21.5. 公钥的源
在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:
-
系统密钥环 (
.builtin_trusted_keys
) -
.platform
密钥环 -
系统
.blacklist
密钥环
X.509 密钥源 | 用户可以添加密钥 | UEFI 安全引导状态 | 引导过程中载入的密钥 |
---|---|---|---|
嵌入于内核中 | 否 | - |
|
UEFI | 有限 | 未启用 | 否 |
Enabled |
| ||
嵌入在 | 否 | 未启用 | 否 |
Enabled |
| ||
Machine Owner Key(MOK)列表 | 是 | 未启用 | 否 |
Enabled |
|
.builtin_trusted_keys
- 在引导时构建的密钥环。
- 提供可信公钥。
-
查看密钥需要
root
权限。
.platform
- 在引导时构建的密钥环。
- 从第三方平台提供商和自定义公钥提供密钥。
-
查看密钥需要
root
权限。
.blacklist
- 带有 X.509 密钥的密钥环,该密钥已被撤销。
-
使用来自
.blacklist
的密钥签名的模块将会失败,即使您的公钥位于.builtin_trusted_keys
中。
- UEFI 安全引导
db
- 签名数据库。
- 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)。
- 密钥可以加载到机器上。
- UEFI 安全引导
dbx
- 已撤销的签名数据库。
- 防止加载密钥。
-
从此数据库撤销的密钥添加到
.blacklist
密钥环中。