Cuando el arranque seguro está deshabilitado, ¿es posible eliminar la clave PK del terminal? Sé que para cambiar las claves, debes ingresar al modo de configuración. Y para ingresar al modo de configuración, debe eliminar la clave PK. Ahora bien, ¿es posible eliminar la clave PK no a través del BIOS, sino a través del terminal de su sistema operativo? Tenga en cuenta que el arranque seguro está deshabilitado.
La razón por la que pregunto esto es porque quiero tener 2 sistemas operativos instalados. Primero está Linux, que se firmará con mis propias claves, y luego Windows. En BIOS solo tendré mis claves personalizadas, por lo que no tendré claves de Microsoft. Al iniciar Linux, tendré activado el inicio seguro; al iniciar Windows, tendré el inicio seguro desactivado (porque no tendré claves de Microsoft registradas, solo mis claves personalizadas).
Linux es un sistema operativo importante para mí, por eso lo iniciaré con el arranque seguro activado; pero Windows no lo usaré para nada importante, por lo que está bien iniciarlo sin un inicio seguro.
Sin embargo, digamos que se instaló una aplicación maliciosa en mi sistema operativo Windows. Si inicio Windows con el inicio seguro desactivado, ¿esta aplicación maliciosa podrá cambiar mis claves de inicio seguro? Eso es lo que estoy tratando de entender.
Respuesta1
Cuando el arranque seguro está habilitado, las claves de arranque seguro se utilizan para verificar todos los objetos binarios antes de que se ejecuten (hasta que arranca el sistema operativo, después de lo cual la seguridad es responsabilidad del sistema operativo). Esto incluye actualizaciones de BIOS que siempre se firman utilizando la clave del fabricante de la placa base (almacenada en la clave de plataforma o PK de Secure Boot) o la Microsoft UEFI CA 2011clave (almacenada en las claves de intercambio de claves o KEK, generalmente junto con la misma clave que se almacena en el PK, además de un par de otros según el fabricante).
Por lo tanto, no se pueden realizar actualizaciones aleatorias de la BIOS cuando el arranque seguro está habilitado.
Cuando se elimina/elimina la PK, ingresa el inicio seguro setup mode(a diferencia de user mode, donde el inicio seguro está habilitado y se aplican controles), hasta que se agrega una clave de plataforma. El modo de configuración permite modificar la configuración de arranque seguro sin las restricciones y comprobaciones anteriores.
Sección 1.3.2 del MS Doc tituladoGuía de creación y administración de claves de arranque seguro de Windowsbrinda muchos más detalles sobre cómo interactúan las claves entre sí y con el arranque en general.