AMI Aptio 설정에서 "설정 모드로 재설정" 옵션을 선택하면 어떻게 됩니까? 공장 열쇠를 포함하여 거기에 있는 모든 열쇠를 영구적으로 잃어버리게 됩니까? 아니면 NVRAM에서 공장 키를 지울 수 없으며 재설정 시 설정 모드에서 사용할 수 있습니까?
답변1
내가 아는 한, 설정 모드의 주요 기능은 PK(플랫폼 키)를 제거하는 것뿐입니다. PK는 다른 보안 부팅 키가 변경되는 것을 방지하는 가장 바깥쪽의 "잠금"이므로 이를 제거하면 KEK/db/dbx 항목을 자유롭게 변경하거나 사용자 지정 PK를 설치할 수 있습니다.
이는 설정 모드를 선택할 가능성이 가장 높다는 것을 의미합니다.습관KEK 또는 db에서 무엇이든 제거합니다. 제가 본 PC 펌웨어에는 일반적으로 이를 달성하기 위한 별도의 "지우기" 기능이 있습니다.
공장 열쇠를 포함하여 거기에 있는 모든 열쇠를 영구적으로 잃어버리게 됩니까? 아니면 NVRAM에서 공장 키를 지울 수 없으며 재설정 시 설정 모드에서 사용할 수 있습니까?
예, 아니오. 보안 부팅과 관련된 "라이브" EFI 변수(db, KEK, PK)는 사용자가 요청하면 완전히 지워질 수 있지만 UEFI에는 읽기 가능한 "백업" 변수(dbDefault, KEKDefault 등)도 있습니다. 만 항상 원래 값을 갖습니다. 이렇게 하면 사용자 또는 펌웨어가 Microsoft+OEM 키를 사용하여 원래 상태로 복원할 수 있습니다.~이다전멸.
보안 부팅 변수는 어떤 것도 저장하지 않는다는 점을 명심하세요.사적인키이며 시스템에 고유한 내용을 포함하는 경우는 거의 없습니다. 여기에는 공개 X.509 인증서만 포함되어 있으며 일반적으로 해당 값은 널리 알려져 있거나(KEK 및 db에는 일반적으로 Microsoft 및 제조업체 CA만 포함됨) 완전히 중요하지 않습니다(PK 인증서의 존재는 내용보다 중요합니다).