21.5. 公钥的源


在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:

  • 系统密钥环 (.builtin_trusted_keys)
  • .platform 密钥环
  • 系统 .blacklist 密钥环
表 21.3. 系统密钥环源
X.509 密钥源用户可以添加密钥UEFI 安全引导状态引导过程中载入的密钥

嵌入于内核中

-

.builtin_trusted_keys

UEFI db

有限

未启用

Enabled

.platform

嵌入在 shim 引导装载程序中

未启用

Enabled

.platform

Machine Owner Key(MOK)列表

未启用

Enabled

.platform

.builtin_trusted_keys
  • 在引导时构建的密钥环。
  • 提供可信公钥。
  • 查看密钥需要 root 权限。
.platform
  • 在引导时构建的密钥环。
  • 从第三方平台提供商和自定义公钥提供密钥。
  • 查看密钥需要 root 权限。
.blacklist
  • 带有 X.509 密钥的密钥环,该密钥已被撤销。
  • 使用来自 .blacklist 的密钥签名的模块将会失败,即使您的公钥位于 .builtin_trusted_keys 中。
UEFI 安全引导 db
  • 签名数据库。
  • 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)。
  • 密钥可以加载到机器上。
UEFI 安全引导 dbx
  • 已撤销的签名数据库。
  • 防止加载密钥。
  • 从此数据库撤销的密钥添加到 .blacklist 密钥环中。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.