EFIsigリストコンバーターまたはビューアー
最近、efitools'keytool.efiを使用して、UEFIファームウェアからEFIセキュアブートキーを保存しました。現在、EFI署名リストを含む.eslファイルがいくつかありますが、それらはバイナリであり、読みやすい形式でコンテンツを確認したいと思います。
どうやら、これらの署名は通常X.509証明書として始まり、.eslなどのツールを使用してcert-to-efi-sig-listに変換されます。後戻りする方法はありますか?
素敵な小さなものを見つけました EFIユーティリティ システム上のキーに関する人間が読める情報を印刷するfpmurphyによって書かれ、彼はこれについても有益なブログ投稿を書きました。
efitools パッケージにはsig-list-to-certsツールが含まれており、これを使用すると、.eslファイルからDERエンコードされたX.509証明書を抽出できます(たとえば、最初のKEK証明書を抽出して印刷できます)。 )::
efi-readvar -v KEK -o 'old_kek.esl'
sig-list-to-certs 'old_kek.esl' 'oldkek'
openssl x509 -in 'oldkek-0.der' -inform der -noout -text
複数の証明書がある場合は、他の証明書に対してoldkek-N.derを指定してopensslコマンドを繰り返します。 v-コマンドのPK、db、およびdbxをefi-readvarに渡して、プラットフォームキーとdbホワイトリストおよびブラックリストをそれぞれ読み取ります。