Cara kerja Boot UEFI Aman dengan EC2 instans Amazon - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Boot UEFI Aman dengan EC2 instans Amazon

UEFIBoot Aman adalah fitur yang ditentukan dalamUEFI, yang menyediakan verifikasi tentang keadaan rantai boot. Ini dirancang untuk memastikan bahwa hanya UEFI binari yang diverifikasi secara kriptografis yang dieksekusi setelah inisialisasi firmware sendiri. Binari ini termasuk UEFI driver dan bootloader utama, serta komponen yang dimuat rantai.

UEFISecure Boot menentukan empat basis data utama, yang digunakan dalam rantai kepercayaan. Database disimpan di toko UEFI variabel.

Rantai kepercayaan tersebut adalah sebagai berikut:

Basis data kunci platform (PK)

Basis data PK adalah root kepercayaan. Ini berisi kunci PK publik tunggal yang digunakan dalam rantai kepercayaan untuk memperbarui basis data kunci pertukaran kunci (KEK).

Untuk mengubah basis data PK, Anda harus memiliki kunci PK privat untuk menandatangani permintaan pembaruan. Ini termasuk menghapus basis data PK dengan menulis kunci PK kosong.

Database kunci pertukaran kunci (KEK)

KEKDatabase adalah daftar KEK kunci publik yang digunakan dalam rantai kepercayaan untuk memperbarui database tanda tangan (db) dan denylist (dbx).

Untuk mengubah KEK database publik, Anda harus memiliki kunci PK pribadi untuk menandatangani permintaan pembaruan.

Basis data tanda tangan (db)

Database db adalah daftar kunci publik dan hash yang digunakan dalam rantai kepercayaan untuk memvalidasi semua binari UEFI boot.

Untuk mengubah database db, Anda harus memiliki kunci PK pribadi atau salah satu KEK kunci pribadi untuk menandatangani permintaan pembaruan.

Basis data denylist tanda tangan (dbx)

Basis data dbx adalah daftar kunci publik dan hash biner yang tidak tepercaya, dan digunakan dalam rantai kepercayaan sebagai file pencabutan.

Basis data dbx selalu diutamakan daripada semua basis data kunci lainnya.

Untuk mengubah database dbx, Anda harus memiliki kunci PK pribadi atau salah satu KEK kunci pribadi untuk menandatangani permintaan pembaruan.

UEFIForum mempertahankan dbx yang tersedia untuk umum untuk banyak binari dan sertifikat yang diketahui buruk di https://uefi.org/revocationlistfile.

penting

UEFIBoot Aman memberlakukan validasi tanda tangan pada binari apa punUEFI. Untuk mengizinkan eksekusi UEFI biner di Boot UEFI Aman, Anda menandatanganinya dengan salah satu kunci db pribadi yang dijelaskan di atas.

Secara default, Boot UEFI Aman dinonaktifkan dan sistem masukSetupMode. Ketika sistem ada di SetupMode, semua variabel kunci dapat diperbarui tanpa tanda tangan kriptografis. Ketika PK diatur, Boot UEFI Aman diaktifkan dan keluar. SetupMode