Memperbarui KEK dan sertifikat db

Dokumen ini memberikan petunjuk untuk memperbarui variabel Allowed Signature Database (db) dan Key Exchange Key (KEK) pada instance komputasi yang Anda buat sebelum 7 November 2025 agar mempercayai sertifikat yang diperbarui untuk Boot Aman.

KEK dan update db adalah alternatif bagi pelanggan yang tidak membuat ulang instance komputasi yang terpengaruh.

Catatan tentang persyaratan reboot: Tidak seperti Windows, Linux tidak memerlukan reboot sistem agar update tanda tangan KEK dan db dapat ditulis ke variabel UEFI. Linux segera menulis update ke NVRAM atau penyimpanan firmware setelah eksekusi perintah.

Sebelum memulai

Sebelum mengupdate sertifikat KEK dan db Secure Boot, verifikasi apakah instance Anda memerlukan update dan selesaikan persiapan berikut untuk mencegah potensi masalah booting atau dekripsi:

• Verifikasi prasyarat: Verifikasi bahwa instance Anda memerlukan update sertifikat Secure Boot.
• Integritas data dan pemulihan kunci: Temukan kunci pemulihan enkripsi disk Anda (BitLocker atau LUKS FDE) dan cadangkan data penting. Mengubah variabel keamanan dapat mengunci akses ke disk jika konfigurasi salah.
• Rekomendasi pengurutan update Linux: Untuk instance Linux, sebaiknya update variabel UEFI db ke Microsoft UEFI CA 2023 sebelum mengupdate ke shim baru. Pengurutan ini membantu mencegah potensi skenario ketidakcocokan CA jika update shim yang ditandatangani hanya dengan Microsoft UEFI CA 2023 diterapkan saat database hanya berisi sertifikat 2011.

Memperbarui db dan KEK di Linux menggunakan fwupd

Versi fwupdmgr 2.0.10 atau yang lebih baru mendukung metode ini. Periksa versi Anda dengan menjalankan sudo fwupdmgr --version.

Catatan tentang RHEL 8/9: Repositori Enterprise untuk RHEL 8/9 menyediakan versi fwupdmgr yang lebih lama (RHEL 8 menampilkan versi 1.7.8 dan RHEL 9 menampilkan versi 1.9.13), yang tidak memenuhi batas versi yang diperlukan. Jika Anda menjalankan RHEL 8/9, Anda harus melakukan salah satu hal berikut: membangun fwupd dari sumber, atau menggunakan metode sbsigntools yang dijelaskan nanti.

Jalankan perintah berikut:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Memperbarui db dan KEK di Linux menggunakan efitools

Langkah-langkah berikut akan memandu Anda memperbarui variabel db dan KEK menggunakan paket efitools.

Update db

1. Download biner update dari repositori Microsoft:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Buat variabel dapat diubah—menghapus tanda perlindungan penulisan:

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Perbarui variabel dengan menjalankan efi-updatevar:

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

4. Pulihkan tanda perlindungan penulisan untuk mengamankan variabel:

   sudo chattr +i /sys/firmware/efi/efivars/db-*
   

Update KEK

1. Download arsip .cab yang berisi pembaruan sertifikat:

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Jika Anda belum menginstal gcab, instal. Misalnya, di Debian atau Ubuntu, jalankan perintah berikut:

   sudo apt update
   sudo apt install gcab
   

3. Ekstrak arsip menggunakan gcab:

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Pastikan file memiliki hash MD5 yang diharapkan: 6a1c58e1b8391c0e3f2e97f83917807a.

   md5sum kek2023update.bin
   

5. Buat variabel KEK dapat diubah:

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Terapkan update:

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

7. Pulihkan tanda perlindungan penulisan untuk mengamankan variabel:

   sudo chattr +i /sys/firmware/efi/efivars/KEK-*
   

Memperbarui db dan KEK di Linux menggunakan sbsigntools

Langkah-langkah berikut akan memandu Anda memperbarui variabel db dan KEK menggunakan paket sbsigntools dan utilitas sbkeysync-nya.

Catatan tentang nama dan ketersediaan paket: Distribusi berbasis Red Hat Enterprise Linux (RHEL), CentOS, dan Fedora menamai paket utilitas sbsigntools (dengan "s" di akhir). Repositori EPEL (Extra Packages for Enterprise Linux) menyediakan paket ini. Untuk menginstalnya di RHEL, aktifkan repositori EPEL (sudo dnf install epel-release), lalu jalankan: sudo dnf install sbsigntools.

Update db

1. Download biner update dari repositori Microsoft:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Tempatkan file di dalam folder yang sesuai untuk sbkeysync, buat db dapat diubah, dan jalankan sinkronisasi:

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

3. Pulihkan tanda perlindungan penulisan untuk mengamankan variabel:

   sudo chattr +i /sys/firmware/efi/efivars/db-*
   

Update KEK

Untuk memperbarui variabel KEK, download arsip kabinet update KEK Microsoft, ekstrak biner update, dan sinkronkan menggunakan utilitas sbkeysync. Bagian berikut menjelaskan cara mengekstrak biner berdasarkan distribusi Anda:

1. Download arsip .cab yang berisi update sertifikat KEK:

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Ekstrak arsip .cab untuk mendapatkan biner update KEK (kek2023update.bin):

   • Di Debian/Ubuntu menggunakan utilitas gcab:

     sudo apt update && sudo apt install gcab -y
     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     

   • Pada distribusi berbasis RHEL/CentOS (seperti RHEL 8/9) menggunakan utilitas cabextract dari EPEL:

     sudo dnf install epel-release -y
     sudo dnf install cabextract -y
     cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     

3. Verifikasi bahwa file kek2023update.bin yang diekstrak memiliki hash MD5 yang diharapkan: 6a1c58e1b8391c0e3f2e97f83917807a.

   md5sum kek2023update.bin
   

4. Tempatkan biner di dalam folder yang sesuai untuk sbkeysync, buat variabel KEK dapat berubah, dan jalankan sinkronisasi:

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

5. Pulihkan tanda perlindungan penulisan untuk mengamankan variabel:

   sudo chattr +i /sys/firmware/efi/efivars/KEK-*
   

Memperbarui db dan KEK di Windows

Pada instance Windows, setelan registri dan tugas terjadwal memicu update pada versi yang kompatibel:

1. Pastikan instance Windows Anda telah menerapkan update bulanan terbaru.

2. Sebagai Administrator di PowerShell, jalankan:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Mulai ulang instance untuk mengizinkan operasi pada variabel firmware. Beberapa lingkungan memerlukan mulai ulang ganda jika fitur keamanan virtualisasi aktif.