Ubuntuがプライマリインスタンスを変換することを確認するために、バックアップディスク(デフォルトのUbuntuディスクの横)でUbuntuをデュアルブートしました。私がDebianを選んだ理由の1つは、私が維持したいSecureBootをサポートし、Ubuntuでうまくいくからです。
私の質問?私のAsus ROG Rampage Vマザーボードが故障しました。初期のSecureBootマザーボードの1つであり、登録プロセスをサポートしていないため、すべての主要な登録ユーティリティを実行することはできません。 Asusのサポート(またはサポートの欠如)に基づいて見ると、これは得られそうにありません。 Ubuntuを使用しても、Ubuntu KEKキーとDB MOKキーを手動で登録する必要があります。
Debianでも同じことをしたいのですが、Debian KEKキーがどこにあるのかわからないと思いますか?もしどこにいるのか、どこで入手できるのか知っている人はいますか?現在、MoboデータベースにMSとCanonical KEKがあります(下記参照)。データベースを完全にカスタムキーに置き換えるよりもそれを維持し、工場Debian KEKをインストールすることをお勧めします(後でWindowsまたはUbuntuをダブルブートしたい場合があります)、または手間をかけずにDebianを再インストールするだけです)
ベストアンサー1
私が知っている唯一のDebian Secure Boot証明書はここにあります:https://dsa.debian.org/secure-boot-ca
セキュアブート仕様によると、現在のPKを削除すると、セキュアブートは署名なしですべての重要な変数を編集できる「設定モード」に切り替える必要があります。
ファームウェアレベルのセキュアブートキーを制御する場合は、とにかくPKを独自のキーに置き換える必要があります。
セーフブートルールは基本的に次のとおりです。
- ブートローダのチェックサムが で見つかれば
dbxブラックリストにあるブートローダなので実行されません。 - それ以外の場合は、リストされているブートローダーのチェックサムがで見つかった場合、またはブートローダーが
dbで見つかった証明書で署名されている場合にdb実行されます。 - 修正
dbおよび/またはdbx(ブラックリストの更新を提供するなど)、更新は存在しない限り見つけることができるKEK証明書で署名する必要がありますPK。これは、プラットフォームがセキュアブート設定モードにあり、キーを無制限に変更できることを意味します。 - を変更するには、アップデートが存在しない限り、..の証明書で署名する必要が
KEKあります。PKPK PKシステムには0個または1個の証明書があり、それ以上はありません。
セキュアブートシムブートローダは、shimx64.efiファームウェアセキュアブート変数が変更されないように設計されています。これは、Microsoftが署名し、別のクラスのキー、つまりMOK.MOKキーを追加します。つまり、シムブートローダを使用するときのキーと同じですdbが、ファームウェアや可能なバグとは完全に独立して管理されます。