有零刻 Beelink 的人吗?你们GTR7 7840HS的 BIOS 将仅用于测试DO NOT TRUST - AMI TEST PK设置为了平台密钥。根据 UEFI 规范,OEM 需要负责维护唯一的平台密钥(Platform Key),它可以是公司唯一、产品线唯一或产品唯一。
https://learn.microsoft.com/zh-cn/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
使用测试密钥破坏了安全启动的信任机制,这会导致安全启动无法在受影响的系统上正常运行,并且有物理访问能力的攻击者能够使用不在受信任启动列表中的软件来启动系统。
联想也曾出现过这个问题,并将这个其列为高危漏洞
https://support.lenovo.com/us/en/solutions/ps500067-certain-bios-versions-may-include-an-ami-test-key-that-could-compromise-secure-boot-protections
同时,GTR7 7840HS BIOS的 密钥交换密钥 (KEK) 和 签名数据库( DB 、DBX )也不完整。
KEK 只包含了Microsoft Corporation KEK CA 2011,
缺失了Microsoft Corporation KEK 2K CA 2023
DB 只包含了Microsoft Windows Production PCA 2011,
缺失了Microsoft Corporation UEFI CA 2011、Windows UEFI CA 2023、Microsoft UEFI CA 2023
缺失的Microsoft Corporation UEFI CA 2011、Microsoft UEFI CA 2023也导致了经过微软 UEFI 签名的 Linux 系统( Ubuntu 、CentOS 、RHEL 、Fedora )无法通过校验。
但由于第一个漏洞,无法通过校验的系统也能引导,Secure Boot 功能形同虚设。
再提一嘴,你们服务质量有待提升啊。发你们官网邮箱没人回复,淘宝技术只会让我自签一个证书,淘宝客服只会让我退货。。。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.