In Secure Boot gibt es ein Zertifikat zero - Was hat es damit auf sich?

[Merkmal]

Ich habe hier einen PC bei dem es im Secure Boot Modus ein Zertifikat mit dem Namen "zero" gibt. Bei Google findet man dazu nur ein paar Malewareanalyseseiten, sonst nicht viel.

Bei zwei weiteren Computer gibt es dieses Zertifikat nicht. Weiß jeman mehr und kann sagen was das Zertifikat dort zu suchen hat und was es bewirken soll?

Damit man dbxtool verwenden kann muss man fwupd installiert haben.

dbxtool -l
   1: {zero} {sha256} 6e340b9cffb37a989ca544e6bb780a2c78901d3fb33738768511a30617afa01d

 

[lanse]

DBX (aka, 'forbidden signature database' or 'signature database blacklist'): contains a set of explicitly untrusted keys and binary hashes. Any application or driver signed by these keys or matching these hashes will be blocked from execution.

 

[Merkmal]

Stimmt, die dbx war die blacklist. Aber das "zero" wurde dann doch vom Mainboardhersteller ausgeliefert und dann später verboten oder? Auf den anderen Mainboards ist dieses "zero" nicht vorhanden.

Wenn Secure Boot ausgeschaltet sein würde, würde dann das was jetzt gesperrt ist möglicherweise ausgeführt werden oder ist das komplett per UEFI gesperrt?

 

[lanse]

Im UEFI-Setup-Mode können während der OS-Installation Signatur-Keys beliebig in die Signatur-Datenbanken eingetragen oder geändert werden. Im UEFI-User-Mode ist das nur noch eingeschränkt möglich. Der Wechsel zwischen den Modes ist im BIOS-Setup möglich.

Ich installiere immer (egal ob Linux oder Windows) im User-Mode. Im BIOS ist das "Microsoft Corporation UEFI CA 2011"-Zertifikat für Linux, das "Microsoft Windows Production PCA 2011"-Zertifikat für Windows bestimmt.

Vielleicht hast Du irgendwann mal im Setup-Mode installiert … und ja, den Schutz hast Du natürlich nur mit aktiviertem Secure Boot, sonst wird nichts gesperrt.