Menu Close
4.4. 公钥的源
在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:
-
系统密钥环 (
.builtin_trusted_keys) -
.platform密钥环 -
系统
.blacklist密钥环
表 4.3. 系统密钥环源
| X.509 密钥源 | 用户可以添加密钥 | UEFI 安全引导状态 | 引导过程中载入的密钥 |
|---|---|---|---|
| 嵌入于内核中 | 否 | - |
|
| UEFI 安全引导 "db" | 有限 | 未启用 | 否 |
| Enabled |
| ||
|
嵌入在 | 否 | 未启用 | 否 |
| Enabled |
| ||
| Machine Owner Key(MOK)列表 | 是 | 未启用 | 否 |
| Enabled |
|
.builtin_trusted_keys:
- 在引导时构建的密钥环
- 包含可信公钥
-
查看密钥需要
root权限
.platform:
- 在引导时构建的密钥环
- 包含第三方平台供应商和自定义公钥的密钥
-
查看密钥需要
root权限
.blacklist
- 使用 X.509 密钥的密钥环,该密钥已被撤销
-
使用来自
.blacklist的密钥签名的模块将会验证失败,即使您的公共密钥已在.builtin_trusted_keys中。
UEFI 安全引导数据库:
- 签名数据库
- 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希值)
- 密钥可加载到机器上
UEFI 安全引导 dbx:
- 已撤销的签名数据库
- 防止加载密钥
-
从此数据库撤销的密钥添加到
.blacklist密钥环中