Задать вопрос
@questioner2

Корректно ли настроен SecureBoot с использованием собственных ключей?

На Debian 13 сгенерировал ключ и сертификат, сертификат сконвертировал в .der формат, ключом подписал UKI образ:
ukify genkey --secureboot-private-key=secureboot-private-key.key --secureboot-certificate=secureboot-certificate.crt
openssl x509 -in secureboot-certificate.crt -outform DER -out secureboot-certificate.crt.der
ukify build --secureboot-private-key=secureboot-private-key.key --secureboot-certificate=secureboot-certificate.crt --linux "$KERNEL" --initrd "$INITRD" --cmdline="$CMDLINE"


Зашёл в BIOS Setup, удалил существующие SecureBoot ключи, установил .der сертификат в качестве PK, KEK и db. Проверил, всё работает - грузятся только .efi, подписанные моим сгенерированным ключом.

Цель настройки SecureBoot: не дать модифицировать загрузочные файлы злоумышленнику, имеющему физический доступ к устройству.
Система установлена на зашифрованный раздел, за исключением efi раздела, и на UEFI установлен сложный пароль. При этом не рассматриваем ситуацию, когда злоумышленник может модифицировать память NVRAM.

Как использование одного и того же ключа для PK, KEK и db повлияет на безопасность настройки SecureBoot?
  • Вопрос задан
  • 27 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы