搜索

3.5. 公钥的源

download PDF

在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:

  • 系统密钥环 (.builtin_trusted_keys)
  • .platform 密钥环
  • 系统 .blacklist 密钥环
表 3.3. 系统密钥环源
X.509 密钥源用户可以添加密钥UEFI 安全引导状态引导过程中载入的密钥

嵌入于内核中

-

.builtin_trusted_keys

UEFI db

有限

未启用

Enabled

.platform

嵌入在 shim 引导装载程序中

未启用

Enabled

.platform

Machine Owner Key(MOK)列表

未启用

Enabled

.platform

.builtin_trusted_keys
  • 在引导时构建的密钥环
  • 包含可信公钥
  • 查看密钥需要 root 权限
.platform
  • 在引导时构建的密钥环
  • 包含来自第三方平台提供商和自定义公钥的密钥
  • 查看密钥需要 root 权限
.blacklist
  • 具有已撤销的 X.509 密钥的密钥环
  • 使用来自 .blacklist 的密钥签名的模块将会验证失败,即使您的公钥在 .builtin_trusted_keys
UEFI 安全引导 db
  • 签名数据库
  • 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)
  • 密钥可在机器上加载
UEFI 安全引导 dbx
  • 已撤销的签名数据库
  • 防止密钥被加载
  • 来自此数据库的撤销的密钥被添加到 .blacklist 密钥环中
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.