UEFI安全開機如何搭配 Amazon EC2 執行個體運作

UEFI安全開機是中指定的一項功能UEFI，可提供有關開機鏈狀態的驗證。它的設計是為了確保在韌體的自我初始化之後，只會執行經過密碼編譯驗證的UEFI二進位檔案。這些二進製文件包括UEFI驅動程序和主引導加載程序，以及鏈接加載的組件。

UEFI安全啟動指定四個關鍵數據庫，這些數據庫在信任鏈中使用。數據庫存儲在UEFI變量存儲。

信任鏈如下：

平台金鑰 (PK) 資料庫

PK 資料庫是信任根。它包含用於更新金鑰交換金鑰 (KEK) 資料庫的信任鏈中的單一公開 PK 金鑰。

若要變更 PK 資料庫，您必須具有私有 PK 金鑰才能簽署更新要求。這包括透過寫入空 PK 金鑰來刪除 PK 資料庫。

金鑰交換金鑰 (KEK) 資料庫

該KEK數據庫是在信任鏈中用於更新簽名（db）和 denylist（dbx）數據庫的公KEK鑰列表。

若要變更公用KEK資料庫，您必須擁有私密 PK 金鑰才能簽署更新要求。

簽章 (db) 資料庫

db 資料庫是在信任鏈中用來驗證所有UEFI開機二進位檔案的公開金鑰和雜湊清單。

若要變更資料庫，您必須擁有私密 PK 金鑰或任何私密KEK金鑰才能簽署更新要求。

簽章拒絕清單 (dbx) 資料庫

dbx 資料庫是一份不受信任的公有金鑰和二進位檔案雜湊清單，在信任鏈中作為撤銷檔案使用。

dbx 資料庫始終優先於所有其他金鑰資料庫。

若要變更 dbx 資料庫，您必須擁有私密 PK 金鑰或任何私密KEK金鑰，才能簽署更新要求。

UEFI論壇在 https://uefi.org/revocationlistfile 上為許多已知的不良二進製文件和證書維護了一個公開可用的 dbx。

重要

UEFI安全開機會對任何UEFI二進位檔案強制執行簽章驗證。要允許在UEFI安全啟動中執行UEFI二進製文件，請使用上述任何私有數據庫密鑰對其進行簽名。

預設情況下，「UEFI安全開機」為停用狀態，且系統處於中狀態SetupMode。當系統處於 SetupMode 模式時，所有金鑰變數都可以在沒有密碼編譯簽章的情況下更新。設定 PK 時，會啟用「UEFI安全開機」SetupMode 並結束。