3.5. Sources des clés publiques
Lors du démarrage, le noyau charge les clés X.509 à partir d'un ensemble de réserves de clés persistantes dans les trousseaux de clés suivants :
-
Le porte-clés du système (
.builtin_trusted_keys) -
Le porte-clés
.platform -
Le système
.blacklistporte-clés
| Source des clés X.509 | L'utilisateur peut ajouter des clés | État de l'UEFI Secure Boot | Clés chargées au démarrage |
|---|---|---|---|
| Intégrée dans le noyau | Non | - |
|
|
UEFI | Limitée | Non activé | Non |
| Activé |
| ||
|
Intégrée dans le chargeur de démarrage | Non | Non activé | Non |
| Activé |
| ||
| Liste des clés du propriétaire de la machine (MOK) | Oui | Non activé | Non |
| Activé |
|
.builtin_trusted_keys- Un porte-clés construit sur mesure
- Contient des clés publiques de confiance
-
rootdes privilèges sont nécessaires pour visualiser les clés
.platform- Un porte-clés construit sur mesure
- Contient des clés provenant de fournisseurs de plateformes tiers et des clés publiques personnalisées
-
rootdes privilèges sont nécessaires pour visualiser les clés
.blacklist- Un trousseau de clés X.509 révoquées
-
Un module signé par une clé provenant de
.blacklistéchouera à l'authentification même si votre clé publique se trouve dans.builtin_trusted_keys
- UEFI Secure Boot
db - Une base de données de signatures
- Stocke les clés (hachages) des applications UEFI, des pilotes UEFI et des chargeurs de démarrage
- Les clés peuvent être chargées sur la machine
- UEFI Secure Boot
dbx - Une base de données de signatures révoquées
- Empêche le chargement des clés
-
Les clés révoquées de cette base de données sont ajoutées au trousseau de clés
.blacklist
