重置安全啟動金鑰

重置安全啟動金鑰

如果我在 AMI Aptio 設定中選擇「重設為設定模式」選項,會發生什麼情況?我會不可挽回地丟失所有鑰匙(包括工廠鑰匙)嗎?或者工廠密鑰無法從 NVRAM 中擦除,並且我可以在重置後在設定模式下使用它們?

答案1

據我所知,Setup Mode的主要功能就是去除PK(Platform Key)。 PK 是最外面的“鎖”,可防止其他安全啟動金鑰被更改,因此刪除它後,您可以自由更改 KEK/db/dbx 代碼 – 當然,或安裝自訂 PK。

這意味著選擇設定模式最有可能慣於從 KEK 或 db 中刪除任何內容——我見過的 PC 韌體通常有一個單獨的「清除」功能來實現這一點。

我會不可挽回地丟失所有鑰匙(包括工廠鑰匙)嗎?或者工廠密鑰無法從 NVRAM 中擦除,並且我可以在重置後在設定模式下使用它們?

是和不是。如果您要求這樣做,與安全啟動相關的「即時」EFI 變數(db、KEK、PK)可能會完全清除,但UEFI 也有「備份」變數(dbDefault、KEKDefault 等),這些變數是可讀取的-只且永遠有原有的價值。這可以讓您或韌體使用 Microsoft+OEM 金鑰恢復到其原始狀態,即使這些殲滅。

請記住,安全啟動變數都不儲存任何私人的鍵,並且它們很少包含系統特有的任何內容。它們僅包含公共 X.509 證書,通常它們的值要么廣為人知(KEK 和 db 通常只包含 Microsoft 和製造商 CA),要么完全無關緊要(PK 證書的存在比其內容更重要)。

相關內容