22장. Secure Boot Revocation 목록 업데이트

UEFI Secure Boot Revocation List 또는dbx(Secure Boot Forbidden Signature Database)는 Secure Boot에서 더 이상 실행할 수 없는 소프트웨어를 식별하는 목록입니다.

GRUB 부트 로더와 같이 Secure Boot와 인터페이스하는 소프트웨어에서 보안 문제 또는 안정성 문제가 발견되면 Revocation List는 해시 서명을 저장합니다. 이러한 인식된 서명이 있는 소프트웨어는 부팅 중에 실행할 수 없으며 시스템 부팅 시 시스템을 손상시키지 못합니다.

예를 들어 특정 버전의 GRUB에는 공격자가 Secure Boot 메커니즘을 우회할 수 있는 보안 문제가 포함될 수 있습니다. 문제가 발견되면 취소 목록에 문제가 포함된 모든 GRUB 버전의 해시 서명이 추가됩니다. 결과적으로 보안 GRUB 버전만 시스템에서 부팅할 수 있습니다.

Revocation List는 새로 발견된 문제를 인식하기 위해 정기적인 업데이트가 필요합니다. 취소 목록을 업데이트할 때 현재 설치된 시스템이 더 이상 부팅되지 않는 안전한 업데이트 방법을 사용해야 합니다.