Ist es möglich, den PK-Schlüssel vom Terminal aus zu löschen, wenn Secure Boot deaktiviert ist? Ich weiß, dass Sie zum Ändern der Schlüssel in den Setup-Modus wechseln müssen. Und um in den Setup-Modus zu wechseln, müssen Sie den PK-Schlüssel löschen. Ist es nun möglich, den PK-Schlüssel nicht über das BIOS, sondern über das Terminal Ihres Betriebssystems zu löschen? Denken Sie daran, dass Secure Boot deaktiviert ist.
Der Grund, warum ich das frage, ist, dass ich zwei Betriebssysteme installieren möchte. Zuerst Linux, das mit meinen eigenen Schlüsseln signiert wird, und dann Windows. Im BIOS habe ich nur meine benutzerdefinierten Schlüssel, also keine Microsoft-Schlüssel. Beim Booten von Linux habe ich Secure Boot aktiviert, beim Booten von Windows habe ich Secure Boot deaktiviert (weil ich keine Microsoft-Schlüssel registriert habe, sondern nur meine benutzerdefinierten Schlüssel).
Linux ist ein wichtiges Betriebssystem für mich, deshalb starte ich es mit aktiviertem Secure Boot. Windows verwende ich jedoch für nichts Wichtiges, daher ist es kein Problem, es ohne Secure Boot zu starten.
Nehmen wir jedoch an, dass auf meinem Windows-Betriebssystem eine bösartige App installiert wurde. Wenn ich Windows mit deaktiviertem Secure Boot starte, kann diese bösartige App dann meine Secure Boot-Schlüssel ändern? Das versuche ich zu verstehen.
Antwort1
Wenn Secure Boot aktiviert ist, werden die Secure Boot-Schlüssel verwendet, um alle Binärobjekte zu überprüfen, bevor sie ausgeführt werden (bis das Betriebssystem bootet, danach liegt die Sicherheit in der Verantwortung des Betriebssystems). Dazu gehören BIOS-Updates, die immer mit dem Schlüssel des Mainboard-Herstellers (gespeichert im Plattformschlüssel oder PK von Secure Boot) oder dem Microsoft UEFI CA 2011Schlüssel (gespeichert in den Key Exchange Keys oder KEK, normalerweise zusammen mit demselben Schlüssel wie im PK gespeichert, plus ein paar andere, je nach Hersteller) signiert sind.
Daher können bei aktiviertem Secure Boot keine zufälligen BIOS-Updates erfolgen.
Wenn der PK entfernt/gelöscht wird, wird Secure Boot aktiviert setup mode(im Gegensatz zu user mode, wo Secure Boot aktiviert ist und Prüfungen erzwingt), bis ein Plattformschlüssel hinzugefügt wird. Der Setup-Modus ermöglicht die Änderung der Secure Boot-Konfiguration ohne die vorherigen Einschränkungen und Prüfungen.
Abschnitt 1.3.2 des MS-Dokuments mit dem TitelAnleitung zur Erstellung und Verwaltung von Windows Secure Boot-Schlüsselnbietet viel mehr Details darüber, wie die Tasten untereinander und mit dem Bootvorgang insgesamt interagieren.