Сброс ключей безопасной загрузки

Сброс ключей безопасной загрузки

Что произойдет, если я выберу опцию «Сброс в режим настройки» в AMI Aptio Setup? Потеряю ли я безвозвратно все имеющиеся ключи, включая заводские? Или заводские ключи не могут быть стерты из NVRAM, и я смогу использовать их в режиме настройки после сброса?

решение1

Насколько мне известно, основная функция режима настройки — просто удалить PK (ключ платформы). PK — это самый внешний «замок», который не позволяет изменять другие ключи безопасной загрузки, поэтому, удалив его, вы сможете свободно изменять записи KEK/db/dbx — или, конечно, устанавливать собственный PK.

Это означает, что выбор режима настройки, скорее всего,не будетудалить что-либо из KEK или db – прошивки ПК, которые я видел, обычно имеют отдельную функцию «Очистить» для этого.

Потеряю ли я безвозвратно все имеющиеся ключи, включая заводские? Или заводские ключи не могут быть стерты из NVRAM, и я смогу использовать их в режиме настройки после сброса?

И да, и нет. "Живые" переменные EFI, связанные с Secure Boot (db, KEK, PK), могут быть полностью стерты, если вы попросите об этом, но в UEFI также есть "резервные" переменные (dbDefault, KEKDefault и т. д.), которые доступны только для чтения и всегда будут иметь свои исходные значения. Это позволяет вам или прошивке восстановиться до исходного состояния с помощью ключей Microsoft+OEM, даже если этиявляютсяуничтожены.

Имейте в виду, что ни одна из переменных Secure Boot не хранит никаких данных.частныйключи, и они редко, если вообще когда-либо, содержат что-либо уникальное для вашей системы. Они содержат только публичные сертификаты X.509, и обычно их значения либо широко известны (KEK и db обычно содержат только Microsoft и CA производителя), либо совершенно несущественны (наличие сертификата PK важнее его содержимого).

Связанный контент