キーYで署名されたブートローダによってのみバイナリXが起動するように要求できますか?

キーYで署名されたブートローダによってのみバイナリXが起動するように要求できますか?

セキュアブート設定にMicrosoftキーを含めると、Microsoftキーを持つすべてのマルウェアがLinuxバイナリを起動できます。私の秘密鍵で署名されたブートローダでのみLinuxバイナリを起動できるように制限できますか?

私の秘密鍵を使用してバイナリ自体に署名できることを知っていますが、他の鍵を使用するマルウェアが私のバイナリを実行するのを防ぎません。

それは不可能ですが、私のキーでWindowsバイナリに署名してMicrosoftキーを削除することはできますか?

答え1

セキュアブート設定にMicrosoftキーを含めると、Microsoftキーを持つすべてのマルウェアがLinuxバイナリを起動できます。私の秘密鍵で署名されたブートローダでのみLinuxバイナリを起動できるように制限できますか?

いいえ、信頼の鎖を誤解しました。前者は後者を検証しなければならない。次のものは以前に来たことを意味的に検証しません。

私の秘密鍵を使用してバイナリ自体に署名できることを知っていますが、他の鍵を使用するマルウェアが私のバイナリを実行するのを防ぎません。

正しい。

それは不可能ですが、私のキーでWindowsバイナリに署名してMicrosoftキーを削除することはできますか?

はい、Microsoftキーで署名されたコードを実行したくない場合は、これを行う必要があります。

関連情報