当安全启动被禁用时,是否可以从终端删除 PK 密钥?我知道要更改密钥,您需要进入设置模式。而要进入设置模式,您需要删除 PK 密钥。现在,是否可以不通过 BIOS 而是通过操作系统的终端删除 PK 密钥?请记住,安全启动已被禁用。
我之所以问这个问题是因为我想安装 2 个操作系统。首先是 Linux,它将使用我自己的密钥进行签名,然后是 Windows。在 BIOS 中,我将只有我的自定义密钥,因此没有 Microsoft 密钥。启动 Linux 时,我将打开安全启动,启动 Windows 时,我将关闭安全启动(因为我不会注册 Microsoft 密钥,只有我的自定义密钥)。
Linux 对我来说是一个重要的操作系统,这就是为什么我会在打开安全启动的情况下启动它;但是我不会将 Windows 用于任何重要的事情,因此即使没有安全启动也可以启动它。
但是,假设我的 Windows 操作系统上安装了一个恶意应用程序。如果我在关闭安全启动的情况下启动 Windows,这个恶意应用程序是否能够更改我的安全启动密钥?这就是我想要了解的。
答案1
启用安全启动后,安全启动密钥用于在执行所有二进制对象之前对其进行验证(直到操作系统启动,此后安全性由操作系统负责)。这包括始终使用主板制造商的密钥(存储在安全启动的平台密钥或 PK 中)或密钥Microsoft UEFI CA 2011(存储在密钥交换密钥或 KEK 中,通常与存储在 PK 中的密钥相同,另外还有一些其他密钥,具体取决于制造商)签名的 BIOS 更新。
因此,当启用安全启动时,无法对 BIOS 进行随机更新。
当 PK 被移除/删除时,安全启动进入setup mode(与 不同user mode,其中安全启动已启用并强制检查),直到添加平台密钥。设置模式允许修改安全启动配置,而无需先前的限制和检查。
MS Doc 第 1.3.2 节标题为Windows 安全启动密钥创建和管理指南给出了关于各个按键如何相互作用以及如何整体启动的更多细节。