19.5. 公钥的源
在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:
-
系统密钥环 (
.builtin_trusted_keys) -
.platform密钥环 -
系统
.blacklist密钥环
| X.509 密钥源 | 用户可以添加密钥 | UEFI 安全引导状态 | 引导过程中载入的密钥 |
|---|---|---|---|
| 嵌入于内核中 | 否 | - |
|
|
UEFI | 有限 | 未启用 | 否 |
| Enabled |
| ||
|
嵌入在 | 否 | 未启用 | 否 |
| Enabled |
| ||
| Machine Owner Key(MOK)列表 | 是 | 未启用 | 否 |
| Enabled |
|
.builtin_trusted_keys- 在引导时构建的密钥环
- 包含可信的公钥
-
查看密钥需要
root权限
.platform- 在引导时构建的密钥环
- 包含来自第三方平台提供商和自定义公钥的密钥
-
查看密钥需要
root权限
.blacklist- 具有已撤销的 X.509 密钥的密钥环
-
使用来自
.blacklist的密钥签名的模块将会验证失败,即使您的公钥在.builtin_trusted_keys中
- UEFI 安全引导
db - 签名数据库
- 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希)
- 密钥可在机器上加载
- UEFI 安全引导
dbx - 已撤销的签名数据库
- 防止密钥被加载
-
来自此数据库的撤销的密钥被添加到
.blacklist密钥环中
