Red Hat Training

A Red Hat training course is available for RHEL 8

3.5. 公钥的源

在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:

  • 系统密钥环 (.builtin_trusted_keys)
  • .platform 密钥环
  • 系统 .blacklist 密钥环

表 3.3. 系统密钥环源

X.509 密钥源用户可以添加密钥UEFI 安全引导状态引导过程中载入的密钥

嵌入于内核中

-

.builtin_trusted_keys

UEFI db

有限

未启用

Enabled

.platform

嵌入在 shim 引导装载程序中

未启用

Enabled

.platform

Machine Owner Key(MOK)列表

未启用

Enabled

.platform

.builtin_trusted_keys
  • 在引导时构建的密钥环
  • 包含可信公钥
  • 查看密钥需要 root 权限
.platform
  • 在引导时构建的密钥环
  • 包含来自第三方平台提供商和自定义公钥的密钥
  • 查看密钥需要 root 权限
.blacklist
  • 具有已撤销的 X.509 密钥的密钥环
  • 使用来自 .blacklist 的密钥签名的模块将会验证失败,即使您的公钥在 .builtin_trusted_keys
UEFI 安全引导 db
  • 签名数据库
  • 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)
  • 密钥可在机器上加载
UEFI 安全引导 dbx
  • 已撤销的签名数据库
  • 防止密钥被加载
  • 来自此数据库的撤销的密钥被添加到 .blacklist 密钥环中