Вопрос или проблема
У меня есть настольный компьютер с материнской платой Asrock B550M pro, и его прошивка — UEFI.
Настройка предлагает управление пользовательскими ключами в разделе Secure Boot.
Я скачал Windows UEFI CA 2023.crt от Microsoft, а также создал собственный сертификат с помощью OpenSSL.
Я добавил оба сертификата как публичные сертификаты в переменную db через интерфейс управления пользовательскими ключами в UEFI.
После сохранения изменений я снова зашел в UEFI и подтвердил, что ключи сохранены, и они действительно сохранены.
Однако я заметил, что полностью новый GUID присвоен обоим сертификатам вместо оригинального.
GUID моего собственного сертификата ключа начинается с 4DB62.., а у Microsoft CA-2023 — 77FA9ABD...
Тем не менее, посмотрите на скриншот, к обоим сертификатам прикреплен новый, но другой GUID.
Так ли это или я сделал что-то неправильно? Это просто потому, что режим управления пользовательскими ключами (я думаю, setup mode) не является строгим режимом, и я могу свободно изменять ключи?
Secure Boot работает нормально. Теперь он даже может запускать EFI файлы, подписанные моим собственным ключом, созданным с помощью OpenSSL.
GUID не является свойством сертификата — он описывает саму запись db, чтобы записи из разных источников могли быть отличимы инструментами управления.
Например, 77FA9ABD... используется для всех сертификатов от Microsoft, как определено их требованиями для OEM. Аналогично, ваше ПО может генерировать GUID для обозначения “сертификатов, добавленных вручную через GUI настройки”. Если вы обновляете db напрямую через переменные EFI, вы можете указать GUID как часть новых данных.
Ответ или решение
Ваша ситуация с GUID при добавлении сертификатов Secure Boot заслуживает особого внимания для понимания работы механизмов безопасности UEFI. Позвольте объяснить всё подробно.
Подробности проблемы
Вы использовали материнскую плату Asrock B550M Pro, прошивка которой поддерживает UEFI, для настройки Secure Boot. Для этого процесса вы загрузили сертификат Windows UEFI CA 2023.crt и своё собственное сертификатов, созданное с помощью OpenSSL. Эти сертификаты вы добавили в переменную db через интерфейс пользовательского управления ключами UEFI.
После сохранения изменений и перезагрузки вы заметили, что к сертификатам прикреплен новый GUID, который отличается от их первоначальных значений. Ваш сертификат имел GUID, начинающийся с 4DB62.., тогда как у Microsoft CA-2023 он начинался с 77FA9ABD.... Тем не менее, новый GUID, который вы видите, отличается от обоих изначальных.
Понимание GUID в UEFI-драйверах
GUID не является свойством самого сертификата. Это идентификатор записи в базе данных db, который позволяет инструментам управления различать записи разных источников. Например, Microsoft использует единый GUID для всех своих сертификатов, чтобы OEM-производители могли легко управлять ими.
Ваше ПО UEFI, возможно, генерирует уникальный GUID для всех сертификатов, которые добавлены вручную через графический интерфейс. Таким образом, на основе текущей реализации GUID не привязан к уникальности самого сертификата, а просто обозначает способ его добавления или источник.
Заключение
Таким образом, ваше наблюдение о том, что новый единый GUID прикреплён к обоим сертификатам, является ожидаемым поведением при добавлении ключей через пользовательский режим, или setup mode. Это позволило вам свободно манипулировать ключами, не влияя на безопасность системы. Более того, ваш Secure Boot работает корректно, так как может загрузить EFI-файлы, подписанные вашим сертификатом.
Рекомендации
- Проверьте документацию UEFI вашей материнской платы, чтобы подтвердить, что это стандартное поведение для вашего оборудования.
- Регулярно создавайте резервные копии конфигурационных данных Secure Boot для восстановления в случае несанкционированных изменений.
- Используйте специализированные утилиты для управления UEFI переменными, если вам нужно более детальное управление GUID.
Если у вас возникнут дополнительные вопросы или опасения по поводу вашей конфигурации Secure Boot, не стесняйтесь обратиться за помощью к специалистам или поддержке производителя оборудования.