如何将 UEFI 安全启动与 Amazon EC2 实例配合使用 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

如何将 UEFI 安全启动与 Amazon EC2 实例配合使用

UEFI 安全启动是 UEFI 中指定的一项功能,它提供了有关启动链状态的验证。它旨在确保固件自初始化后只执行经过加密验证的 UEFI 二进制文件。这些二进制文件包括 UEFI 驱动程序和主启动加载程序以及链加载组件。

UEFI 安全启动指定了四个密钥数据库,这些数据库在信任链中使用。数据库存储在 UEFI 变量存储中。

信任链如下所示:

平台密钥(PK)数据库

PK 数据库是信任根。它包含一个公有 PK 密钥,该密钥在信任链中用于更新密钥交换密钥(KEK)数据库。

要更改 PK 数据库,必须拥有私有 PK 密钥才能签署更新请求。这包括通过写入空 PK 密钥来删除 PK 数据库。

密钥交换密钥(KEK)数据库

KEK 数据库是信任链中用于更新签名(db)和拒绝列表(dbx)数据库的公有 KEK 密钥的列表。

要更改公有 KEK 数据库,必须拥有私有 PK 密钥才能签署更新请求。

签名(db)数据库

db 数据库是信任链中用于验证所有 UEFI 启动二进制文件的公有密钥和哈希值的列表。

要更改 db 数据库,必须拥有私有 PK 密钥或私有 KEK 密钥中的任何一个才能签署更新请求。

签名拒绝列表(dbx)数据库

dbx 数据库是不受信任的公有密钥和二进制哈希的列表,在信任链中用作吊销文件。

dbx 数据库始终优先于所有其他密钥数据库。

要更改 dbx 数据库,必须拥有私有 PK 密钥或私有 KEK 密钥中的任何一个才能签署更新请求。

UEFI 论坛在 https://uefi.org/revocationlistfile 为许多已知不良的二进制文件和证书维护了公开可用的 dbx。

重要

UEFI 安全启动在任何 UEFI 二进制文件上强制执行签名验证。要允许在 UEFI 安全启动中执行 UEFI 二进制文件,请使用上述任何私有 db 密钥对其进行签名。

默认情况下,UEFI 安全启动处于禁用状态,且系统处于 SetupMode。当系统处于 SetupMode 时,所有密钥变量都可以在没有加密签名的情况下进行更新。设置 PK 后,启用 UEFI 安全启动并退出 SetupMode。