一项付费服务。它是如何组织的?费用是多少?Microsoft 执行哪种审计?供应商是否应该向 Microsoft 提供其驱动程序的源代码?问题太多了。 KEK像 Intel/AMD/NVIDIA 这样的主流供应商可以要求主板供应商在 UEFI 固件中包含自己的密钥,类似于 Microsoft。在这种情况下,操作系统的 PCIe 设备驱动程序更新可以更新db数据库dbx并为 OPROM 添加必要的密钥。但由于某些原因,我没有听说过这种方法。而且只有主要的 PCIe 卡供应商才有可能。主板供应商不会KEK为每个 PCIe 卡供应商添加。- 根本不要签名。这样,如果启用了安全启动,带有 OPROM 的 PCIe 设备将无法在 UEFI 中工作。显卡不会提供 GOP,因此启动阶段会出现黑屏,网卡不会公开 PXE,等等。这听起来很糟糕。
PCIe 卡供应商通常使用哪种方法?或者还有其他解决方案?
另外,我不太明白 OPROM 映像如何支持dbx机制。如果某个密钥db用于签署某些东西,而后来发现该东西存在漏洞,则应撤销该密钥并将其添加到dbx。在操作系统更新时更新引导加载程序很容易,但在这种情况下如何更新 PCIe OPROM 映像?