На Debian 13 сгенерировал ключ и сертификат, сертификат сконвертировал в .der формат, ключом подписал UKI образ:
ukify genkey --secureboot-private-key=secureboot-private-key.key --secureboot-certificate=secureboot-certificate.crt
openssl x509 -in secureboot-certificate.crt -outform DER -out secureboot-certificate.crt.der
ukify build --secureboot-private-key=secureboot-private-key.key --secureboot-certificate=secureboot-certificate.crt --linux "$KERNEL" --initrd "$INITRD" --cmdline="$CMDLINE"
Зашёл в BIOS Setup, удалил существующие SecureBoot ключи, установил .der сертификат в качестве PK, KEK и db. Проверил, всё работает - грузятся только .efi, подписанные моим сгенерированным ключом.
Цель настройки SecureBoot: не дать модифицировать загрузочные файлы злоумышленнику, имеющему физический доступ к устройству.
Система установлена на зашифрованный раздел, за исключением efi раздела, и на UEFI установлен сложный пароль. При этом не рассматриваем ситуацию, когда злоумышленник может модифицировать память NVRAM.
Как использование одного и того же ключа для PK, KEK и db повлияет на безопасность настройки SecureBoot?