Comment fonctionne UEFI Secure Boot

UEFI Secure Boot est une fonction spécifiée dans UEFI, qui permet de vérifier l’état de la chaîne de démarrage. Elle est conçue pour garantir que seuls les binaires UEFI vérifiés cryptographiquement sont exécutés après l’auto-initialisation du microprogramme. Ces binaires incluent les pilotes UEFI et le chargeur de démarrage principal, ainsi que des composants chargés en série.

UEFI Secure Boot spécifie quatre bases de données clés, qui sont utilisées dans une chaîne de confiance. Les bases de données sont stockées dans le magasin de variables UEFI.

La chaîne de confiance est la suivante :

Base de données de clés de plateforme (PK, Platform Key)

La base de données PK est la source de la confiance. Elle contient une clé PK publique unique utilisée dans la chaîne de confiance pour mettre à jour la base de données KEK (Key Exchange Key).

Pour modifier la base de données PK, vous devez disposer de la clé privée PK pour signer une demande de mise à jour. Cela inclut la suppression de la base de données PK en écrivant une clé PK vide.

Base de données de clés d’échange de clés (KEK)

La base de données KEK est une liste de clés KEK publiques utilisées dans la chaîne de confiance pour mettre à jour les bases de données de signature (db) et de liste d’exclusion (dbx).

Pour modifier la base de données publique KEK, vous devez disposer de la clé privée PK pour signer une demande de mise à jour.

Base de données de signature (db)

La base de données est une liste de clés publiques et de hachages utilisés dans la chaîne de confiance pour valider tous les binaires de démarrage UEFI.

Pour modifier la base de données db, vous devez disposer de la clé privée PK ou de l’une des clés privées KEK pour signer une demande de mise à jour.

Base de données de liste d’exclusion de signature (dbx)

La base de données dbx est une liste de clés publiques et de hachages binaires qui ne sont pas fiables et sont utilisés dans la chaîne de confiance comme fichier de révocation.

La base de données dbx est toujours prioritaire sur toutes les autres bases de données clés.

Pour modifier la base de données dbx, vous devez disposer de la clé privée PK ou de l’une des clés privées KEK pour signer une demande de mise à jour.

Le Forum de UEFI maintient une dbx accessible au public pour de nombreux binaires et certificats connus pour être mauvais à l’adresse https://uefi.org/revocationlistfile.

Important

UEFI Secure Boot impose la validation des signatures sur tous les binaires UEFI. Pour permettre l’exécution d’un binaire UEFI dans UEFI Secure Boot, vous le signez avec l’une des clés privées db décrites ci-dessus.

Par défaut, UEFI Secure Boot est désactivé et le système est en mode SetupMode. Lorsque le système est en mode SetupMode, toutes les variables clés peuvent être mises à jour sans signature cryptographique. Lorsque le PK est défini, le démarrage sécurisé UEFI est activé et est quitté. SetupMode

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

UEFI Secure Boot

Lancez une instance avec prise en charge de UEFI Secure Boot