我可以要求二进制 X 仅由使用密钥 Y 签名的引导加载程序引导吗?

我可以要求二进制 X 仅由使用密钥 Y 签名的引导加载程序引导吗?

如果我在安全启动设置中包含 Microsoft 的密钥,则任何具有 Microsoft 密钥的恶意软件都可以启动我的 Linux 二进制文件。我可以限制我的 Linux 二进制文件只能由使用我的个人密钥签名的引导加载程序引导吗?

我知道我可以使用我的个人密钥对二进制文件本身进行签名,但这并不能阻止使用不同密钥的恶意软件启动我的二进制文件。

如果这是不可能的,我仍然可以使用自己的密钥对 Windows 二进制文件进行签名并摆脱 Microsoft 的密钥,对吧?

答案1

如果我在安全启动设置中包含 Microsoft 的密钥,则任何具有 Microsoft 密钥的恶意软件都可以启动我的 Linux 二进制文件。我可以限制我的 Linux 二进制文件只能由使用我的个人密钥签名的引导加载程序引导吗?

不,你误解了信任链。前面的事情需要验证后面的事情。后来的事情并不能有意义地验证之前的事情。

我知道我可以使用我的个人密钥对二进制文件本身进行签名,但这并不能阻止使用不同密钥的恶意软件启动我的二进制文件。

正确的。

如果这是不可能的,我仍然可以使用自己的密钥对 Windows 二进制文件进行签名并摆脱 Microsoft 的密钥,对吧?

是的,如果您不希望运行由 Microsoft 密钥签名的代码,则必须执行此操作。

相关内容