Was passiert, wenn ich im AMI Aptio-Setup die Option „Auf Setup-Modus zurücksetzen“ wähle? Verliere ich dann unwiderruflich alle vorhandenen Schlüssel, einschließlich der Werksschlüssel? Oder können die Werksschlüssel nicht aus dem NVRAM gelöscht werden und ich kann sie nach dem Zurücksetzen im Setup-Modus verwenden?
Antwort1
Soweit ich weiß, besteht die Hauptfunktion des Setup-Modus nur darin, den PK (Plattformschlüssel) zu entfernen. Der PK ist das äußerste „Schloss“, das verhindert, dass andere Secure Boot-Schlüssel geändert werden. Wenn er entfernt ist, können Sie KEK-/db-/dbx-Einträge frei ändern – oder natürlich einen benutzerdefinierten PK installieren.
Das bedeutet, dass die Auswahl des Setup-Modus höchstwahrscheinlichGewohnheitEntfernen Sie alles aus KEK oder DB – die PC-Firmwares, die ich gesehen habe, verfügen normalerweise über eine separate „Löschen“-Funktion, um dies zu erreichen.
Verliere ich alle vorhandenen Schlüssel unwiderruflich, einschließlich der Werksschlüssel? Oder können die Werksschlüssel nicht aus dem NVRAM gelöscht werden und ich kann sie nach dem Zurücksetzen im Setup-Modus verwenden?
Ja und nein. Die „Live“-EFI-Variablen im Zusammenhang mit Secure Boot (db, KEK, PK) können vollständig gelöscht werden, wenn Sie dies wünschen, aber UEFI hat auch „Backup“-Variablen (dbDefault, KEKDefault usw.), die schreibgeschützt sind und immer ihre ursprünglichen Werte haben. Auf diese Weise können Sie oder die Firmware den ursprünglichen Zustand mit Microsoft+OEM-Schlüsseln wiederherstellen, selbst wenn dieseSindausgelöscht.
Beachten Sie, dass keine der Secure Boot-VariablenPrivatSchlüssel, und sie enthalten selten, wenn überhaupt, etwas Einzigartiges für Ihr System. Sie enthalten nur öffentliche X.509-Zertifikate, und normalerweise sind ihre Werte entweder allgemein bekannt (KEK und db enthalten normalerweise nur Microsoft- und Hersteller-CAs) oder völlig belanglos (die Existenz eines PK-Zertifikats ist wichtiger als sein Inhalt).