Ubuntu에서 기본 인스턴스를 변환할지 확인하기 위해 백업 디스크(기본 Ubuntu 디스크 옆)에서 Ubuntu를 이중 부팅했습니다. 내가 Debian을 선택한 이유 중 하나는 내가 유지하고 싶은 SecureBoot를 지원하고 Ubuntu에서 잘 돌아가기 때문입니다.
내 질문? 내 Asus ROG Rampage V 마더보드가 고장났습니다. 초기 SecureBoot 마더보드 중 하나이며 등록 프로세스를 지원하지 않는 것 같아서 모든 주요 등록 유틸리티를 실행할 수 없습니다. Asus의 지원(또는 지원 부족)을 기준으로 볼 때 이를 얻을 수 있을 것 같지 않습니다. Ubuntu를 사용하더라도 Ubuntu KEK 및 DB MOK 키를 수동으로 등록해야 합니다.
데비안에서도 똑같은 일을 하고 싶지만 데비안 KEK 키가 어디에 있는지 찾을 수 없는 것 같나요?혹시 어디에 있는지, 어디서 구할 수 있는지 아는 사람 있나요?현재 Mobo 데이터베이스에 MS 및 Canonical KEK가 있습니다(아래 참조). 데이터베이스를 완전히 사용자 정의 키로 교체하는 것보다 이를 유지하고 공장 Debian KEK를 설치하는 것을 선호합니다(나중에 Windows 또는 Ubuntu를 이중 부팅하고 싶을 수도 있습니다) , 또는 별다른 번거로움 없이 데비안을 다시 설치하면 됩니다)
답변1
내가 아는 유일한 Debian Secure Boot 인증서는 여기에서 찾을 수 있습니다:https://dsa.debian.org/secure-boot-ca
보안 부팅 사양에 따르면 현재 PK를 삭제하면 보안 부팅이 서명 없이 모든 중요한 변수를 편집할 수 있는 "설정 모드"로 전환되어야 합니다.
펌웨어 수준 보안 부팅 키를 제어하려는 경우 어쨌든 PK를 자체 키로 교체해야 합니다.
안전 부팅 규칙은 기본적으로 다음과 같습니다.
- 부트로더의 체크섬을 에서 찾을 수 있으면
dbx블랙리스트에 있는 부트로더이므로 실행되지 않습니다. - 그렇지 않고 나열된 부트로더에 대한 체크섬을 에서 찾을 수 있거나
db부트로더가 에서 찾을 수 있는 인증서로 서명된 경우db실행됩니다. - 수정
db및/또는dbx(예: 블랙리스트 업데이트 제공) 업데이트는 존재하지KEK않는 한 찾을 수 있는 인증서로 서명되어야 합니다PK. 이는 플랫폼이 보안 부팅 설정 모드에 있고 키를 무제한으로 변경할 수 있음을 의미합니다. - 을 수정하려면 업데이트 가 존재하지 않는 한 ..에 있는 인증서로 서명
KEK해야 합니다 .PKPK PK시스템에는 0개 또는 1개의 인증서가 있을 수 있으며 그 이상은 있을 수 없습니다.
보안 부팅 심 부트로더는 shimx64.efi펌웨어 보안 부팅 변수가 수정되는 것을 방지하도록 설계되었습니다. 이는 Microsoft가 서명하고 또 다른 클래스의 키, 즉 MOK.MOK 키를 추가합니다. 즉, shim 부트로더를 사용할 때의 키와 동일 db하지만 펌웨어 및 가능한 버그와는 완전히 독립적으로 관리됩니다.