如果我在安全启动设置中包含 Microsoft 的密钥,则任何具有 Microsoft 密钥的恶意软件都可以启动我的 Linux 二进制文件。我可以限制我的 Linux 二进制文件只能由使用我的个人密钥签名的引导加载程序引导吗?
我知道我可以使用我的个人密钥对二进制文件本身进行签名,但这并不能阻止使用不同密钥的恶意软件启动我的二进制文件。
如果这是不可能的,我仍然可以使用自己的密钥对 Windows 二进制文件进行签名并摆脱 Microsoft 的密钥,对吧?
答案1
如果我在安全启动设置中包含 Microsoft 的密钥,则任何具有 Microsoft 密钥的恶意软件都可以启动我的 Linux 二进制文件。我可以限制我的 Linux 二进制文件只能由使用我的个人密钥签名的引导加载程序引导吗?
不,你误解了信任链。前面的事情需要验证后面的事情。后来的事情并不能有意义地验证之前的事情。
我知道我可以使用我的个人密钥对二进制文件本身进行签名,但这并不能阻止使用不同密钥的恶意软件启动我的二进制文件。
正确的。
如果这是不可能的,我仍然可以使用自己的密钥对 Windows 二进制文件进行签名并摆脱 Microsoft 的密钥,对吧?
是的,如果您不希望运行由 Microsoft 密钥签名的代码,则必须执行此操作。