So funktioniert UEFI Secure Boot mit EC2 Amazon-Instances - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert UEFI Secure Boot mit EC2 Amazon-Instances

UEFISecure Boot ist eine in spezifizierte FunktionUEFI, mit der der Status der Startkette überprüft werden kann. Es soll sicherstellen, dass nach der Selbstinitialisierung der Firmware nur kryptografisch verifizierte UEFI Binärdateien ausgeführt werden. Zu diesen Binärdateien gehören UEFI Treiber und der Haupt-Bootloader sowie kettengeladene Komponenten.

UEFISecure Boot spezifiziert vier Schlüsseldatenbanken, die in einer Vertrauenskette verwendet werden. Die Datenbanken werden im UEFI Variablenspeicher gespeichert.

Die Vertrauenskette lautet wie folgt:

Plattformschlüssel (PK)-Datenbank

Die PK-Datenbank ist der Vertrauensanker. Es enthält einen einzelnen öffentlichen PK-Schlüssel, der in der Vertrauenskette für die Aktualisierung der Schlüsseldatenbank (Key Exchange Key (KEK)) verwendet wird.

Um die PK-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel, um eine Aktualisierungsanforderung zu signieren. Dies beinhaltet das Löschen der PK-Datenbank durch Schreiben eines leeren PK-Schlüssels.

Schlüsseldatenbank (KEK) für den Schlüsselaustausch

Bei der KEK Datenbank handelt es sich um eine Liste von öffentlichen KEK Schlüsseln, die in der Vertrauenskette für die Aktualisierung der Signaturdatenbanken (DB) und Denylist (DBX) verwendet werden.

Um die öffentliche KEK Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel, um eine Aktualisierungsanfrage zu signieren.

Signatur (db)-Datenbank

Die DB-Datenbank ist eine Liste von öffentlichen Schlüsseln und Hashes, die in der Vertrauenskette verwendet werden, um alle UEFI Boot-Binärdateien zu validieren.

Um die DB-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel oder einen der privaten KEK Schlüssel, um eine Aktualisierungsanfrage zu signieren.

Signatur-Deny-Liste (dbx)-Datenbank

Die dbx-Datenbank ist eine Liste von öffentlichen Schlüsseln und binären Hashes, die nicht vertrauenswürdig sind und in der Vertrauenskette als Widerrufsdatei verwendet werden.

Die dbx-Datenbank hat immer Vorrang vor allen anderen wichtigen Datenbanken.

Um die DBX-Datenbank zu ändern, benötigen Sie den privaten PK-Schlüssel oder einen der privaten KEK Schlüssel, um eine Aktualisierungsanforderung zu signieren.

Das UEFI Forum unterhält unter https://uefi.org/revocationlistfile eine öffentlich zugängliche DBX-Datenbank für viele als schädlich bekannte Binärdateien und Zertifikate.

Wichtig

UEFISecure Boot erzwingt die Signaturvalidierung für alle Binärdateien. UEFI Um die Ausführung einer UEFI Binärdatei in UEFI Secure Boot zu ermöglichen, signieren Sie sie mit einem der oben beschriebenen privaten Datenbankschlüssel.

Standardmäßig ist UEFI Secure Boot deaktiviert und das System ist aktiviertSetupMode. Wenn sich das System im SetupMode befindet, können alle Schlüsselvariablen ohne kryptografische Signatur aktualisiert werden. Wenn der PK gesetzt ist, ist UEFI Secure Boot aktiviert und der SetupMode wird beendet.