AFAIK Ho avuto solo un file MOK.priv da quando ho iniziato a utilizzare secureboot su Bionic.
Un aggiornamento del kernel la scorsa settimana (come al solito) mi ha chiesto di creare una password MOK e di reinserirla nella schermata di registrazione MOK all'avvio. Ma ho perso la schermata di registrazione (per la prima volta).
Da allora sono stato in grado di registrare la chiave MOK e firmare i moduli del kernel necessari, riattivando l'avvio sicuro. Ho quindi trovato una chiave MOK "orfana" sulla mia macchina. Forse mancare la registrazione mi ha fatto finire con un'altra chiave MOK? O forse no, dato che è datato agosto dello scorso anno.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
I file MOK che so di avere sono la prima coppia. La seconda coppia era una novità per me.
I file MOK non devono essere lasciati disponibili sulla macchina. Potrei forse solo crittografare la seconda chiave, ma
a) Non mi sento a mio agio a toccare un file in /var/lib/shim-signed/ e
b) Vorrei mantenere un unico file MOK sulla macchina (e registrato nel BIOS)
A peggiorare le cose, oggi ho dovuto installare un aggiornamento all'agente di backup Acronis (che dipende da snapapi26, un modulo del kernel) e ora ho più file MOK (sebbene l'estensione sia diversa, mi sembra che MOK.secdata sia un chiave)
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
Mi piacerebbe avere un singolo MOK.priv e MOK.der (crittografato) sulla mia macchina. Come faccio a "consolidare" queste chiavi MOK in una sola (solo per dimensione puoi vedere che non sono identiche)? Se ciò non è possibile, ho bisogno di più di una chiave MOK? In caso negativo, quale devo tenere?
Nota a margine e non necessaria per rispondere alla mia domanda principale:apprezzerei una spiegazione (o un collegamento a una) su ciò che causa la creazione di una nuova chiave MOK quando ne hai già una funzionante.
Aggiornamento:un riavvio mostrava una schermata di registrazione MOK per la chiave creata da Acronis. Ma durante il programma di installazione di Acronis non è stato richiesto di impostare una password, quindi non ho potuto registrarlo. Il modulo del kernel richiesto da Acronis è installato e firmato, quindi è sicuro rimuovere le chiavi Acronis. Posso semplicemente eliminare /var/lib/sb/MOK.* ?
Correlati:come installare e utilizzare PyCharm senza dover utilizzare un terminale?Risposta accettata:
Ho usato mokutil --list-enrolled per vedere quali chiavi erano in uso. C'è una chiave che ho creato, una chiave per la firma del codice di Ubuntu e una chiave della CA di Ubuntu.
Poiché Acronis è in esecuzione e la chiave creata non viene utilizzata, ho rimosso `/var/lib/sb/MOK.*
Quindi ho eseguito mokutil --export che mi ha dato le 3 chiavi. Eseguendo un diff su quelle 3 chiavi esportate rispetto ai file der presenti sulla mia macchina, ho scoperto che la chiave n. 1 è /root/keyfiles/MOK.der e la chiave n. 2 è /var/lib/shim-signed/mok/MOK.der . Quindi ho crittografato /var/lib/shim-signed/mok/MOK.gpg.
Ho finito con 2 coppie, una che ho creato, una creata da Ubuntu. Li lascerò così come sono.
Spero che la schermata di registrazione non venga più visualizzata per la chiave Acronis eliminata.
Per quanto riguarda quando chiede di registrare un'altra chiave, la risposta è da qualche parte qui. Non mi ci sono tuffato.
PS:questa risposta è stata molto utile.