보안 부팅이 비활성화되면 터미널에서 PK 키를 삭제할 수 있나요? 키를 변경하려면 설정 모드로 들어가야 하는 것으로 알고 있습니다. 그리고 설정 모드로 들어가려면 PK 키를 삭제해야 합니다. 이제 BIOS가 아닌 OS 터미널을 통해 PK 키를 삭제할 수 있습니까? 보안 부팅이 비활성화되어 있다는 점에 유의하세요.
제가 이것을 묻는 이유는 2개의 OS를 설치하고 싶기 때문입니다. 첫 번째는 내 키로 서명될 Linux이고 그 다음은 Windows입니다. BIOS에는 사용자 정의 키만 있으므로 Microsoft 키는 없습니다. Linux를 부팅할 때는 보안 부팅을 켜고, Windows를 부팅할 때는 보안 부팅을 끕니다(Microsoft 키는 등록하지 않고 사용자 지정 키만 등록하기 때문입니다).
Linux는 나에게 중요한 OS이므로 보안 부팅을 켜고 부팅하겠습니다. 하지만 Windows는 중요한 용도로 사용하지 않으므로 보안 부팅 없이 부팅해도 괜찮습니다.
그런데 내 Windows OS에 악성 앱이 설치되었다고 가정해 보겠습니다. 보안 부팅을 끈 상태에서 Windows를 부팅하면 이 악성 앱이 보안 부팅 키를 변경할 수 있나요? 그것이 제가 이해하려고 노력하는 것입니다.
답변1
보안 부팅이 활성화되면 보안 부팅 키를 사용하여 실행되기 전(OS가 부팅될 때까지, 그 이후에는 보안이 OS의 책임임) 모든 바이너리 개체를 확인합니다. 여기에는 항상 메인보드 제조업체의 키(보안 부팅의 플랫폼 키 또는 PK에 저장됨) 또는 키 Microsoft UEFI CA 2011(키 교환 키 또는 KEK에 저장됨)를 사용하여 서명된 BIOS 업데이트가 포함되며 일반적으로 PK 및 제조업체에 따라 몇 가지 추가).
따라서 보안 부팅이 활성화되면 BIOS에 대한 무작위 업데이트가 발생할 수 없습니다.
PK가 제거/삭제되면 플랫폼 키가 추가될 때까지 보안 부팅이 시작됩니다(보안 부팅이 활성화되고 검사를 시행하는 것과는 setup mode대조적 ). user mode설정 모드를 사용하면 이전 제한 및 확인 없이 보안 부팅 구성을 수정할 수 있습니다.
MS Doc의 섹션 1.3.2Windows 보안 부팅 키 생성 및 관리 지침키가 서로 상호 작용하는 방식과 전반적인 부팅에 대한 자세한 내용을 제공합니다.