Cara kerja UEFI Secure Boot - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja UEFI Secure Boot

UEFI Secure Boot adalah fitur yang ditentukan dalam UEFI, yang menyediakan verifikasi tentang keadaan rantai boot. Ini dirancang untuk memastikan bahwa hanya biner UEFI yang diverifikasi secara kriptografis yang dijalankan setelah inisialisasi sendiri firmware. Biner ini termasuk driver UEFI dan bootloader utama, serta komponen yang dimuat rantai.

UEFI Secure Boot menentukan empat database kunci, yang digunakan dalam rantai kepercayaan. Database disimpan di toko variabel UEFI.

Rantai kepercayaan adalah sebagai berikut:

Basis data kunci platform (PK)

Basis data PK adalah akar kepercayaan. Ini berisi kunci PK publik tunggal yang digunakan dalam rantai kepercayaan untuk memperbarui kunci pertukaran kunci (KEK) database.

Untuk mengubah database PK, Anda harus memiliki kunci PK pribadi untuk menandatangani permintaan pembaruan. Ini termasuk menghapus database PK dengan menulis kunci PK kosong.

Basis data kunci pertukaran kunci (KEK)

Database KEK adalah daftar kunci KEK publik yang digunakan dalam rantai kepercayaan untuk memperbarui database signature (db) dan denylist (dbx).

Untuk mengubah database KEK publik, Anda harus memiliki kunci PK pribadi untuk menandatangani permintaan pembaruan.

Basis data tanda tangan (db)

Database db adalah daftar kunci publik dan hash yang digunakan dalam rantai kepercayaan untuk memvalidasi semua biner boot UEFI.

Untuk mengubah database db, Anda harus memiliki kunci PK pribadi atau kunci KEK pribadi untuk menandatangani permintaan pembaruan.

Database denylist tanda tangan (dbx)

Database dbx adalah daftar kunci publik dan hash biner yang tidak dipercaya, dan digunakan dalam rantai kepercayaan sebagai file pencabutan.

Database dbx selalu diutamakan daripada semua database kunci lainnya.

Untuk mengubah database dbx, Anda harus memiliki kunci PK pribadi atau salah satu kunci KEK pribadi untuk menandatangani permintaan pembaruan.

Forum UEFI mempertahankan dbx yang tersedia untuk umum untuk banyak biner dan sertifikat yang dikenal-buruk di https://uefi.org/revocationlistfile.

penting

UEFI Secure Boot memberlakukan validasi tanda tangan pada biner UEFI apa pun. Untuk mengizinkan eksekusi biner UEFI di UEFI Secure Boot, Anda menandatanganinya dengan salah satu kunci db pribadi yang dijelaskan di atas.

Secara default, UEFI Secure Boot dinonaktifkan dan sistem masuk. SetupMode Saat sistem masukSetupMode, semua variabel kunci dapat diperbarui tanpa tanda tangan kriptografi. Ketika PK diatur, UEFI Secure Boot diaktifkan dan keluar. SetupMode