3.5. Sources des clés publiques
Lors du démarrage, le noyau charge les clés X.509 à partir d'un ensemble de réserves de clés persistantes dans les trousseaux de clés suivants :
-
Le porte-clés du système (
.builtin_trusted_keys
) -
Le porte-clés
.platform
-
Le système
.blacklist
porte-clés
Source des clés X.509 | L'utilisateur peut ajouter des clés | État de l'UEFI Secure Boot | Clés chargées au démarrage |
---|---|---|---|
Intégrée dans le noyau | Non | - |
|
UEFI | Limitée | Non activé | Non |
Activé |
| ||
Intégrée dans le chargeur de démarrage | Non | Non activé | Non |
Activé |
| ||
Liste des clés du propriétaire de la machine (MOK) | Oui | Non activé | Non |
Activé |
|
.builtin_trusted_keys
- Un porte-clés construit sur mesure
- Contient des clés publiques de confiance
-
root
des privilèges sont nécessaires pour visualiser les clés
.platform
- Un porte-clés construit sur mesure
- Contient des clés provenant de fournisseurs de plateformes tiers et des clés publiques personnalisées
-
root
des privilèges sont nécessaires pour visualiser les clés
.blacklist
- Un trousseau de clés X.509 révoquées
-
Un module signé par une clé provenant de
.blacklist
échouera à l'authentification même si votre clé publique se trouve dans.builtin_trusted_keys
- UEFI Secure Boot
db
- Une base de données de signatures
- Stocke les clés (hachages) des applications UEFI, des pilotes UEFI et des chargeurs de démarrage
- Les clés peuvent être chargées sur la machine
- UEFI Secure Boot
dbx
- Une base de données de signatures révoquées
- Empêche le chargement des clés
-
Les clés révoquées de cette base de données sont ajoutées au trousseau de clés
.blacklist