Bootloader booting Windows UEFI. Bootloader dengan lisensi GPL tidak akan ditandatangani karena mereka memerlukan kunci pribadi yang terbuka yang digunakan untuk masuk. Lihat KB 2871690 untuk daftar hash gambar yang baru dicabut. Dalam database ini, kita mungkin juga menemukan hash SHA2 eksplisit dari gambar bootloader. Bootloader Ubuntu dan Fedora ditandatangani menggunakan proses ini. UEFI Firmware selama pembuatan. Berisi sertifikat timestamping menggunakan saat menandatangani gambar bootloader. Dalam proses Secure Boot, setelah melewati tes POST, firmware UEFI dimuat.
Untuk kesederhanaan kita hanya akan mengacu pada bootloader pada artikel ini. Sistem operasi Windows berjalan di masa depan kecuali tombol default dipulihkan. Jika bootloader ditandatangani oleh salah satu sertifikat yang terkait dengan sertifikat CA yang ada dalam database ini, diizinkan untuk melakukan eksekusi. Rafal Sosnowski dari tim Security PFE Microsoft Dubai. KEK atau PK tapi bisa update DB, DBX dan DBT dimanapun. Ada komponen yang berbeda selama proses boot yang sedang diverifikasi termasuk: Driver UEFI, aplikasi shell UEFI, boot manager, UEFI bootloader dll. Hari ini kita akan terjun ke teknologi Secure Boot. Jadi boot PC Anda hanya dalam mode UEFI murni akan memberi Anda pilihan untuk mengaktifkan Secure Boot. Jika bootloader ditandatangani oleh sertifikat yang ada dalam database ini, atau hash-nya ada di sini, maka akan ditolak eksekusi.
Kemudian buat dan tambahkan ke UEFI KEK dan sertifikat Anda sendiri yang digunakan untuk menandatangani bootloader kustom. Kemudian perangkat keras diinisialisasi dan firmware-nya dimuat ke memori. Ada beberapa tahap validasi selain validasi malware yang tidak akan saya bahas di sini. Setelah itu bootloader dipanggil. Masalahnya adalah firmware, bootloader dan komponen lain yang dimuat pada tahap ini tidak diverifikasi. Bagian pribadinya tetap bersama vendor.
Sebagai vendor UEFI atau OSV, pertama Anda harus mendaftarkan perusahaan Anda di portal itu, menandatangani perjanjian khusus dengan Microsoft, memverifikasi identitas Anda dan kemudian mengunggah bootloader khusus Anda ke situs web. Saat mengupdate PK, sertifikat PK baru harus ditandatangani dengan yang lama. Ini adalah database signature timestamp yang aman. Setelah biner mencapai Microsoft, mereka diperiksa terhadap malwares dan kode berbahaya. Malware ini bisa berupa rootkit atau bootkit yang hampir tidak mungkin dideteksi dengan menggunakan perangkat lunak AV umum dan sebagian besar tidak terlihat oleh Sistem Operasi. Validasi ini dilakukan terhadap sertifikat terpercaya atau hash yang ada di firmware UEFI.
Firmware ini bertanggung jawab untuk verifikasi komponen sebelum dimuat. Boot aman memastikan PC Anda hanya menggunakan perangkat lunak yang dipercaya oleh pabrikan PC atau pengguna. Tandatangani bootloader Anda dengan kunci Anda sendiri. Saat Anda memasukkan bootloader dengan kunci Anda sendiri, Anda perlu menambahkan hash dari gambar, hash sertifikat atau sertifikat CA ke database UEFI. Jadi penyerang yang memiliki akses ke mesin kita bisa marah dengan komponen ini dan mengganti bootloader dengan yang berbahaya. OS Loader mendeteksi dan memverifikasi firmware. Microsoft telah menyediakan bagi siapa saja yang ingin menandatangani driver UEFI. Selain hemat biaya, ini bisa digunakan untuk distribusi Linux manapun. Solusi ini tidak dianjurkan.
Berapakah titik harga? PC dan digunakan untuk memverifikasi operasi ini. PC yang memiliki PKpriv seharusnya tidak terhubung ke jaringan. Bergantung pada kebutuhan Anda, kunci ini juga dapat disimpan di lokasi geografis yang beragam atau didukung di lokasi yang berbeda. Isi EFI _IMAGE_SECURITY_DATABASE db mengontrol gambar apa yang dipercaya saat memverifikasi gambar yang dimuat. Sebagai standar industri, Secure Boot mendefinisikan bagaimana firmware platform mengelola sertifikat, mengotentikasi firmware, dan bagaimana antarmuka sistem operasi dengan proses ini. Ini tidak dimaksudkan sebagai pedoman preskriptif dan tidak termasuk persyaratan baru. Driver UEFI harus ditandatangani oleh CA atau kunci di db seperti yang dijelaskan di tempat lain dalam dokumen, atau hash dari gambar driver disertakan dalam db. TPM dapat menghasilkan, menyimpan, dan melindungi kunci yang digunakan dalam proses enkripsi dan dekripsi.
Solusi ini akan bekerja untuk hardware yang mendukung Windows sehingga berguna untuk berbagai macam hardware. Verifikasi Secure Boot di WinLoad. KEKDefault Vendor platform mungkin menyediakan kumpulan kunci Key Exchange default pada variabel KEKDefault. Mereka memerlukan intervensi manual dan mungkin tidak sesuai untuk otomasi dan penggunaan di lingkungan produksi karena kinerjanya mungkin rendah. Hal ini dapat menyebabkan serangan kit boot dan akan merusak reputasi entitas yang bertanggung jawab untuk menjamin keamanan kunci pribadi. Jika melakukan update firmware untuk mengupdate PK, perawatan harus dilakukan untuk memastikan KEK, db, dan dbx dilestarikan. Tingkat ini sesuai untuk digunakan dimana ancaman terhadap data tinggi, atau konsekuensi dari kegagalan layanan keamanan yang tinggi. Instal dan konfigurasikan perangkat lunak HSM di server HSM. Dukungan untuk standar lainnya, misalnya, API kripto MS. Mereka secara opsional mendukung cadangan kunci dan ketersediaan tinggi.
HSM adalah cara yang baik untuk menyimpan kunci. Kekurangan kartu Smart mirip dengan TPM. Apa tingkat pemenuhan FIPS yang dimilikinya? Instal Microsoft Windows Production PCA 2011 ke db. Makecert adalah alat Microsoft dan dapat digunakan sebagai berikut untuk generasi kunci. Sertifikat EV adalah sertifikat jaminan tinggi yang kunci privatnya disimpan dalam token perangkat keras. Terapkan gambar Windows ke PC. Boot Aman Diaktifkan. Sertifikat dapat berisi beberapa jenis data lainnya. Setelah diaktifkan, Trusted Platform Module dapat membantu mengamankan produk enkripsi disk penuh seperti kemampuan Microsoft BitLocker. Kunci mungkin perlu diambil karena berbagai alasan.
Setelah anggota tim yang merupakan bagian dari tim keamanan telah diidentifikasi dan token yang ditugaskan kepadanya. Menguji Boot Aman: Jalankan tes berpemilik dan tes HCK Windows sesuai petunjuk. Kriptografi kunci publik menggunakan sepasang kunci kriptografi yang terkait secara matematis, yang dikenal sebagai kunci publik dan pribadi. Driver atau aplikasi UEFI, namun gambar ini tidak boleh membahayakan keamanan PC dengan cara apa pun. Jika PK tipe EFI_CERT_X509_GUID, maka ini harus ditandatangani langsung oleh PKpriv, bukan kunci privat dari setiap sertifikat yang dikeluarkan oleh PK. Sangat disarankan agar produksi PKpriv tidak pernah digunakan untuk menandatangani paket untuk me-reset platform karena ini memungkinkan Secure Boot dinonaktifkan secara pemrograman. Beberapa PC mendukung beberapa entitas otentikasi untuk hadir untuk pengambilan kunci.
DbDefault: Vendor platform mungkin menyediakan serangkaian entri default untuk Database Signature di variabel dbDefault. Harap pertimbangkan berdasarkan ketersediaan sumber daya metode apa yang akan sesuai untuk Anda. Boot loader Linux akan ditandatangani olehnya. KEKpri akan digunakan untuk mengupdate db dan dbx. Lihat Lampiran B untuk lebih jelasnya. Cert Hash dari 58 0a 6f 4c c4 e4 b6 69 b9 eb dc 1b 2b 3e 08 7b 80 d0 67 8d harus disertakan dalam db untuk memungkinkan Loader OS Windows dimuat. Langkah ini memindahkan platform ke mode pengguna dari mode setup. Komponen boot Windows: BootMgr, WinLoad, Windows Kernel Startup.
Ini bisa kemudian diambil dan digunakan di jalur perakitan. Ada beberapa varietas solusi khusus yang ditawarkan oleh vendor BIOS, perusahaan HSM dan perusahaan konsultan PKI untuk mendapatkan Secure Boot PKI yang bekerja di lingkungan manufaktur. Kunci yang sama akan digunakan untuk menandatangani semua update firmware karena setengah publik akan berada pada PC. Konfigurasikan HSM untuk tingkat 2 atau tingkat 3 kepatuhan. PC sekarang harus diaktifkan untuk Secure Boot. Tapi lebih dari satu perantara bisa menjadi bagian dari rantai, jadi rantai sertifikat bisa panjang berapa pun. Agar PKI bisa bekerja, kunci privat perlu dikelola dengan aman. Apakah itu memenuhi persyaratan pemerintah dan agen lainnya? Masukkan konfigurasi BIOS Anda dan nonaktifkan Secure Boot. Anda mungkin perlu memperbarui firmware karena beberapa alasan seperti memperbarui komponen UEFI atau memperbaiki kompilasi kunci Secure Boot atau rekeying kunci Secure Boot secara berkala.
Ini harus berada di lokasi yang aman dan idealnya setidaknya harus menggunakan pembaca kartu cerdas jika bukan HSM yang sebenarnya. Platform kapal: PKpriv kemungkinan tidak akan pernah digunakan lagi, tetap aman. PC untuk dikirim ke pemerintah dan agensi lain dan akhirnya proses menciptakan, mengisi dan mengelola siklus hidup berbagai tombol Secure Boot. Jika satu kunci digunakan untuk mengenkripsi informasi, maka hanya kunci yang sesuai yang dapat mendekripsi informasi tersebut. Harus RSA 2048 atau lebih kuat. SignerInfo harus hadir. Windows secara otomatis akan memperbarui DBX ke DBX terbaru melalui Windows Update pada reboot pertama. PK itu belum diketahui, uji PK. Jalankan Test Logo Secure Boot Manual. Menandatangani sertifikat dengan kunci privat dan menempatkan tanda tangan di sertifikat mengikat kunci pribadi ke kunci publik.
Secure Boot diperlukan untuk Windows 8 dan di atas PC klien, dan untuk Windows Server 2016 sebagaimana didefinisikan dalam Persyaratan Kompatibilitas Perangkat Keras Windows. CA menandatangani sertifikat dengan menggunakan kunci pribadinya. Berapa banyak kunci yang dapat disimpannya? Memperbarui kapsul bisa di memori atau pada disk. Untuk informasi lebih lanjut lihat bagian 27. Platform ini dijamin melalui kunci platform yang dipasang OEM di firmware selama pembuatan. Lokasi fisik PC di lantai pabrik perlu kawasan lindung dengan akses pengguna terbatas seperti kandang yang aman.
Microsoft KEK diharuskan mengaktifkan pencabutan gambar buruk dengan memperbarui dbx dan berpotensi memperbarui db untuk menyiapkan gambar yang ditandatangani Windows yang baru. Mereka mendukung banyak cara penyimpanan kunci. Untuk mengubah kepemilikan platform Anda harus memasukkan firmware ke mode pengaturan yang ditetapkan UEFI yang menonaktifkan Secure Boot. Anda bisa menggunakan Msinfo32. Bab 2 dan 3 memiliki rincian lebih lanjut. Beberapa vendor HSM mungkin bisa memberikan konsultasi khusus. Ini mungkin termasuk akses ke informasi pribadi di mana kemungkinan akses berbahaya tidak tinggi. Database mungkin berisi beberapa sertifikat, kunci, dan hash untuk mengidentifikasi gambar yang diizinkan. Metode otentikasi untuk pengambilan kunci.
Tingkat ini memberikan tingkat dasar jaminan yang relevan dengan lingkungan dimana ada risiko dan konsekuensi kompromi data, namun hal tersebut tidak dianggap penting. PKI adalah inti dari model keamanan untuk Secure Boot. Kunci publik CA digunakan untuk memverifikasi sertifikat. Sertifikat EV memiliki kekurangan yang sama seperti kartu Smart. Ini bisa dilakukan sekali per tahun. Untuk info lebih lanjut, lihat Secure Boot Key Generation Menggunakan HSM.
Mendaftar PK menggunakan Secure Boot API. Ikuti panduan penyedia HSM untuk menyiapkan HSM untuk Ketersediaan Tinggi dan Cadangkan. Amankan Boot pada PC produksi. Modul ini dapat mencakup driver firmware, ROM pilihan, driver UEFI pada disk, aplikasi UEFI, atau pemuat booting UEFI. Anda juga bisa menandatangani update firmware dengan kunci yang mengarah ke kunci pembaruan Firmware. Persyaratan Windows untuk UEFI dan Secure Boot dapat ditemukan di Persyaratan Sertifikasi Perangkat Keras Windows. Untuk rincian tentang penerapan dukungan untuk Platform Pembaruan Firmware Windows UEFI, berkonsultasilah dengan dokumentasi berikut: Platform Pembaruan Firmware Windows UEFI.
Untuk PC desktop, OEM mengelola PK dan PKI yang diperlukan terkait dengannya. Kunci lainnya digunakan oleh Secure Boot untuk melindungi akses ke database yang menyimpan kunci untuk mengizinkan atau melarang eksekusi firmware. Setiap driver yang ditandatangani oleh ini akan berjalan mulus di PC manapun yang menyertakan Microsoft UEFI CA. Hal ini mungkin tergantung pada apakah Anda memiliki persyaratan khusus seperti pemerintah atau agen lainnya. Minta rencana darurat jika Secure Boot Key dikompromikan. Silakan referensi bagian spesifikasi UEFI 27. Sesuai bagian 27. Ini dimaksudkan untuk tujuan uji HCK Windows saja. Memverifikasi bahwa sertifikat pengguna asli melibatkan verifikasi tandatangannya, yang memerlukan kunci publik CA, dari sertifikatnya. Berikut adalah beberapa metrik yang kami gunakan untuk perbandingan. Ini bisa ditandatangani oleh kunci pribadi perantara yang sertifikatnya ditandatangani oleh kunci pribadi CA. Security Office dan hanya kunci publik yang dimuat ke platform. Ini mungkin diperlukan jika PK dikompromikan atau sebagai persyaratan oleh pelanggan yang karena alasan keamanan dapat memutuskan untuk mendaftarkan PK mereka sendiri.
HSM ini hadir dalam berbagai faktor bentuk yang mendukung bus USB, PCIe dan PCMCIA. Untuk mengotentikasi permintaan ke permintaan layanan termasuk modifikasi database Secure Boot dan pembaruan firmware platform. Meskipun ini mungkin yang paling sederhana untuk disiapkan, jika kuncinya dikompromikan, setiap PC yang Anda hasilkan akan rentan. Kemudahan setup, deployment, maintenance. Database tanda tangan disimpan sebagai variabel UEFI yang terotentikasi. Jika Anda tahu salah satu kunci, Anda tidak bisa tidak sulit menghitung apa yang satunya. Kunci Platform dan tombol apa saja yang termasuk OEM atau ODM di inti firmware. Procure server dan hardware untuk manajemen kunci.
Isi firmware dengan tombol yang sesuai. PC Windows RT OEM mungkin memiliki KEK tambahan untuk memungkinkan OEM tambahan atau kontrol pihak ke tiga yang terpercaya dari db dan dbx. Apakah menyimpan kunci di HSM atau server terlampir? Ini berarti entitas k diberi akses ke HSM dengan tanda tapi pada titik tertentu setidaknya k keluar dari m token perlu hadir agar autentikasi bekerja untuk mendapatkan akses ke kunci pribadi dari HSM. Database mungkin berisi beberapa sertifikat, kunci, dan hash untuk mengidentifikasi gambar terlarang. Sebagai contoh, PKpub menunjukkan setengah publik PK. Secure Boot, Windows dan Key Management berisi informasi tentang keamanan boot dan arsitektur PKI karena berlaku untuk Windows dan Secure Boot.
Cmdlet PowerShell untuk memeriksa status variabel Secure Boot. Instal dbx kosong jika Microsoft tidak menyediakannya. OEM dan disebutkan untuk kelengkapan. Jika ada satu kunci per PC yang berarti jutaan paket pembaruan unik perlu dibuat. Untuk Server, OEM secara default mengatur PK dan PKI yang diperlukan. Komponen boot Windows memverifikasi tanda tangan pada setiap komponen. Berikut adalah rincian lebih lanjut tentang kunci ini.
Makalah ini membahas manajemen kunci sebagai sumber untuk membantu memandu mitra melalui penerapan kunci yang digunakan oleh firmware. Tapi sebelum kunci publik CA dapat digunakan, sertifikat CA yang melampirkan harus diverifikasi. Persyaratan utama dan manajemen. Ini membuat hard drive terkunci, atau disegel, sampai PC menyelesaikan proses verifikasi atau otentikasi sistem. Semua PC yang lebih baru akan masuk dengan PK yang baru dibuat. Periksa manual referensi HSM Anda. Catatan: Langkah-langkah ini tidak spesifik untuk PC OEM.
Juga dimungkinkan bagi OEM untuk menandatangani driver yang terpercaya dan menyertakan OEM CA di db, atau untuk menyertakan hash driver di db. Jika kunci dikompromikan, keseluruhan lini produk akan rentan. UEFI CA menandatangani kebijakan dan update. DbxDefault: Vendor platform mungkin menyediakan serangkaian entri default untuk Database Signature di variabel dbxDefault. Sertifikat ini adalah bagian dari tes Secure Boot HCK Windows. Identifikasi kebijakan seberapa sering Anda akan memutar kunci. Sebagai praktik yang bagus, silahkan gunakan kombinasi token dan per token password. Microsoft akan menyediakan layanan penandatanganan pengemudi UEFI yang mirip dengan layanan penandatanganan WHQL yang menggunakan Microsoft Corporation UEFI CA 2011. Pada SoC saja, Anda mungkin perlu melakukan sesuatu yang berbeda, misalnya, bakar kunci update firmware Aman: publik atau hash-nya.
Kriptografi kunci publik bisa jadi tantangan dan membutuhkan pemahaman konsep kriptografi yang mungkin baru. Windows mendukung pembaruan memori. Salah satu fungsi utama dari level ini adalah untuk memberikan integritas data terhadap informasi yang ditandatangani. Pada semua PC, dianjurkan untuk tidak menggunakan PK sebagai kunci update firmware aman. Dalam hal ini, pembaruan untuk mendaftarkan PKpub baru mungkin tidak dapat dilakukan karena proses pembaharuan juga telah dikompromikan. Ini harus dapat diakses oleh beberapa individu yang sangat dipercaya dalam sebuah organisasi dan berada di lokasi yang aman secara fisik dengan pembatasan kebijakan akses yang kuat. Memiliki satu kunci per model PC. Tidak ada antarmuka WMI. Solusi ini adalah yang terbaik di kelasnya dalam hal keamanan, kepatuhan terhadap standar, generasi kunci, penyimpanan dan pengambilan.
Sertifikat pengguna sering ditandatangani oleh kunci pribadi yang berbeda, seperti kunci pribadi CA. Paket pembaruan firmware akan ditandatangani oleh kunci update firmware aman dan diverifikasi oleh firmware. Mengkonfigurasi HSM untuk Ketersediaan Tinggi, Cadangan dan Otentikasi. CA menghasilkan pasangan kunci yang membentuk akar kepercayaan dan kemudian menggunakan kunci privat untuk menandatangani operasi yang sah seperti modul boot EFI booting awal dan permintaan servis firmware. Hanya PC Windows RT: Instal kunci pembaruan firmware aman publik atau hashnya untuk menghemat ruang. Ada penyedia solusi kustom yang bisa membantu dengan mendapatkan Secure Boot untuk bekerja di lingkungan manufaktur. Ini akan didasarkan pada basis pelanggan, solusi penyimpanan kunci dan keamanan PC. Pertimbangkan apakah Anda memerlukan satu atau beberapa HSM untuk ketersediaan tinggi dan metode back up kunci Anda. Biaya produk ini bisa mencapai puluhan ribu dolar berdasarkan layanan ekstra yang mereka tawarkan.
Informasi lebih lanjut tentang penggunaan CA dan pertukaran kunci sudah tersedia di internet yang berhubungan dengan model Secure Boot. GetFirmwareEnvironmentVariableEx: Mengambil nilai variabel lingkungan firmware yang ditentukan. Inisialisasi Antivirus dan Antimalware Software: Perangkat lunak ini diperiksa untuk mendapatkan tanda tangan khusus yang dikeluarkan oleh Microsoft yang memverifikasi bahwa itu adalah driver penting yang terpercaya, dan akan diluncurkan pada awal proses booting. Periksa manual referensi HSM Anda untuk petunjuk pemasangan. Setiap update ke toko flash firmware harus ditandatangani oleh pencipta. Ini mungkin melibatkan penyimpanan kunci dalam wadah kunci pada hard drive terenkripsi dan mungkin untuk sandboxing dan keamanan tambahan menggunakan mesin Virtual. PKpriv kemungkinan tidak akan pernah digunakan lagi, tetap aman. Level 3 dianjurkan. Solusi ini tidak seaman menggunakan HSM dan mengekspos vektor serangan yang lebih tinggi.
Pemilik platform dapat menggunakan tipe EFI_CERT_RSA2048_GUID jika ruang penyimpanan menjadi perhatian. Sebagai contoh, PKpriv mengindikasikan setengah swasta PK. Mereka mungkin tidak memiliki prosesor kripto yang cepat untuk mempercepat pemrosesan di lingkungan manufaktur. Rekeying bisa dilakukan baik untuk model atau PC berdasarkan metode apa yang dipilih untuk membuat PK. Ini membantu membangun praktik manajemen kunci yang lebih kuat. Kepatuhan tingkat 3 memiliki persyaratan yang lebih ketat seputar otentikasi dan akses kunci dan karenanya lebih aman. Ada beberapa solusi HSM yang berbeda yang tersedia untuk mengelola sejumlah besar kunci berdasarkan vendor HSM. Jika kunci pribadi dikompromikan, sistem dengan kunci publik yang sesuai tidak lagi aman. Dokumen ini membantu memandu OEM dan ODM dalam pembuatan dan pengelolaan kunci dan sertifikat Secure Boot di lingkungan manufaktur. Microsoft mulai memberikan update dbx. Kelas serangan ini sulit dijaga, karena produk antimalware dapat dinonaktifkan oleh perangkat lunak berbahaya yang mencegah pemuatannya seluruhnya.
Jika platform dalam mode setup, maka PKpub baru akan ditandatangani dengan mitra PKprivalnya. Untuk Secure Boot, kunci privat digunakan untuk menandatangani kode secara digital dan kunci publik digunakan untuk memverifikasi tanda tangan pada kode tersebut untuk membuktikan keasliannya. Errata C tanpa set atribut EFI_VARIABLE_APPEND_WRITE. Mendaftar Secure Boot Platform Key untuk mengaktifkan Secure Boot. Ini bekerja hebat dengan server mandiri. Klik Disini untuk mendownload daftar pencabutan UEFI terbaru dari Microsoft. Apakah itu mendukung RSA 2048 atau lebih tinggi?
Jika platform berada dalam mode pengguna, maka PKpub baru harus ditandatangani dengan PKpriv saat ini. Skillset dan training yang dibutuhkan? PKI menetapkan keaslian dan kepercayaan pada sebuah sistem. Firmware harus memeriksa tanda tangan pembaruan. Mereka bisa disimpan secara lokal di HSM sendiri atau di server yang terhubung dengan HSM. Nonaktifkan perlindungan Secure Boot. Microsoft akan memberikan sertifikat kepada mitra dan dapat ditambahkan sebagai tanda tangan EFI_CERT_X509_GUID atau EFI_CERT_RSA2048_GUID. Gambar 3 di atas mewakili tanda tangan dan kunci pada PC dengan Secure Boot. Selain itu, HSM Jaringan biasanya memiliki beberapa port jaringan untuk memisahkan lalu lintas; memungkinkan server untuk berkomunikasi dengan jaringan HSMs di jaringan yang terpisah dari jaringan produksi reguler.
Ini tidak sesuai untuk transaksi yang memerlukan otentikasi, dan umumnya tidak mencukupi untuk transaksi yang memerlukan kerahasiaan, namun dapat digunakan untuk sertifikat yang memiliki tingkat jaminan lebih tinggi tidak tersedia. Isi EFI_IMAGE_SIGNATURE_DATABASE1 dbx harus diperiksa saat memverifikasi gambar sebelum memeriksa db dan kecocokan harus mencegah agar foto tidak dieksekusi. Memiliki kunci per model atau lini produk adalah kompromi yang baik. SecureBootUEFI untuk mengkonfirmasi isi database Secure Boot. Errata C, kunci platform membentuk hubungan kepercayaan antara pemilik platform dan firmware platform. Deteksi OS Loader selesai dengan sukses. SecureBootUEFI cmdlet untuk mengaktifkan Secure Boot. Dengan memanfaatkan dukungan firmware Windows ini OEM dapat mengandalkan format dan proses umum yang sama untuk mengupdate firmware untuk kedua sistem dan firmware PC. Microsoft mengandalkan UEFI Secure Boot di Windows 8 dan yang lebih tinggi sebagai bagian dari arsitektur keamanan Trusted Boot untuk meningkatkan keamanan platform bagi pelanggan kami.
Ini karena kunci pembaruan firmware yang aman dibakar secara permanen menjadi sekering pada PC yang memenuhi persyaratan Sertifikasi Perangkat Keras Windows. Microsoft menganjurkan agar Kunci Platform menjadi tipe EFI_CERT_X509_GUID dengan algoritma kunci publik RSA, kunci publik yang panjangnya 2048 bit, dan algoritma tanda tangan sha256RSA. Penggunaan utama untuk sertifikat digital adalah untuk memverifikasi asal data yang ditandatangani, seperti binari dll. Download dan instal driver firmware. GetFirmwareType: Mengambil jenis firmware. Prosesor kripto dapat mempercepat pembuatan dan akses kunci. Instal perangkat lunak Klien HCK. Saat boot untuk menentukan apakah modul boot awal dipercaya untuk eksekusi. Ini mungkin termasuk transaksi yang memiliki nilai moneter yang substansial atau risiko kecurangan, atau melibatkan akses ke informasi pribadi di mana kemungkinan akses berbahaya cukup besar.
Apakah itu memungkinkan untuk Backup Kunci? Tingkat ini relevan dengan lingkungan dimana risiko dan konsekuensi kompromi data adalah moderat. OS Loader melewati gumpalan biner ke UEFI. Ini menambahkan kompleksitas perangkat pemetaan dengan PK yang sesuai saat mendorong pembaruan firmware ke perangkat di masa mendatang. Perusahaan dan pelanggan juga dapat menggunakan langkah-langkah ini untuk mengkonfigurasi server mereka untuk mendukung Secure Boot. Lokasi sebenarnya dari penyimpanan kunci tergantung pada solusi yang dipilih.
Tingkat ini memberikan tingkat kepastian yang paling rendah mengenai identitas individu. Errata C untuk rinciannya. Hash Sertifikat 46 de f6 3b 5c e6 1c f8 ba 0d e2 e6 63 9c 10 19 d0 ed 14 f3. Ini mengembalikan PC ke Setup Mode dengan menghapus PK dan tombol lainnya. Errata C dan kebutuhan anda Instal Microsoft db dan dbx. Ini menggunakan kunci yang tersimpan pada disk yang sangat tidak aman dan tidak disarankan. Penandatanganan driver dan aplikasi UEFI dengan sertifikat ini akan memungkinkan pengemudi dan aplikasi UEFI dari pihak ketiga berjalan di PC tanpa memerlukan langkah tambahan bagi pengguna.
KEK, db dan dbx. Pada PC SOCs, ada alasan lain untuk tidak menggunakan PK sebagai kunci update firmware aman. Namun, sumber daya HCK ini tidak membahas pembuatan dan pengelolaan kunci untuk penyebaran Windows. Berdasarkan kriteria di atas ini mungkin merupakan solusi yang paling sesuai dan aman. Seseorang dapat menggunakan Microsoft CAPI dan CNG atau API aman lainnya yang didukung oleh HSM. Sebagian besar PC ini mendukung ketersediaan tinggi dan memiliki kemampuan untuk membuat kunci cadangan.
Microsoft Corporation UEFI CA 2011 ke UEFI db. Ringkasan dan Sumber Daya mencakup lampiran, daftar periksa, API, dan referensi lainnya. PK dan Firmware Update Kunci dan sertifikat. Apakah itu memungkinkan Ketersediaan Tinggi untuk pemulihan bencana? Menjadi bagian dari keseluruhan citra sistem memberikan kepastian yang cukup bahwa pengemudi dipercaya pada PC. Di server kunci dienkripsi dan disimpan dan lebih baik untuk solusi yang membutuhkan banyak kunci untuk disimpan. Firmware sistem UEFI bisa menggunakan proses ini untuk mengupdate sistem dan firmware PC. Tingkat ini relevan dengan lingkungan di mana risiko aktivitas berbahaya dianggap rendah. Kami merekomendasikan untuk kembali ke mode setup hanya jika ada kebutuhan untuk melakukan ini selama pembuatan. Ini dimaksudkan sebagai panduan di luar persyaratan sertifikasi, untuk membantu membangun proses yang efisien dan aman untuk menciptakan dan mengelola Secure Boot Keys. Mereka juga tidak cocok untuk menyimpan sejumlah besar kunci.
Windows atau sistem operasi lain yang terpercaya. Gunakan cmdlet PowerShell yang merupakan bagian dari tes HCK Windows atau gunakan metode yang disediakan oleh vendor BIOS. Apakah itu tamper resistant? Dokumen ini berfungsi sebagai titik awal dalam mengembangkan PC siap pelanggan, alat penyebaran pabrik dan praktik terbaik keamanan utama. PowerShell yang baru saja mengganti PK. Kunci publik digunakan untuk memeriksa tanda tangan seperti yang dijelaskan sebelumnya dalam dokumen ini. PK dan metadata lainnya. Kapsul adalah sarana dimana OS dapat mengirimkan data ke lingkungan UEFI melalui reboot.
Ini adalah jalan pintas. Hal ini diasumsikan pada tingkat keamanan ini bahwa pengguna tidak mungkin berbahaya. Kecepatan operasi di lantai pabrik. Memeriksa data yang ditandatangani dengan sertifikat memungkinkan penerima mengetahui asal data dan jika telah diubah saat transit. Jika platform dalam mode setup, maka variabel kosong tidak perlu diautentikasi. Jalankan tes berpemilik dan tes Secure Boot HCK sesuai petunjuk. Memiliki satu tombol unik untuk setiap perangkat. Ini mungkin memerlukan penyimpanan tambahan dan kekuatan pemrosesan kripto untuk menghasilkan kunci publik dan pribadi untuk sejumlah besar PC. Setelah kode Anda menyetel PK, penegakan sistem Secure Boot tidak berlaku sampai reboot berikutnya.
Ada beberapa vendor BIOS yang mungkin bisa memberikan solusi custom. Masukkan konfigurasi BIOS Anda, aktifkan Secure Boot, dan pulihkan Secure Boot ke konfigurasi Default. Mungkin ada satu kunci per PC seperti PK atau satu per model atau satu per lini produk. Sertifikat penandatanganan driver Microsoft UEFI dapat digunakan untuk menandatangani OS lain. Server akan terhubung ke hSM standalone atau jaringan. KEK db, dbx dan tombol lainnya yang masuk ke OEM Db. SetFirmwareEnvironmentVariableEx: Menetapkan nilai variabel lingkungan firmware yang ditentukan. Hal ini penting karena UEFI Secure Boot didasarkan pada penggunaan Public Key Infrastructure untuk mengotentikasi kode sebelum diijinkan untuk mengeksekusi.
Tradeoff di sini adalah bahwa jika kunci dikompromikan semua mesin dalam model yang sama akan rentan. Ini mungkin termasuk transaksi bernilai tinggi atau tingginya tingkat risiko penipuan. PK untuk mengunci kepercayaan pada firmware UEFI Secure Boot itu sendiri. Apakah itu memiliki kemampuan untuk menghasilkan kunci dan tanda? KEK berisi produksi Microsoft KEK. Solusi Manajemen Kunci dimaksudkan untuk membantu mitra merancang solusi manajemen dan desain kunci yang sesuai dengan kebutuhan mereka. Tombol update firmware Secure Boot Tombol update firmware Aman digunakan untuk menandatangani firmware saat perlu diperbarui. Ini direkomendasikan oleh Microsoft untuk PC desktop.
Masukkan konfigurasi BIOS dan bersihkan konfigurasi Secure Boot. Memperbarui PK pada PC produksi akan memerlukan update variabel yang ditandatangani dengan PK yang ada yang menggantikan PK atau paket update firmware. Ini tidak dimaksudkan untuk digunakan dalam lingkungan produksi. Kelemahan TPM adalah bahwa ia mungkin tidak memiliki prosesor kripto cepat untuk mempercepat pemrosesan di lingkungan manufaktur. Misalnya, Anda bisa memiliki 3 dari 5 token yang harus diautentikasi untuk mengakses HSM. Gunakan API kripto untuk manajemen kunci. Makalah ini tidak memperkenalkan persyaratan baru atau mewakili program Windows resmi. Satu per lini produk. Kunci kunci tukar membangun hubungan kepercayaan antara sistem operasi dan firmware platform.
Tandatangani update db dengan KEK anda. Karena Microsoft tidak akan pernah menandatangani boot loader yang secara otomatis meluncurkan biner unsigned, PreLoader dan shim menggunakan daftar pemilik Daftar Pemilik Mesin. Kemudian pilih Exit untuk kembali ke menu pilihan perangkat booting. Dalam MokManager pilih Enroll key dari disk, cari MOK. Untuk memasang firmware di Setup Mode, masukkan utilitas pengaturan firmware dan cari opsi untuk menghapus atau menghapus sertifikat. Anda dapat mengakses konfigurasi firmware dengan menekan tombol khusus selama proses booting.
Alasan: Mungkinkah melakukan booting Windows dengan menamai bootloadernya dengan tombol ubahsuaian? Lihat Memasang Kembali Tombol Menggunakan KeyTool untuk penjelasan tentang pilihan menu KeyTool. Ini juga akan mengurus embedding initramfs dan perintah kernel yang tidak dilindungi ke gambar UEFI yang telah ditandatangani. Ganti X dengan huruf drive dan ganti Y dengan nomor partisi dari EFI System Partition. Lihat Arti semua Kunci UEFI untuk penjelasan lebih rinci. MokList mereka menjalankannya, jika tidak mereka meluncurkan utilitas manajemen kunci yang memungkinkan mendaftarkan hash atau kunci. Kunci untuk digunakan tergantung pada firmware. Pemilik Mesin Kunci atau hash yang tersimpan dalam MokList.
Sertifikat format PEM untuk sbsign. KEK, db dan dbx perlu ditandatangani dengan kunci level yang lebih tinggi. AUR atau download secara manual. Karakter yang dilambangkan dengan XXXX berbeda dari mesin ke mesin. Salin shim dan MokManager ke direktori boot loader Anda di ESP; gunakan nama file boot loader Anda sebelumnya sebagai nama file untuk shimx64. Hash SHA256 dari binari EFI.
Fitur Secure Boot dapat dinonaktifkan melalui antarmuka firmware UEFI. AUR, hapus file shim dan MokManager yang disalin dan ganti nama boot loader Anda. Reboot dan aktifkan Secure Boot. Anda juga bisa membuat hook pacman Anda sendiri untuk menandatangani kernel saat menginstal dan memperbarui. Format PEM sertifikat untuk sbsign. MokList itu akan meluncurkan mmx64.
DER memformat sertifikat untuk MokManager. Daftarkan file pembaruan sertifikat yang ditandatangani. Setelah selesai pilih Continue boot dan boot loader anda akan diluncurkan dan akan mampu meluncurkan kernel. UEFI Shell dan kunci pendaftaran. Driver UEFI, opsi ROM dll. Paket AUR untuk membuat kunci yang disederhanakan, mendaftarkan kunci, menandatangani bootloader dan memverifikasi tanda tangan. Akhirnya, buat entri NVRAM baru untuk boot PreLoader.
Untuk membantu ini, Anda dapat menggunakan tab completion atau daftar variabel EFI. Untuk implementasi UEFI yang sangat keras kepala, salin PreLoader. Setelah selesai pilih Continue boot dan boot loader Anda akan diluncurkan dan akan mampu meluncurkan biner yang ditandatangani dengan Key Pemilik Mesin Anda. Tombol yang digunakan untuk menandatangani Signatures Database dan Forbidden Signatures Database update. AUR dan copy PreLoader. Untuk menggunakan HashTool untuk mendaftarkan hash loader. DER memformat sertifikat untuk firmware. Untuk menggunakannya setelah mendaftarkan kunci, masuk dengan sbsign. Booting archiso dengan Secure Boot diaktifkan dimungkinkan karena aplikasi EFI PreLoader.
Jika shim tidak menemukan hash SHA256 dari grubx64. Dengan MOK Anda hanya perlu menambahkan kunci satu kali, namun Anda harus memasukkan boot loader dan kernel setiap kali update. Untuk menggunakan Secure Boot Anda memerlukan setidaknya kunci PK, KEK dan db. Meskipun Anda dapat menambahkan beberapa sertifikat KEK, db dan dbx, hanya satu Kunci Platform yang diizinkan. Ubah nama boot loader Anda saat ini menjadi grubx64. Gagal Memulai pemuatan. MokList, PreLoader akan meluncurkan HashTool. Anda bisa mendapatkan PreLoader yang telah ditandatangani.
Mendaftar tombol di firmware untuk menambahkan add_MS_db. Dalam MokManager pilih Enroll hash dari disk, cari grubx64. PEM memformat kunci privat untuk daftar tanda tangan EFI biner dan tanda tangan EFI. Jika shim tidak menemukan sertifikat grubx64. Setup Utility misalnya cara mendaftarkan kunci. Saat dijalankan, PreLoader mencoba meluncurkan loader. Kunci platform bisa ditandatangani dengan sendirinya. AUR untuk secara otomatis menandatangani kernel Anda saat update.
Format KEP private key untuk penandatanganan biner EFI. Untuk menghasilkan kunci, pasang efitools. Luncurkan utilitas pengaturan firmware atau KeyTool dan db mendaftarkan, sertifikat KEK dan PK. Secure Boot ada dalam Mode Pengaturan saat Kunci Platform dihapus. Anda perlu melakukan ini setiap kali mereka diperbarui. Jika ada masalah saat booting entri NVRAM kustom, salin HashTool. Ini biasanya salah satu tombol Esc, F2, Del, atau mungkin kunci Fn lainnya. Menggunakan hash lebih sederhana, tapi setiap kali Anda mengupdate boot loader atau kernel Anda, Anda perlu menambahkan hash mereka di MokManager. Sekarang salinlah biner boot loader dan ganti namanya ke loader.
Sekali lagi, pilih Enroll Hash dan archiso untuk masuk ke direktori archiso, lalu pilih vmlinuz. Sepatu bot archiso, dan Anda diberi konfirmasi shell, masuk secara otomatis sebagai root. FAT filesystem jika Anda memiliki masalah dengan itu terdeteksi. Binari EFI agar tidak berjalan di sistem Anda. Lingkungan firmware UEFI untuk menyimpan setting dan data konfigurasi. Distribusi Linux termasuk ini. Sekarang Anda bisa melakukan proses yang sama untuk KEK dan kunci db. Spesifikasi UEFI hanya mengizinkan dua jenis tombol penandatanganan: X509 dan RSA2048. Key Exchange Key digunakan untuk mengupdate database tanda tangan dan disimpan dalam variabel KEK. Kunci Platform adalah kunci platform dan disimpan dalam variabel PK. Seperti yang dapat Anda lihat dari atas, pemegang kunci platform pada dasarnya adalah pemilik platform.
Spesifikasi memungkinkan dua jenis deskriptor otentikasi: berbasis waktu dan berbasis monoton. Variabel KEK hanya dapat diperbarui oleh deskriptor otentikasi yang ditandatangani dengan kunci platform. Variabel PK hanya dapat diperbarui dengan deskriptor otentikasi yang ditandatangani dengan kunci platform. Variabel dbx mungkin berisi kunci, tanda tangan atau hash. Dalam mode pengguna, platform akan memeriksa apakah ada usaha untuk menulis ke variabel aman memiliki deskriptor otentikasi yang ditandatangani dengan benar. Setelah pembaruan diterima, waktu atau hitungan diperbarui juga dengan nilai pada deskriptor otentikasi. Variabel db mungkin berisi serangkaian kunci, tanda tangan atau hash yang beragam.
Catatan: Kunci platform mungkin tidak digunakan untuk menandatangani binari untuk eksekusi. Ini cukup membantu untuk mengetahui lebih banyak tentang boot aman. Ada panduan yang menjelaskan bagaimana memasukkan PK Anda sendiri ke dalam firmware Anda dan memiliki KEK sendiri. Ini dapat digunakan untuk memperbarui database tanda tangan saat ini atau untuk menandatangani binari untuk eksekusi yang valid. Ini disimpan dalam variabel db. Tapi, saya heran semua mainboards bisa membersihkan PK? KEK atau kunci di db dan baik tombol maupun tanda tangan tidak muncul di dbx. Dalam kebanyakan implementasi saat ini, variabel KEK mungkin berisi beberapa kunci yang mungkin tipe X509 atau RSA2048, yang mana dapat melakukan fungsi kunci pertukaran kunci. Dalam kebanyakan implementasi, hanya satu kunci sekaligus yang bisa disimpan di PK dan PK mungkin hanya menjadi kunci X509. Opsi EUFI paling terkunci. Bisakah Anda memasukkan PK dan KEK Anda sendiri ke dalam firmware dari shell UEFI jika tidak ada menu GUI di UEFI?
Alasan untuk ini adalah untuk mencegah pemutaran ulang pembaruan sebelumnya, jadi pembaruan yang lebih baru harus memiliki waktu kemudian atau jumlah monoton yang lebih tinggi. Catatan ini telah diposting di UEFI Secure Boot pada 11 Juli 2012 oleh jejb. Variabel dbx hanya dapat diperbarui oleh deskriptor otentikasi yang ditandatangani dengan kunci pertukaran kunci. Terima kasih atas penjelasan yang jelas dan singkat tentang semua hal aman UEFI ini! KEK atau db sehingga Anda bisa masuk binari dengannya dan mintalah mereka melakukan eksekusi. Database tanda tangan yang dilarang digunakan untuk membuat binari efi biner dan ROM yang tidak dapat disetel saat platform beroperasi dalam mode aman. Ini disimpan dalam variabel dbx. Dalam mode ini, booting aman dimatikan. Tugasnya adalah mengendalikan akses terhadap variabel PK dan variabel KEK.
Variabel db hanya dapat diperbarui oleh deskriptor otentikasi yang ditandatangani dengan kunci pertukaran kunci. Database tanda tangan digunakan untuk memvalidasi binari efi yang ditandatangani dan ROM yang dapat dimuat saat platform beroperasi dalam mode aman. Sistem AMD Asrock, saya dapat mengaktifkan dan menonaktifkan boot aman dan saya dapat mereset kunci ke beberapa default, dan saya dapat melihatnya dalam mode setup. Gambar ditandatangani dan tombol yang digunakan untuk membuat tanda tangan cocok dengan entri di dbx. Ini berarti bahwa tidak semuanya mungkin diterapkan karena Tianocore mengikuti persyaratan sertifikasi perangkat keras Windows 8 secara ketat. Lebih suka penyedia yang menawarkan untuk mengembangkan situs web Anda, untuk menghemat waktu dan uang Anda. SpotOption menyederhanakan proses ini untuk Anda dengan memungkinkan Anda bekerja dengan lisensi pembuat pasarnya di seluruh UE. Karena operasi sangat bergantung pada afiliasi untuk menghasilkan lalu lintas, Anda memerlukan sistem yang akan mengetahui bagaimana cara melacak kampanye dan biaya dan hasil yang sesuai. Jika Anda berencana menargetkan wilayah yang mengatur opsi biner, Anda harus diberi lisensi.
SpotOption unggul dalam kesederhanaan antarmuka pengguna. Pastikan Anda menawarkan pelatihan kepada Anda dan tim Anda dan program pendidikan untuk klien Anda. Tim SpotOption memberi Anda dukungan penuh selama operasi Anda memberi Anda tanggapan, bimbingan, dan saran cepat berdasarkan praktik terbaik dan mendorong kesuksesan Anda dengan mengenalkan Anda pada koneksi berharga di industri ini. SpotOption telah mengembangkan sistem manajemen untuk mengatur operasi ini secara jelas dan efisien. SpotOption memiliki pengalaman untuk mengembangkan situs web dengan cepat dan efisien sehingga mengantarkan Anda ke situs web yang disesuaikan dengan keinginan Anda hanya dalam 6 minggu, yang kompatibel dengan SEO. Anda akan memiliki ketenangan dalam operasi pikiran mengetahui baik situs web maupun produk perdagangan semuanya sesuai dengan hukum.
Memiliki sistem intelijen bisnis memungkinkan Anda untuk lebih dalam menganalisis menggunakan data besar dan kecil untuk menyederhanakan keputusan. Proses otomatisnya memungkinkan mekanisme kerja yang efisien sambil mengurangi kekuatan laki-laki, dan laporannya memberikan pandangan yang jelas tentang bisnis ini. Sistem backend adalah mereka yang mendukung operasi harian Anda. Sekarang Anda memiliki gambaran tentang elemen yang dibutuhkan untuk mendukung Anda dalam operasi biner Anda, lakukan penelitian Anda, dan lihatlah siapa yang menawarkan semuanya. Situs web ini diterjemahkan ke bahasa yang berbeda agar sesuai dengan metode bisnis Anda dan memungkinkan Anda mengelola konten itu sendiri. Sekarang Anda perlu menemukan pemasok platform yang andal untuk memberi Anda teknologi terbaik untuk mencakup kesuksesan.
SpotOption terus berinovasi dan memperkenalkan tikungan baru ke perdagangan biner agar trader Anda kembali lagi. Situs web ini berfungsi hanya sebagai paket broker Anda, basis untuk operasi menguntungkan sebenarnya terletak pada platform perdagangan yang Anda pilih untuk digunakan. Simpan pada sumber daya dan temukan penyedia yang mengurus data hosting Anda dengan aman di server mereka dan tawarkan API lengkap untuk integrasi yang tidak sulit dengan sistem pesta ke-3. Memiliki fondasi yang kuat di sini, akan memungkinkan Anda untuk makmur. SpotOption menawarkan CRM yang membantu operator mengelola operasi sehari-hari mereka dengan mudah. Pastikan penyedia menawarkan aliran data pasar yang stabil dan stabil. SpotOption bekerja dengan Bloomberg dan penyedia pakan terkenal lainnya. Periksa pemasok broker terbesar dan paling sukses di industri ini dan teleponlah Anda. Karena keberhasilan ini terletak pada pemilihan penyedia hak, pastikan Anda menerima paket yang mencakup semua aspek yang diperlukan untuk menjamin kelancaran operasi.
Ragam adalah kunci untuk daya tarik dan retensi klien. Keahlian mengetahui bagaimana menjalankan manajemen risiko di pasar binari yang mudah berubah adalah kunci untuk meminimalkan keterpaparan Anda. BIOS GUI untuk memuat PK. Linux mesin Anda, dan Anda harus melompat ke bagian berikutnya sekarang. Variabel ini menyimpan database tanda tangan dengan format yang mirip dengan db. Dell Inspiron 5567 15 laptop, yang memiliki custom Dell BIOS. Sebagai kunci boot USB tidak dimasukkan, Windows harus dimulai secara otomatis. Mesin harus dimulai ulang, dan seperti sebelumnya, Anda akan melihat layar kata sandi plymouth. Ini akan menampilkan layar menu utamanya, dengan indikasi bahwa PC berada dalam mode pengaturan, dan booting yang aman tidak aktif.
Ciphertext yang dihasilkan adalah tanda tangan digital, yang mungkin ditambahkan ke data asli untuk menghasilkan file yang ditandatangani secara digital. Anda perlu bereksperimen untuk melihat metode mana yang sesuai untuk Anda. Dalam mode pengaturan, salah satu dari empat variabel khusus dapat diperbarui tanpa pemeriksaan autentikasi. KEK untuk mengecek tanda tangan di old_dbx. Jangan melaksanakan perintah dalam metode 3; setup anda sudah lengkap Segera PC target Anda mulai kembali lagi, masuk ke layar setup BIOS. Entri boot EFI untuk itu. Gantikan alamat IP apa pun yang anda dapatkan dari ifconfig tadi untuk 192. Pergi melalui proses yang sama untuk variabel db, hanya saja kali ini, pilih compound_db.
Tombol USB ke PC target. Dalam kasus seperti ini, matikan booting aman saat menggunakan Gentoo. Lihat catatan sebelumnya untuk sebuah solusi. Namun, saat ini diluar lingkup tutorial ini. Tuliskan kata kunci ini di tempat yang aman! Windows memperbarui waktu PK tidak diajak berkonsultasi saat mencoba memverifikasi file executable. RealTimeIsUniversal lalu tekan Enter.
Tindakan GUI yang dibutuhkan untuk mencapai hal di atas, karena akan bervariasi dari BIOS ke BIOS. Tetapkan nilai yang sesuai untuk lokal Anda, dan tutup dialog saat selesai. Setelah membuat perubahan, sekarang kita bisa menulis kunci platform kita sendiri ke PK, dengan menggunakan daftar tanda tangan yang telah kami tanda tangani sebelumnya. Windows akan start up. Kernel Gentoo harus bisa boot dengan mode aman. Kemudian, pilih old_dbx. PC harus restart kembali ke Gentoo.
Jangan melaksanakan perintah dalam metode 2 atau metode 3; setup anda sudah lengkap Anda akan disajikan dengan jendela perintah terbuka. Kami kemudian akan menyalakan mesin ulang, dan dalam perjalanan menggunakan BIOS GUI untuk membersihkan variabel aman, sehingga masuk ke mode setup. Selanjutnya, lakukan hal yang sama dengan variabel db, hanya saja kali ini, pilih compound_db. Anda kemudian akan disajikan dengan daftar kunci boot aman yang dapat dimanipulasi oleh KeyTool. Dalam daftar pemilih file berikutnya, pilih old_dbx. Waktu, tanggal, dan zona waktu Windows benar.
Tutup dialog sekali selesai. Tombol USB masih terpasang, dan tekan Enter untuk keluar dari KeyTool, sehingga secara otomatis memicu reboot. Ini berfungsi pada dasarnya sebagai daftar hitam booting yang dapat dijalankan. Untuk menambahkan tombol baru. Anda hanya perlu mencoba pendekatan yang diuraikan di sini jika metode atau metode 2 bekerja pada mesin Anda; Jika salah satu metode 1 atau metode 2 berhasil, lanjutkan membaca dari sini sebagai gantinya. Setelah dalam mode pengguna, pembaruan ke salah satu dari keempat variabel harus ditandatangani secara digital dengan kunci yang dapat diterima. Ini adalah program executable EFI. Sekali lagi, pendekatan ini akan dijelaskan secara singkat, dengan screenshot. Ini akan membawa Anda ke menu pilihan booting Windows.
Untuk melakukan ini, pertama-tama pastikan Anda memiliki keystore yang bersih, ulangi instruksi yang diberikan di atas, jika perlu. BIOS GUI, biarkan BIOS restart ke KeyTool, lalu gunakan program ini untuk mengatur dbx, db, KEK dan PK yang diinginkan. BIOS, dan Anda harus melompat sekarang ke metode 2 dan mencobanya, sebagai gantinya. Utilitas KeyTool EFI untuk memasukkan kunci. Enter untuk memilihnya. Selanjutnya, digest ini asimetris dienkripsi menggunakan kunci privat yang hanya diketahui oleh pemberi sertifikasi.
BIOS tadi di tutorial. Mudah-mudahan, ini harus melaporkan SUKSES. KEK, db dan dbx, dan kemudian menambahkan kunci publik baru sebagai langkah kedua. Sebagian besar mesin mendukung beberapa bentuk kata sandi BIOS, namun cara pengaturannya sangat bervariasi. Mesin harus dimulai ulang, dan jika semuanya berjalan lancar, Anda harus segera diminta dengan layar passphrase plymouth yang familiar. Seperti sebelumnya, Anda akan melihat layar kata sandi plymouth.
BIOS GUI untuk memuat old_dbx. Sayangnya, tidak mungkin untuk menjadi preskriptif, karena UEFI BIOSes sangat bervariasi dalam hal yang akan mereka terima. Anda hanya perlu mencoba pendekatan yang diuraikan di sini jika metode 1 tidak bekerja pada mesin Anda; Jika metode 1 berhasil, lanjutkan membaca dari sini sebagai gantinya. Selanjutnya, kita akan reboot kembali ke Gentoo. Pertama, pastikan tombol boot USB masih dimasukkan ke PC target. KEK, dan di mana tidak ada tombol itu, bukan tanda tangan itu sendiri, muncul di dbx. Proses BIOS sebelum menggunakan kunci USB Anda untuk boot ke Linux lagi, karena Windows umumnya akan berada di urutan teratas daftar saat dijalankan. Karena perubahan awal kita pada nilai BootNext, mesin kemudian harus restart langsung ke KeyTool.
Hal ini paling tidak sulit dilakukan dari command line Windows. Sejauh ini, bagus sekali, karena cara kerja ini menghindari masuk melalui BIOS. Menguji Boot Aman dengan Kernel yang Ditandatangani, di bawah ini. PC akan memungkinkan manipulasi langsung dari variabel keystore melalui BIOS UEFI GUI. Perhatikan bahwa pada beberapa implementasi UEFI, Anda perlu menetapkan supervisor password agar opsi untuk membersihkan tombol Secure Boot tersedia. Sekarang kita memiliki kunci lama yang diarsipkan, dan kunci baru kita diproduksi, kita akan membuat berbagai file yang bisa digunakan untuk memperbarui keystore. Sementara boot aman telah menerima ulasan beragam dari komunitas Linux, ini adalah fasilitas yang berguna. Alamat IP akan berubah selama reboot. Ada prosedur alternatif, tapi ada beberapa komplikasi.
Langkah selanjutnya adalah membuat kernel yang ditandatangani dengan tepat. EFI stub: UEFI Secure Boot diaktifkan. Menguji Boot Aman dengan Kernel yang Ditandatangani, segera di bawah. Alamat IP akan berubah selama reboot untuk pengujian plymouth. Jika semua hal di atas berjalan tanpa kesalahan, selamat, kelebihan tombol yang Anda tambahkan sekarang telah disiapkan, jadi lanjutkan membaca di Testing Secure Boot dengan Signed Kernel, di bawah ini. Variabel KEK akan dimuat dengan kunci publik yang dikeluarkan oleh Microsoft. 30 makalah lengkap yang disajikan dalam buku ini ditinjau dan dipilih dengan seksama dari 148 kiriman. Buku ini merupakan proses dari Konferensi Internasional 18 tentang Perangkat Keras dan Perangkat Keras Kriptografi, CHES 2016, yang diadakan di Santa Barbara, CA, AS, pada bulan Agustus 2016.
Komentar
Posting Komentar