22장. Secure Boot Revocation List 업데이트

UEFI Secure Boot Revocation List 또는 Secure Boot Forbidden Signature Database (dbx)는 Secure Boot에서 더 이상 실행할 수 없는 소프트웨어를 식별하는 목록입니다.

GRUB 부트 로더와 같이 Secure Boot와 상호 작용하는 소프트웨어에서 보안 문제 또는 안정성 문제가 발견되면 Revocation List에서 해시 서명을 저장합니다. 이러한 인식된 서명이 있는 소프트웨어는 부팅 중에 실행할 수 없으며 시스템 부팅 시 시스템을 손상시키지 못합니다.

예를 들어 특정 버전의 GRUB에는 공격자가 Secure Boot 메커니즘을 우회할 수 있는 보안 문제가 포함될 수 있습니다. 문제가 발견되면 Revocation List는 문제가 포함된 모든 GRUB 버전의 해시 서명을 추가합니다. 결과적으로 보안 GRUB 버전만 시스템에서 부팅할 수 있습니다.

취소 목록을 사용하려면 새로 발견된 문제를 인식하기 위해 정기적으로 업데이트해야 합니다. Revocation List를 업데이트할 때 현재 설치된 시스템이 더 이상 부팅되지 않도록 하는 안전한 업데이트 방법을 사용해야 합니다.