查看: 3289|回复: 18
收起左侧

[讨论] UEFI安全引导根证书更新

  [复制链接]
Dizziness2929
发表于 2024-6-7 10:32:46 | 显示全部楼层 |阅读模式
本帖最后由 Dizziness2929 于 2024-6-7 16:57 编辑

前情提要:

当初UEFI安全引导规范指定的时候,大家都在头疼让谁去维护安全引导根证书。

微软:我也是UEFI论坛成员,我来?

然后大家欢天喜地的同意了微软作为UEFI安全引导根证书颁发者和维护者,然后……当初的UEFI安全引导根证书再有两年就要过期了.png




微软在2024年2月发布了一个奇怪的更新,这个更新提到了升级微软内置在UEFI固件中的安全引导根证书。

技术背景么……最初的UEFI安全引导根证书是2011年发布的,一共三个根证书

1.Microsoft Corporation KEK CA 2011(KEK:第三方密钥交换密钥,平台制造商生成平台密钥PK,PK签署信任KEK,KEK用于签署安全引导可信根证书,这是个看起来很美实则难以言说的链条)

2.Microsoft Windows Production PCA 2011(用于签署Windows相关的东西,比如引导加载器和Windows组件)

3.Microsoft UEFI CA 2011(微软第三方合作伙伴UEFI根证书,用于签发微软的合作伙伴、第三方需要支持安全引导的厂商的证书,比如Linux就是用UEFI CA签署的安全引导证书)

但是,这三个根证书都将在2026年到期如果不执行更新(升级为2023 KEK和2023 DB),那么到了2026年的某天,所有启用了安全引导的电脑将不能启动任何操作系统,甚至是硬件(因为安全引导也会同时验证第三方硬件的固件是否被签名)




那么如何升级UEFI安全引导证书呢?

非常好问题:首先,你需要有一个装了2024-02安全更新的Windows,其次,按照下面的操作开始。

第零步:如果你开启了Bitlocker,麻烦你暂停一下Bitlocker保护(顺带检查一下备份密钥有没有丢,不然到时候被Bitlocker拒之门外你就囧死了)。


第一步:在Powershell下执行这两条命令

  1. Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot” -Name “AvailableUpdates” -Value 0x40

  2. ————————

  3. Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
复制代码

第二步:重启你的电脑两次,确保你的电脑真的应用了2023根证书更新。
(如果你遵守第零步暂停了Bitlocker,那么第一次重启后麻烦进Bitlocker管理再暂停一次)

第三步:完成后,执行以下命令,看看有没有如图的输出。
  1. [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
复制代码

捕获.JPG

如果返回“True”,恭喜你,你成功安装了新的UEFI安全引导根证书!接下来奖励自己把咖啡倒在电脑上提提神吧!




有些人可能要问我,我执行了这些命令,但是奇怪的是安装失败没有任何变化该怎么办?

这问题有两个原因:

1.你的Windows引导程序使用老旧的2011根证书签名,请升级你的WinDOS(我没打错字)。

2.你的主板有那么一些奇葩操作,比如有些主板会恶意的锁死安全引导数据库,此问题重买就可以解决了!

还有些天才会问:我手动导入不就可以了?

那我带大家复习一下安全引导链条:
dep-8-secureboot-allkeys.png
1.平台制造商(板厂?)生成出一个PK(平台密钥),PK用于验证主板固件和接下来的KEK。

2.平台制造商使用PK签名KEK(第三方密钥交换密钥),KEK是微软的Microsoft Corporation KEK CA。

3.Microsoft Corporation KEK CA 签名和信任Microsoft Windows Production PCA和Microsoft UEFI CA。

因此,如果你试图自行导入这三个新证书解决问题,那么……PK不信任你的KEK,你剩下来的那两个根证书也自然不会被信任。你自己只能操作DB(安全引导可信数据库)部分,操纵不了KEK和PK(摊手)。

有人可能会试图重新签发PK来完成这个操作,但是,PK只能存在这一个,而如果PK被更换,你的主板固件不是你的PK签名的……(意料之内的结局)。






参考资料:

https://techcommunity.microsoft. ... t-keys/ba-p/4055324

https://support.microsoft.com/en ... 4-9490-299e303b450b

https://learn.microsoft.com/en-u ... nce?view=windows-11



评分

参与人数 3人气 +7 收起 理由
郢都离人 + 1
隔山打空气 + 3
Jirehlov1234 + 3 精品文章

查看全部评分

t0kenzero
发表于 2024-6-7 17:21:27 | 显示全部楼层
本帖最后由 t0kenzero 于 2024-6-7 17:22 编辑
kfunname 发表于 2024-6-7 17:10
那就等东窗事发
等到2026年,陆续出现问题了
解决方案就会更广泛地传播

不需要考虑这么多 微软在日后版本将会以补丁形式强制推送 当前处于评估模式。
现在的文中手动执行了更新,将新的PCA证书塞给DB(数据库密钥) 将老的PCA证书塞给DBX(禁止签名密钥)

注:在HP平台需要将Bios进行升级


评分

参与人数 2人气 +2 收起 理由
郢都离人 + 1
kfunname + 1

查看全部评分

郢都离人
发表于 2024-6-7 12:06:31 来自手机 | 显示全部楼层
请问下,安装了2月更新,还需要手动执行命令升级吗?
Dizziness2929
 楼主| 发表于 2024-6-7 12:31:31 来自手机 | 显示全部楼层
郢都离人 发表于 2024-6-7 12:06
请问下,安装了2月更新,还需要手动执行命令升级吗?

是的,你必须手动执行命令更新
喀反
发表于 2024-6-7 14:12:14 | 显示全部楼层
没有看到你这篇文章的普通大众怎么办
wowocock
发表于 2024-6-7 14:21:25 | 显示全部楼层
我都禁止SECURE BOOT,然后加载自己的UEFI BOOTKIT玩。
wowocock
发表于 2024-6-7 14:27:33 | 显示全部楼层
也可以进入SETUP MODE把自己的证书或自己EFI程序的文件Hash加入到DB中。

评分

参与人数 1经验 -20 收起 理由
BushYan -20 多次多连回复

查看全部评分

kfunname
发表于 2024-6-7 16:05:40 | 显示全部楼层
有个问题,有没有方法可以用Linux更新这些证书呢?
如果Linux也能的话,主流Linux发行版会不会在某次更新里解决此问题呢?
Dizziness2929
 楼主| 发表于 2024-6-7 16:52:44 | 显示全部楼层
kfunname 发表于 2024-6-7 16:05
有个问题,有没有方法可以用Linux更新这些证书呢?
如果Linux也能的话,主流Linux发行版会不会在某次更新 ...

Linux会自动推送安全引导证书更新。

你只需要apt upgrade/dnf update/zypper dup等等更新软件包就行了。

评分

参与人数 1人气 +1 收起 理由
kfunname + 1 很好!

查看全部评分

Dizziness2929
 楼主| 发表于 2024-6-7 16:54:10 | 显示全部楼层
喀反 发表于 2024-6-7 14:12
没有看到你这篇文章的普通大众怎么办

有没有可能我发在这就是希望大家都看到?
kfunname
发表于 2024-6-7 17:10:05 | 显示全部楼层
喀反 发表于 2024-6-7 14:12
没有看到你这篇文章的普通大众怎么办

那就等东窗事发
等到2026年,陆续出现问题了
解决方案就会更广泛地传播

就像当初Flash、MV3等等的问题,关注者基本上在官方公布未来几年会出现XX问题的时候就已经知道并持续留意
没关注的就等到真的出问题了再到处查、问,会有热心网友整理解决方案并传播
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:15 , Processed in 0.111058 second(s), 23 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表