——————————————————————————————————————————–
安全启动(SecureBoot)使用非对称加密与数字签名技术提供了一种从硬件到操作系统的安全启动信任链。本文介绍了系统固件、OS Loader、证书、密钥及之间的沟通流程。在windows下下可以使用如下命令获取PK,KEKdb、dbx、SetupMode、SecureBoot、PKDefault、KEKDefault、dbDefault、dbt、dbtDefault等全局变量的值。
例如:当前系统的SetupMode的NV值是0,表示工作在user模式。
平台密钥Platform Key (PK):
默认交换密钥KEKDefault
lUEFI Spec默认的KEK仅作为测试使用。
第三方交换密钥OEM/3rd party KEK
SecureBoot工作模式:
数字签名过程
密钥管理及密钥分发
对政企和某些保密性要求较高的应用场景需要开启secureboot数字签名 证书存储区没有证书,同时需要保证各种密钥的绝对安全,我们需要一种称之为公钥基础设施Public-Key Infrastructure (PKI) 来生成数字签名 证书存储区没有证书,保持及分发密钥。
对PKI的选择需要用以下几点来评估:
公钥基础设施Public-Key Infrastructure (PKI) 提供的服务和选择标准:
Secure Boot and 3rd party signing
固件C字营·武汉
———————————————————————————————————————————
本文到此结束,希望对大家有所帮助!