Когда безопасная загрузка отключена, можно ли удалить ключ PK из терминала? Я знаю, что для смены ключей нужно войти в режим настройки. А для входа в режим настройки нужно удалить ключ PK. Теперь, можно ли удалить ключ PK не через BIOS, а через терминал вашей ОС? Имейте в виду, что безопасная загрузка отключена.
Я спрашиваю об этом, потому что хочу установить 2 ОС. Сначала Linux, который будет подписан моими собственными ключами, а затем Windows. В BIOS у меня будут только мои собственные ключи, то есть никаких ключей Microsoft. При загрузке Linux у меня будет включена безопасная загрузка, при загрузке Windows у меня будет выключена безопасная загрузка (потому что у меня не будут зарегистрированы ключи Microsoft, только мои собственные ключи).
Linux — важная для меня ОС, поэтому я буду загружать ее с включенной безопасной загрузкой; но Windows я не буду использовать для чего-то важного, поэтому ее можно загружать и без безопасной загрузки.
Однако предположим, что вредоносное приложение было установлено на моей ОС Windows. Если я загружу Windows с отключенной безопасной загрузкой, сможет ли это вредоносное приложение изменить мои ключи безопасной загрузки? Вот что я пытаюсь понять.
решение1
Когда включена безопасная загрузка, ключи безопасной загрузки используются для проверки всех двоичных объектов перед их выполнением (до загрузки ОС, после чего безопасность становится ответственностью ОС). Это включает обновления BIOS, которые всегда подписываются с использованием ключа производителя материнской платы (хранящегося в ключе платформы Secure Boot или PK) или ключа Microsoft UEFI CA 2011(хранящегося в ключах обмена ключами или KEK, обычно вместе с тем же ключом, который хранится в PK, плюс несколько других в зависимости от производителя).
Таким образом, случайные обновления BIOS невозможны, если включена безопасная загрузка.
При удалении/удалении PK включается безопасная загрузка setup mode(в отличие от user mode, где включена безопасная загрузка и выполняются проверки), пока не будет добавлен ключ платформы. Режим настройки позволяет изменять конфигурацию безопасной загрузки без предыдущих ограничений и проверок.
Раздел 1.3.2 документа MS Doc под названиемРуководство по созданию и управлению ключом безопасной загрузки Windowsдает гораздо больше подробностей о том, как клавиши взаимодействуют друг с другом и с загрузкой в целом.