我必须禁用安全启动。为此,我必须删除 PK 密钥。这会影响我的操作系统的加载吗?我正在使用当前已连接的“一次性”SSD。但我还有一个未连接的 Ubuntu 磁盘。对我来说,最重要的是删除 PK 密钥时 Linux 不会中断。此外,如果出现问题,是否可以将密钥恢复到以前的状态?
华硕主板,连接了 2 个 Windows SSD(1 - 带操作系统的启动管理器,2 - 连接到 1 个 SSD 的操作系统)
答案1
PK 本身并不影响您可以启动的内容 – 这是由db按键决定的。
平台密钥的目的PK只是控制谁/什么可以更新其他安全启动密钥。如果存在 PK,则只能对 KEK 列表进行 PK 签名的更新,并且只能对数据库列表进行 KEK 签名的更新。(这不适用于您可以通过固件设置屏幕执行的操作,它只适用于可以从操作系统执行的操作。)
删除 PK 并不关安全启动,但将其切换到“设置模式”,其中更新签名检查被禁用,并且正在运行的操作系统可以自由进行 KEK/db 更新,例如授权所需的任何 db 密钥。但是,启动时签名检查仍然处于活动状态。
所以我不认为这是你要找的选项。应该有其他选项来真正关闭安全启动。
需要注意的另一件事是,如果你启用了 BitLocker,那么任何更改为安全启动配置(开/关,PK,KEK......)将在重启后需要您的 BitLocker 恢复密钥,因此请确保您拥有该密钥。
但除此之外,删除 PK 不会带来任何严重的负面后果,并且根据规范,您应该始终可以选择将其恢复为内置默认值,返回“用户模式”……或生成您自己的 PK,这将产生完全相同的效果。(PK 只是公钥 - 相应的私钥由制造商持有 - 因此它与清除 TPM 不同。)
答案2
首先,我建议你备份 Windows 驱动器上的数据。至少备份密钥。
如果启用了 BitLocker 或任何其他驱动器加密,则应将所有数据备份到另一个未加密的驱动器,以防当前 Windows 安装拒绝再次启动。或者暂时禁用驱动器加密。(除非 Windows 拒绝禁用加密,这种情况并不罕见)
如果您的第二个驱动器仅包含提到的 Linux 安装,那么就不需要单独备份,因为它应该独立于您的 Windows 安装工作。
理论上,您不应删除任何密钥以禁用安全启动。如果您仍试图删除它们,我建议您也准备一个 Windows 安装 pendrive,以防您需要将密钥复制回来或修复 Windows 安装。如果您可以可靠地从 Ubuntu 安装中修改 Windows 分区,那么 Windows 安装 pendrive 就没有必要了。
但在删除任何内容之前,您必须先禁用 UEFI 中的安全启动!
关于禁用的后果:在启动时,您的计算机将不会检查您的基本系统组件是否已被修改。
这被认为不利于安全,因为安全启动可以保护您免受某些病毒或某人物理访问您的 PC 以解密您的加密驱动器的侵害。 PS:这就是为什么人们会试图说服您不要禁用它,就像这是某种极其危险的操作一样,可能会烧毁您的主板、炸毁电池并烧毁半个城市。