両方ダーバンそしてUbuntudbx証明書がEFI / UEFIファームウェアデータベースに追加されました。BootHoleの脆弱性そして、2つの主要なLinuxディストリビューションは、提供するソフトウェアに署名するために異なる秘密鍵を使用する必要があります。ただし、新しい証明書をダウンロードできる場所に関する情報はありません。では、どうやって入手できますか?
ベストアンサー1
特定の証明書で署名されたEFIバイナリがある場合は、ここから証明書の公開部分を抽出できます。
#!/bin/sh
if [ "$1" = "" ] || [ ! -e "$1" ]
then
echo "Usage: ${0##*/} <binary.efi>"
exit 64 # EX_USAGE
fi
TEMPFILE=$(mktemp)
trap "rm -f $TEMPFILE" EXIT
osslsigncode extract-signature -pem "$1" "$TEMPFILE"
openssl pkcs7 -inform pem -print_certs -text -in "$TEMPFILE"
最新バージョンのDebianでこのコマンドを実行すると、grubx64.efi標準出力にタイトルと発行者を含む証明書が取得されますscriptname /boot/efi/EFI/debian/grubx64.efi。これをファイルに転送したら、次からダウンロードできるDebian Secure Boot CA証明書と比較して確認できます。CN=Debian Secure Boot Signer 2020CN=Debian Secure Boot CAhttps://dsa.debian.org/secure-boot-ca。
確認例:
openssl verify -verbose -CAfile debian-ca.pem debian-signer.pem
debian-signer.pem: OK
Debian は署名者証明書のみを交換する必要があります。古い CA 証明書はまだ有効であり、新しい署名者証明書の正確性を検証するために使用できます。 Canonical / Ubuntuにも同じことが当てはまると思いますが、現在CA証明書のURLはありません。 (もしかしたらご存知の方は、コメントや修正をお願いします!)
ソース:Andreas Hunkelerでコメントhttps://bugs.debian.org/cgi-bin/bugreport.cgi?bug=925550