セキュア ブートが無効になっている場合、ターミナルから PK キーを削除することは可能ですか? キーを変更するには、セットアップ モードに入る必要があることはわかっています。また、セットアップ モードに入るには、PK キーを削除する必要があります。では、BIOS ではなく、OS のターミナルから PK キーを削除することは可能ですか? セキュア ブートが無効になっていることに注意してください。
私がこれを質問する理由は、2 つの OS をインストールしたいからです。最初は自分のキーで署名する Linux、次に Windows です。BIOS にはカスタム キーのみが含まれるため、Microsoft キーはありません。Linux を起動するときはセキュア ブートをオンにし、Windows を起動するときはセキュア ブートをオフにします (Microsoft キーは登録されておらず、カスタム キーのみであるため)。
Linux は私にとって重要な OS なので、セキュア ブートをオンにして起動します。ただし、Windows は重要な用途には使用しないので、セキュア ブートなしで起動しても問題ありません。
しかし、悪意のあるアプリが Windows OS にインストールされたとします。セキュア ブートをオフにして Windows を起動した場合、この悪意のあるアプリはセキュア ブート キーを変更できるのでしょうか? それが私が理解しようとしていることです。
答え1
セキュア ブートが有効になっている場合、セキュア ブート キーは、実行前にすべてのバイナリ オブジェクトを検証するために使用されます (OS が起動するまで。その後はセキュリティは OS の責任になります)。これには、メインボード製造元のキー (セキュア ブートのプラットフォーム キーまたは PK に保存) またはキーMicrosoft UEFI CA 2011(キー交換キーまたは KEK に保存され、通常は PK に保存されているのと同じキーに加えて、製造元に応じて他のキーもいくつか保存されます) を使用して常に署名される BIOS アップデートが含まれます。
したがって、セキュア ブートが有効になっていると、BIOS のランダム更新は発生しません。
PK が削除されると、プラットフォーム キーが追加されるまで、セキュア ブートが開始されますsetup mode(セキュア ブートが有効になっていてチェックが強制される とは異なりますuser mode)。セットアップ モードでは、以前の制限やチェックなしでセキュア ブート構成を変更できます。
MS Docのセクション1.3.2「Windows セキュア ブート キーの作成と管理のガイダンスキーが互いにどのように相互作用するか、また全体的な起動とどのように相互作用するかについて、より詳細な情報を提供します。