在 Ubuntu 和可能的 Debian 系统上,您可以安装包含由 Ubuntu 的 EFI 密钥签名的图像的软件包。例如,linux-signed-image-generic-lts-trusty是这些软件包之一。
假设我有一个完全加密的磁盘和一个未加密的引导分区,这是必需的。我使用 PGP 加密密钥文件来解密我的磁盘。使用这些签名图像究竟能给我带来什么额外的安全保障?生成一个“签名”的 EFI 内核映像是多么微不足道?
签名的 Linux 内核映像能给我带来什么?
信息安全
linux
uefi
2021-08-17 09:29:44
1个回答
使用未加密的引导分区,恶意软件理论上可以用自己的内核替换您的未签名内核(例如,运行原始内核的管理程序)。然后,您的系统将无法检测到此恶意软件,但可以完全访问它。
至少在理论上,签名内核可以弥补这个漏洞:由于恶意软件管理程序没有签名,因此需要签名操作系统的 EFI BIOS 将拒绝加载它。
这样做的问题是,虽然随机恶意软件作者不太可能拥有您的 BIOS 识别的签名密钥,但州级参与者却是,而且为有组织犯罪工作的作者很有可能会。
其它你可能感兴趣的问题