Red Hat Training
A Red Hat training course is available for RHEL 8
3.5. 公钥的源
在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:
-
系统密钥环 (
.builtin_trusted_keys) -
.platform密钥环 -
系统
.blacklist密钥环
表 3.3. 系统密钥环源
| X.509 密钥源 | 用户可以添加密钥 | UEFI 安全引导状态 | 引导过程中载入的密钥 |
|---|---|---|---|
| 嵌入于内核中 | 否 | - |
|
|
UEFI | 有限 | 未启用 | 否 |
| Enabled |
| ||
|
嵌入在 | 否 | 未启用 | 否 |
| Enabled |
| ||
| Machine Owner Key(MOK)列表 | 是 | 未启用 | 否 |
| Enabled |
|
.builtin_trusted_keys- 在引导时构建的密钥环
- 包含可信公钥
-
查看密钥需要
root权限
.platform- 在引导时构建的密钥环
- 包含来自第三方平台供应商和自定义公钥的密钥
-
查看密钥需要
root权限
.blacklist- 使用 X.509 密钥的密钥环,该密钥已被撤销
-
使用来自
.blacklist的密钥签名的模块将会进行身份验证,即使您的公钥位于.builtin_trusted_keys中
- UEFI 安全引导
db - 签名数据库
- 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)
- 密钥可加载到机器上
- UEFI 安全引导
dbx - 已撤销的签名数据库
- 防止加载密钥
-
来自此数据库的撤销的密钥添加到
.blacklist密钥环中