根据我对安全启动的理解,它大概是这样运作的:
- UEFI 固件具有 Microsoft 提供的密钥,用于可启动二进制文件的加密验证。
- Shim 是一个经过签名的引导加载程序,由 Microsoft 密钥签名。由于 UEFI 中存在相同的密钥,因此 Shim 被认为是可信的。
- 现在,Shim 设计有使用自定义键的功能。
- Debian 通过使用其 CA(.der 文件)编译 Shim,将其自定义密钥实现到 Shim 中。
- Debian 使用此 CA 信任的公钥对内核进行签名。这些公钥也可公开访问。
- 现在,当 Shim 被 UEFI 加载时,它会进一步加载已签名的内核,从而实现安全启动。
我的问题是,为什么 Debian 在其源代码中直接提供 .der 文件和公钥?这意味着如果攻击者以某种方式获得系统的 root 访问权限,他们就可以使用 Debian 的公钥对修改后的内核进行签名,从而破坏安全模型。现在,通过远程执行攻击获取 root 访问权限肯定很困难,但并非完全不可能。
我对安全启动机制的理解可能是错误的,或者公开这些密钥另有目的。请纠正我的理解。
您无法使用公钥对任何可使用同一公钥验证的内容进行签名。所使用的算法都是非对称的。因此它被称为“公钥”:从设计上讲,它可以安全地公开。
相反,必须用不同的密钥(公钥也源自私钥)进行签名,然后才能用公钥进行验证(事实上,验证它需要有公钥;没有公钥,签名就毫无意义)。
同样的原则适用于大多数此类数字签名 - 包括安全启动使用的“其他”签名和密钥,以及 TLS 证书、SSH 身份验证密钥等。在所有这些情况下,拥有公钥是签名具有任何价值的必要条件,但同时还不足以创建签名。
话虽如此,您说得对,root 可以签名,但使用的密钥完全不同——Shim 引入安全启动模型的“机器所有者密钥”(MOK),其私钥是在本地生成的并存储在机器中。这样做的目的是允许本地构建基于 DKMS 的内核驱动程序,而安全模型总体上并不认为 root 是攻击的一部分
它最有可能关注来自外部的攻击,特别是根文件系统(存储 MOK 私钥)被加密且没有密码就无法访问,并且 SB 防止篡改引导加载程序来记录密码......但实际上,重点可能只是让 Linux 能够在SB 默认处于活动状态的系统上启动,而无需要求用户手动禁用它。