AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1678459
Accepted
TheMeaningfulEngineer
TheMeaningfulEngineer
Asked: 2021-09-28 03:11:05 +0800 CST2021-09-28 03:11:05 +0800 CST 2021-09-28 03:11:05 +0800 CST

x64 机器的安全启动实现和 ROM 证书是否不同?

  • 772

我正在尝试了解 x86 机器的安全启动和 ROM 固件的关键要求

我来自安全启动的定义:

出售的 PC 带有嵌入在 ROM 固件中的某些证书​​。该 ROM 固件只有在使用这些证书之一验证签名时才会运行 UEFI 应用程序。

以此为定义,我的问题是:

  • x86/x64 PC 之间的安全启动实现是否不同?
    • 在一台 PC 上运行的操作系统映像无法在另一台 PC 上安全启动
  • 所有固件 ROM 上是否有一组预定义的证书可用?
uefi secure-boot
  • 1 1 个回答
  • 41 Views

1 个回答

  • Voted
  1. Best Answer
    user1686
    2021-09-28T04:13:21+08:002021-09-28T04:13:21+08:00

    x86/x64 PC 之间的安全启动实现是否不同?

    它们确实如此,就像其他固件不同一样。一些制造商的固件可能具有共同的传统(使用 Tianocore 开源实现作为其基础),但在每个制造商将其调整到自己的系统之后,它们的工作方式不太可能完全相同。

    理论上,签名验证等基本功能在任何地方都应该相同(忽略规范中的错误和歧义)。但是,用户界面差异很大(一些实现具有用于手动自定义证书列表的广泛 UI,其他实现具有方便的预设“Windows”和“非 Windows”模板来控制 SB 和 CSM,而其他实现只有最低限度.) 限制也不同,有时会受到硬件的影响,例如,证书的总数db或撤销的哈希dbx可能不一样。

    要求也有所不同。例如,在 ARM 设备上,微软真的希望除了 Windows 之外别无其他——不允许第三方操作系统。而在 x86 设备上,默认设置是允许它们,甚至需要固件来允许用户通过物理访问完全自定义证书列表。

    所有固件 ROM 上是否有一组预定义的证书可用?

    实际上,Microsoft 设置了“开箱即用”的安全启动要求。这是他们的指南。

    通常,只有一个稳定的 Secure Boot CA(如果制造商想要通过 Microsoft 拥有的任何产品认证,都必须包含该 CA ),其标记为“Microsoft Windows Production PCA 2011”,专门用于签署Microsoft Windows启动文件。

    Microsoft 提供的另一个 CA 是“Microsoft Corporation UEFI CA 2011”,它是 Microsoft 用来签署各种第三方软件的 CA,例如一些 Linux 发行版的引导文件(包括 Shim 和 Preloader),以及 Option ROM嵌入硬件中。这个 CA 虽然非常广泛可用,但只是“OEM 应该考虑包括在内”的东西。

    如果我理解正确,通常包括使外部 GPU 或 NIC 在 UEFI 环境中工作(即在操作系统启动之前)。但是,某些计算机专门具有禁用此 CA 的固件设置选项,以避免安全风险(例如,有缺陷的 Linux GRUB 版本)或使系统与 Windows 10 Device Guard 兼容。

    这就是“预定义”列表结束的地方。

    一些计算机还可能包括例如制造商自己的 CA(例如 HP,可能是为了让他们的恢复/管理工具工作),或 Canonical Ltd. 的 CA(用于 Ubuntu Linux),但这些都没有普遍的。

    • 2

相关问题

  • UEFI 是否在 BIOS 之上运行?

  • 将 MBR 引导程序代码编写为 UEFI 引导加载程序

  • GPT 驱动器未在 bios 中显示为 UEFI

  • 查看主板是否支持 UEFI

  • 我的 BIOS 坏了

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    v15 为什么通过电缆(同轴电缆)的千兆位/秒 Internet 连接不能像光纤一样提供对称速度? 2020-01-25 08:53:31 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve