sign-efi-sig-list - Trực tuyến trên Đám mây

Chạy sign-efi-sig-list trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks qua Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Đây là lệnh sign-efi-sig-list có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

sign-efi-sig-list - công cụ ký cho các biến an toàn dưới dạng Danh sách Chữ ký EFI

SYNOPSIS

ký-efi-sig-list [-r] [-m] [-a] [-g ] [-o] [-t ] [-i ] [-c <crt
tập tin>] [-k <phím tập tin>] <efi sig tập tin> <đầu ra tập tin>

MÔ TẢ

Tạo tệp đầu ra có tiêu đề xác thực để cập nhật trực tiếp lên một tệp bảo mật
Biến đổi. Đầu ra này có thể được ký trực tiếp bằng các phím thông thường hoặc có thể được phân chia cho
ký bên ngoài bằng cách sử dụng -o và -i tùy chọn.

LỰA CHỌN

-r chứng chỉ là rsa2048 thay vì x509 [UNIMPLEMENTED]

-m Sử dụng số đếm đơn điệu thay vì dấu thời gian [UNIMPLEMENTED]

-a Chuẩn bị biến cho APPEND_WRITE thay vì thay thế

-o Không ký, nhưng xuất một tệp của gói chính xác sẽ được ký

-t
Sử dụng làm dấu thời gian của bản cập nhật biến định thời Nếu không có, thì
dấu thời gian sẽ được lấy từ thời gian hệ thống. Lưu ý rằng bạn phải sử dụng tùy chọn này khi
thực hiện ký tên tách rời nếu không chữ ký sẽ không chính xác vì
dấu thời gian không khớp.

-i
lấy chữ ký tách rời (ở định dạng PEM) của gói do -o và hoàn thành
việc tạo ra bản cập nhật

-g
Sử dụng với tư cách là chủ sở hữu chữ ký GUID

-c
là tệp chứa chứng chỉ ký ở định dạng PEM

-k
là tệp chứa khóa cho ở định dạng PEM

VÍ DỤ

Để ký một bản cập nhật đơn giản, gắn thêm vào db đã được chuẩn bị làm Danh sách Chữ ký EFI trong
DB.esl và xuất kết quả với tiêu đề xác thực trong DB.auth

sign-efi-sig-list -a -c KEK.crt -k KEK.key db DB.esl DB.auth

Để thực hiện một chữ ký tách rời theo cách tương tự

sign-efi-sig-list -a -t '21 Jul 09 39:37:2012 BST XNUMX' -o db DB.esl DB.forsig

Bây giờ, hãy ký tệp DB.forsig theo cách openssl tiêu chuẩn. Lưu ý rằng các tiêu chuẩn yêu cầu
sha256 làm thuật toán chữ ký

openssl smime -sign -binary -in DB.forsig -out DB.signed -signer KEK.crt -inkey KEK.key
-outform DER -md sha256

Điều này tạo ra chữ ký PKCS7 tách rời trong DB.signed. Bây giờ đưa nó trở lại
chương trình nhớ giữ cùng một dấu thời gian (và cờ -a):

sign-efi-sig-list -a -i DB.signed -t '21 Tháng 09 39:37:2012 BST XNUMX' db DB.auth

Để xóa khóa, chỉ cần ký vào tệp danh sách chữ ký EFI trống, do đó, để tạo ra một biến
cập nhật sẽ xóa PK:

> null.esl

Và sau đó ký nó theo cách tiêu chuẩn (không phải là một bản cập nhật viết thêm):

sign-efi-sig-list -c PK.crt -k PK.key PK null.esl PK.auth

Khi bạn đã chuyển tệp .auth sang nền tảng UEFI, bạn có thể sử dụng UpdateVars.efi
chương trình áp dụng nó

UpdateVars [-a] db DB.auth

Trường hợp cờ -a phải xuất hiện nếu tệp DB.auth được tạo dưới dạng ghi phụ lục
cập nhật và vắng mặt nếu nó thay thế biến.

Sử dụng sign-efi-sig-list trực tuyến bằng các dịch vụ onworks.net