20.5. 公開鍵のソース
カーネルは、起動時に X.509 キーを永続キーストアから以下のキーリングに読み込みます。
-
システムキーリング (
.builtin_trusted_keys
) -
.platform
キーリング -
システムの
.blacklist
キーリング
X.509 鍵のソース | ユーザーによるキーの追加 | UEFI セキュアブートの状態 | ブート中に読み込まれる鍵 |
---|---|---|---|
カーネルに埋め込み | いいえ | - |
|
UEFI | 限定的 | 有効でない | いいえ |
有効 |
| ||
| いいえ | 有効でない | いいえ |
有効 |
| ||
Machine Owner Key (MOK) リスト | はい | 有効でない | いいえ |
有効 |
|
.builtin_trusted_keys
- 起動時にビルドされるキーリング
- 信頼できる公開鍵が含まれています。
-
鍵を表示するには
root
権限が必要
.platform
- 起動時にビルドされるキーリング
- サードパーティーのプラットフォームプロバイダーからのキーとカスタムの公開鍵が含まれています。
-
鍵を表示するには
root
権限が必要
.blacklist
- 失効した X.509 キーを含むキーリング
-
公開鍵が
.builtin_trusted_keys
にある場合でも、.blacklist
からのキーで署名されたモジュールは認証に失敗します。
- UEFI セキュアブート
db
- 署名データベース
- UEFI アプリケーション、UEFI ドライバー、およびブートローダーのキー (ハッシュ) を保存します。
- キーはマシンにロードできます。
- UEFI セキュアブート
dbx
- 失効した署名データベース
- キーが読み込まれないようにします。
-
このデータベースからの失効したキーは、
.blacklist
キーリングに追加されます。