현재 UKI(통합 커널 이미지), FDE(전체 디스크 암호화) 및 보안 부팅/TPM2 기반 잠금 해제 기능을 갖춘 Arch Linux를 실행하는 두 대의 컴퓨터가 있습니다. 두 컴퓨터 모두에서 사용할 수 있는 휴대용 USB 스틱 설치(UKI/FE/TPM2 포함)를 만들고 싶습니다. 현재 SB(Secure Boot) 키를 설정하는 방법을 알아보고 있습니다.
두 컴퓨터와 USB 스틱 모두에서 SB 키를 생성하고 UKI에 서명합니다.
sbctl create-keys -e ./ -d ./
sbctl import-keys --directory ./
cp ./GUID /usr/share/secureboot/
sbctl sign -s ${uki}
기기가 USB 스틱의 SB 키를 모르기 때문에 이것은 분명히 잘못된 것입니다.
따라해보려고 노력해왔어아치스 위키. 먼저 USB 스틱의 MachineA와 SB db 키를 EFI 서명 목록으로 변환했습니다.
cert-to-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" ./SBKeysMachineA/db/db.crt ./SBKeysMachineA/db/db.esl
cert-to-efi-sig-list -g "$(< ./SBKeysUSB/GUID)" ./SBKeysUSB/db/db.crt ./SBKeysUSB/db/db.esl
그렇다면 WiKi에서는 EFI 서명 목록에 서명하고 USB 키를 연결한 것처럼 들리지만, 저는 길을 잃었습니다.
sign-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" -k ./SBKeysMachineA/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysMachineA/db/db.esl ./SBKeysMachineA/db/db.auth
sign-efi-sig-list -a -g "$(< ./SBKeysUSB/GUID)" -k ./SBKeysUSB/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysUSB/db/db.esl ./SBKeysUSB/db/db.auth
USB db EFI 서명 목록을 자체에 추가하는 것 같은데 이는 잘못된 것 같습니다.
마지막으로 두 컴퓨터 모두에 SB 키를 등록했습니다.
sbctl enroll-keys -m
EFI 서명 목록에 여전히 유효합니까? 그렇지 않은 경우 키를 어떻게 등록해야 하나요?