Mettre à jour les certificats KEK et de base de données

Ce document explique comment mettre à jour les variables de la base de données de signatures autorisées (db) et de la clé d'échange de clés (KEK) sur les instances de calcul que vous avez créées avant le 7 novembre 2025 pour qu'elles fassent confiance aux certificats mis à jour pour le démarrage sécurisé.

La mise à jour de la clé de chiffrement de clé (KEK) et de la base de données est une alternative pour les clients qui ne recréent pas leurs instances de calcul concernées.

Remarque sur les exigences de redémarrage : contrairement à Windows, Linux ne nécessite pas de redémarrage du système pour que les mises à jour de la KEK et de la signature de la base de données soient écrites dans les variables UEFI. Linux écrit immédiatement les mises à jour dans la NVRAM ou le stockage du micrologiciel lors de l'exécution de la commande.

Avant de commencer

Avant de mettre à jour vos certificats KEK et db Secure Boot, vérifiez si vos instances nécessitent une mise à jour et effectuez les préparatifs suivants pour éviter d'éventuels problèmes de démarrage ou de déchiffrement :

• Vérification des prérequis : vérifiez que vos instances nécessitent une mise à jour des certificats Secure Boot.
• Intégrité des données et récupération des clés : localisez vos clés de récupération pour le chiffrement de disque (BitLocker ou LUKS FDE) et sauvegardez les données critiques. Si la configuration est incorrecte, la modification des variables de sécurité peut bloquer l'accès aux disques.
• Recommandation concernant l'ordre de mise à jour de Linux : pour les instances Linux, nous vous recommandons de mettre à jour la variable UEFI db vers l'autorité de certification Microsoft UEFI 2023 avant de passer aux nouveaux shims. Cet ordre permet d'éviter un éventuel scénario d'incompatibilité d'autorité de certification si une mise à jour de shim signée uniquement avec l'autorité de certification Microsoft UEFI 2023 est appliquée alors que la base de données ne contient que le certificat de 2011.

Mettre à jour la base de données et la clé KEK sur Linux à l'aide de fwupd

Les versions 2.0.10 ou ultérieures de fwupdmgr sont compatibles avec cette méthode. Vérifiez votre version en exécutant sudo fwupdmgr --version.

Remarque concernant RHEL 8/9 : Les dépôts Enterprise pour RHEL 8/9 fournissent des versions antérieures de fwupdmgr (RHEL 8 propose la version 1.7.8 et RHEL 9 propose la version 1.9.13), qui ne répondent pas au seuil de version requis. Si vous exécutez RHEL 8/9, vous devez effectuer l'une des opérations suivantes : compiler fwupd à partir de la source ou utiliser la méthode sbsigntools décrite plus loin.

Exécutez la commande suivante :

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Mettre à jour la base de données et la clé KEK sur Linux à l'aide de efitools

Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package efitools.

Mettre à jour db

1. Téléchargez le fichier binaire de mise à jour depuis le dépôt Microsoft :

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Rendez la variable mutable en supprimant l'indicateur de protection en écriture :

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Mettez à jour la variable en exécutant efi-updatevar :

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

4. Restaurez l'indicateur de protection en écriture pour sécuriser la variable :

   sudo chattr +i /sys/firmware/efi/efivars/db-*
   

Mettre à jour KEK

1. Téléchargez l'archive .cab contenant la mise à jour du certificat :

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Si gcab n'est pas installé, installez-le. Par exemple, sur Debian ou Ubuntu, exécutez la commande suivante :

   sudo apt update
   sudo apt install gcab
   

3. Extrayez l'archive à l'aide de gcab :

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Assurez-vous que le fichier possède le hachage MD5 attendu : 6a1c58e1b8391c0e3f2e97f83917807a.

   md5sum kek2023update.bin
   

5. Rendez la variable KEK mutable :

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Appliquez la mise à jour :

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

7. Restaurez l'indicateur de protection en écriture pour sécuriser la variable :

   sudo chattr +i /sys/firmware/efi/efivars/KEK-*
   

Mettre à jour la base de données et la clé KEK sur Linux à l'aide de sbsigntools

Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package sbsigntools et de son utilitaire sbkeysync.

Remarque sur le nom et la disponibilité du package : les distributions basées sur Red Hat Enterprise Linux (RHEL), CentOS et Fedora nomment le package utilitaire sbsigntools (avec un "s" à la fin). Le dépôt EPEL (Extra Packages for Enterprise Linux) fournit ce package. Pour l'installer sur RHEL, activez le dépôt EPEL (sudo dnf install epel-release), puis exécutez sudo dnf install sbsigntools.

Mettre à jour db

1. Téléchargez le fichier binaire de mise à jour depuis le dépôt Microsoft :

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Placez le fichier dans le dossier approprié pour sbkeysync, rendez db mutable et exécutez la synchronisation :

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

3. Restaurez l'indicateur de protection en écriture pour sécuriser la variable :

   sudo chattr +i /sys/firmware/efi/efivars/db-*
   

Mettre à jour KEK

Pour mettre à jour la variable KEK, téléchargez l'archive cabinet des mises à jour de la clé KEK Microsoft, extrayez le fichier binaire de mise à jour et synchronisez-le à l'aide de l'utilitaire sbkeysync. Les sections suivantes expliquent comment extraire le fichier binaire en fonction de votre distribution :

1. Téléchargez l'archive .cab contenant la mise à jour du certificat KEK :

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Extrayez l'archive .cab pour obtenir le fichier binaire de mise à jour du KEK (kek2023update.bin) :

   • Sur Debian/Ubuntu à l'aide de l'utilitaire gcab :

     sudo apt update && sudo apt install gcab -y
     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     

   • Sur les distributions basées sur RHEL/CentOS (telles que RHEL 8/9) utilisant l'utilitaire cabextract d'EPEL :

     sudo dnf install epel-release -y
     sudo dnf install cabextract -y
     cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     

3. Vérifiez que le fichier kek2023update.bin extrait possède le hachage MD5 attendu : 6a1c58e1b8391c0e3f2e97f83917807a.

   md5sum kek2023update.bin
   

4. Placez le binaire dans le dossier approprié pour sbkeysync, rendez la variable KEK mutable et exécutez la synchronisation :

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

5. Restaurez l'indicateur de protection en écriture pour sécuriser la variable :

   sudo chattr +i /sys/firmware/efi/efivars/KEK-*
   

Mettre à jour la base de données et la clé KEK sous Windows

Vous n'avez pas besoin d'appliquer ces mises à jour de certificat si vous n'utilisez pas ou ne prévoyez pas d'utiliser le démarrage sécurisé sur cette instance. En général, les systèmes d'exploitation Windows ignorent les tentatives d'application de ces mises à jour de certificats de démarrage sécurisé si le démarrage sécurisé n'est pas activé, car la mise à jour est inutile.

Si vous prévoyez d'utiliser le démarrage sécurisé ultérieurement, vous devez d'abord l'activer sur l'instance pour mettre à jour les certificats de démarrage sécurisé.

Sur les instances Windows, les paramètres de registre et les tâches planifiées déclenchent les mises à jour sur les versions compatibles :

1. Assurez-vous que les mises à jour mensuelles récentes ont été appliquées à vos instances Windows.

2. En tant qu'administrateur dans PowerShell, exécutez :

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Redémarrez l'instance pour autoriser les opérations sur les variables du micrologiciel. Certains environnements nécessitent un double redémarrage si les fonctionnalités de sécurité de la virtualisation sont actives.