Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

3.4. 公開鍵のソース

カーネルは、起動時に X.509 キーを永続キーストアから以下のキーリングに読み込みます。

  • システムキーリング (.builtin_trusted_keys)
  • .platform キーリング
  • システムの .blacklist キーリング

表3.3 システムキーリングのソース

X.509 鍵のソースユーザーによるキーの追加UEFI セキュアブートの状態ブート中に読み込まれる鍵

カーネルに埋め込み

いいえ

-

.builtin_trusted_keys

UEFI セキュアブート "db"

限定的

有効でない

いいえ

有効

.platform

shim.efi ブートローダーに埋め込み

いいえ

有効でない

いいえ

有効

.builtin_trusted_keys

Machine Owner Key (MOK) リスト

はい

有効でない

いいえ

有効

.platform

.builtin_trusted_keys:

  • 起動時に構築されるキーリング
  • 信頼できる公開鍵が含まれる
  • 鍵を表示するには root 権限が必要

.platform:

  • 起動時に構築されるキーリング
  • サードパーティーのプラットフォームプロバイダーからの鍵とカスタム公開鍵が含まれる
  • 鍵を表示するには root 権限が必要

.blacklist

  • 無効な X.509 鍵を使用したキーリング
  • 公開鍵が .builtin_trusted_keys にある場合でも .blacklist からの鍵で署名されたモジュールは認証に失敗する

UEFI セキュアブート db:

  • 署名データベース
  • UEFI アプリケーション、UEFI ドライバー、およびブートローダーの鍵 (ハッシュ) を格納する
  • この鍵はマシンで読み込むことができる

UEFI セキュアブート dbx:

  • 無効な署名データベース
  • 鍵が読み込まれないようにする
  • このデータベースからの無効な鍵は .blacklist キーリングに追加される