セキュアブートキーのリセット

セキュアブートキーのリセット

AMI Aptio セットアップで「セットアップ モードにリセット」オプションを選択した場合はどうなりますか? 工場出荷時のキーを含むすべてのキーが永久に失われますか? または、工場出荷時のキーは NVRAM から消去できず、リセットするとセットアップ モードで使用できるようになりますか?

答え1

私の知る限り、セットアップ モードの主な機能は、PK (プラットフォーム キー) を削除することだけです。PK は、他のセキュア ブート キーが変更されるのを防ぐ最も外側の「ロック」であるため、PK を削除すると、KEK/db/dbx エントリを自由に変更できるようになります。もちろん、カスタム PK をインストールすることもできます。

つまり、セットアップモードを選択すると、しませんKEK または db から何かを削除します。私が見た PC ファームウェアには通常、これを実現するための別の「クリア」機能があります。

工場出荷時のキーも含め、すべてのキーが永久に失われるのでしょうか? それとも、工場出荷時のキーは NVRAM から消去できず、リセット時にセットアップ モードで使用できるのでしょうか?

はい、いいえ。セキュアブートに関連する「ライブ」EFI変数(db、KEK、PK)は、要求すれば完全に消去される可能性がありますが、UEFIには読み取り専用で常に元の値を保持する「バックアップ」変数(dbDefault、KEKDefaultなど)もあります。これにより、Microsoft+OEMキーを使用して、ファームウェアを元の状態に復元できます。全滅した。

セキュアブート変数には何も保存されないことに注意してください。プライベートキーは含まれておらず、システムに固有のものが含まれることはほとんどありません。公開 X.509 証明書のみが含まれており、通常、その値は広く知られているか (KEK と db には通常、Microsoft と製造元の CA のみが含まれます)、まったく重要ではありません (PK 証明書の存在は、その内容よりも重要です)。

関連情報