Red Hat Training

A Red Hat training course is available for RHEL 8

3.5. 公開鍵のソース

カーネルは、起動時に X.509 キーを永続キーストアから以下のキーリングに読み込みます。

  • システムキーリング (.builtin_trusted_keys)
  • .platform キーリング
  • システムの .blacklist キーリング

表3.3 システムキーリングのソース

X.509 鍵のソースユーザーによるキーの追加UEFI セキュアブートの状態ブート中に読み込まれる鍵

カーネルに埋め込み

いいえ

-

.builtin_trusted_keys

UEFI db

限定的

有効でない

いいえ

有効

.platform

shim ブートローダーに埋め込み

いいえ

有効でない

いいえ

有効

.platform

Machine Owner Key (MOK) リスト

はい

有効でない

いいえ

有効

.platform

.builtin_trusted_keys
  • 起動時にビルドされるキーリング
  • 信頼できる公開鍵が含まれています。
  • 鍵を表示するには root 権限が必要
.platform
  • 起動時にビルドされるキーリング
  • サードパーティーのプラットフォームプロバイダーからのキーとカスタムの公開鍵が含まれています。
  • 鍵を表示するには root 権限が必要
.blacklist
  • 失効した X.509 キーを含むキーリング
  • 公開鍵が .builtin_trusted_keys にある場合でも、.blacklist からのキーで署名されたモジュールは認証に失敗します。
UEFI セキュアブート db
  • 署名データベース
  • UEFI アプリケーション、UEFI ドライバー、およびブートローダーのキー (ハッシュ) を保存します。
  • キーはマシンにロードできます。
UEFI セキュアブート dbx
  • 失効した署名データベース
  • キーが読み込まれないようにします。
  • このデータベースからの失効したキーは、.blacklist キーリングに追加されます。