3.5. 公開鍵のソース
カーネルは、起動時に X.509 キーを永続キーストアから以下のキーリングに読み込みます。
-
システムキーリング (
.builtin_trusted_keys) -
.platformキーリング -
システムの
.blacklistキーリング
| X.509 鍵のソース | ユーザーによるキーの追加 | UEFI セキュアブートの状態 | ブート中に読み込まれる鍵 |
|---|---|---|---|
| カーネルに埋め込み | いいえ | - |
|
|
UEFI | 限定的 | 有効でない | いいえ |
| 有効 |
| ||
|
| いいえ | 有効でない | いいえ |
| 有効 |
| ||
| Machine Owner Key (MOK) リスト | はい | 有効でない | いいえ |
| 有効 |
|
.builtin_trusted_keys- 起動時にビルドされるキーリング
- 信頼できる公開鍵が含まれています。
-
鍵を表示するには
root権限が必要
.platform- 起動時にビルドされるキーリング
- サードパーティーのプラットフォームプロバイダーからのキーとカスタムの公開鍵が含まれています。
-
鍵を表示するには
root権限が必要
.blacklist- 失効した X.509 キーを含むキーリング
-
公開鍵が
.builtin_trusted_keysにある場合でも、.blacklistからのキーで署名されたモジュールは認証に失敗します。
- UEFI セキュアブート
db - 署名データベース
- UEFI アプリケーション、UEFI ドライバー、およびブートローダーのキー (ハッシュ) を保存します。
- キーはマシンにロードできます。
- UEFI セキュアブート
dbx - 失効した署名データベース
- キーが読み込まれないようにします。
-
このデータベースからの失効したキーは、
.blacklistキーリングに追加されます。
