web-dev-qa-db-ja.com

複数のMOKキーを統合する方法、または不要なキーを削除する方法

AFAIK私はBionicでsecurebootを使い始めて以来、MOK.privファイルを1つしか持っていません。

先週のカーネルアップデートで(通常どおり)、MOKパスワードを作成し、起動時にMOK登録画面でこのパスワードを再入力するように求められました。しかし、(初めて)登録画面を見逃しました。

その後、MOKキーを登録し、必要なカーネルモジュールに署名して、セキュアブートを再度有効にすることができました。次に、マシン上で「孤立した」MOKキーを見つけました。おそらく、登録が欠落しているために、もう1つのMOKキーが必要になりましたか?昨年8月の日付なので、そうでない場合もあります。

-rw------- 1 root root 1.1K Jun 13  2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13  2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root  910 Aug 13  2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13  2018 /var/lib/shim-signed/mok/MOK.priv

私が知っているMOKファイルが最初のペアです。セカンドペアは私にとってニュースでした。

MOKファイルは、マシン上で使用可能なままにしないでください。 2つ目のキーを暗号化することもできますが、

a)/ var/lib/shim-signed /内のファイルに触れるのが苦手で、

b)マシンに単一のMOKファイルを保持したい(そしてBIOSに登録したい)

さらに悪いことに、今日、Acronisバックアップエージェント(カーネルモジュールであるsnapapi26に依存)へのアップグレードをインストールし、MOKファイルを追加する必要がありました(拡張子は異なりますが、MOK.secdataはキー)

-rw-r--r-- 1 root root  854 Apr  7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr  7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root    0 Apr  7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root  228 Apr  7 18:34 /var/lib/sb/MOK.secmeta

私のマシンに単一の(暗号化された)MOK.privとMOK.derを置きたいのですが。 これらのMOKキーを単一のキーに「統合」するにはどうすればよいですか(サイズだけで同じではないことがわかります)?これが不可能な場合は、複数のMOKキーが必要ですか?そうでない場合は、 1つ保持する必要がありますか?

脇のメモ、そして私の主な質問に答える必要はありません:すでに機能しているキーがある場合に新しいMOKキーが作成される原因についての説明(またはリンクへのリンク)をいただければ幸いです。

更新:再起動すると、Acronisによって作成されたキーのMOK登録画面が表示されました。しかし、Acronisインストーラーの間にパスワードを設定するためのプロンプトがなかったため、登録できませんでした。 Acronisが必要とするカーネルモジュールがインストールおよび署名されているため、Acronisキーを安全に削除できます。 /var/lib/sb/MOK.*を削除できますか?

1
Gaia

mokutil --list-enrolledを使用して、使用されているキーを確認しました。私が作成したキーがあります。Ubuntuによるコード署名用のキーとUbuntu CAキーです。

Acronisが実行中で、作成したキーが使用されていないため、 `/ var/lib/sb/MOK。*を削除しました。

次に、mokutil --exportを実行して3つのキーを取得しました。私のマシンに存在するderファイルに対してエクスポートされた3つのキーで差分を実行すると、キー#1が/root/keyfiles/MOK.derであり、キー#2が/var/lib/shim-signed/mok/MOK.derであることがわかりました。そこで、/ var/lib/shim-signed/mok/MOK.gpgを暗号化しました。

結局、私が作成したものとUbuntuが作成した2つのペアができました。そのままにしておきます。

削除されたAcronisキーの登録画面が再び表示されないことを願っています。

別のキーを登録するように求められる場合、 答えはここのどこかにあります です。私はそれに飛び込みませんでした。

PS: この答え は非常に役に立ちました。

0
Gaia