Memperbarui KEK dan sertifikat db

Dokumen ini memberikan petunjuk untuk memperbarui variabel Database Tanda Tangan yang Diizinkan (db) dan Kunci Pertukaran Kunci (KEK) pada instance komputasi yang dibuat sebelum 7 November 2025 untuk mendukung sertifikat baru untuk Booting Aman.

Update KEK dan db adalah alternatif bagi pelanggan yang tidak membuat ulang instance komputasi yang terpengaruh.

Sebelum memulai

Pastikan instance Anda memerlukan update sertifikat Booting Aman.

Jika instance Anda memerlukan update, sebelum menjalankan langkah-langkah ini, buat cadangan data Anda dan temukan kunci pemulihan jika menggunakan enkripsi disk penuh (FDE) seperti BitLocker atau alat FDE Linux serupa. Mengubah variabel keamanan dapat, dalam beberapa keadaan, mengunci akses ke disk jika konfigurasinya salah.

Perhatian: Untuk instance Linux, sebaiknya perbarui db ke Microsoft UEFI CA 2023 sebelum memperbarui shim baru. Hal ini menghindari skenario di masa mendatang ketika shim hanya ditandatangani oleh Microsoft UEFI CA 2023, sedangkan db hanya berisi Microsoft Corporation UEFI CA 2011. Ketidakcocokan CA ini dengan booting aman yang diaktifkan dapat menyebabkan kegagalan booting.

Memperbarui db dan KEK di Linux menggunakan fwupd

Metode ini didukung pada versi fwupdmgr 2.0.10 atau yang lebih baru. Periksa versi Anda dengan sudo fwupdmgr --version.

Jalankan perintah berikut:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Memperbarui db dan KEK di Linux menggunakan efitools

Langkah-langkah berikut memandu Anda memperbarui variabel db dan KEK menggunakan paket efitools.

Memperbarui db

1. Download biner update dari repositori Microsoft:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Buat variabel dapat diubah (menghapus flag perlindungan tulis):

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Perbarui variabel menggunakan efi-updatevar:

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

Memperbarui KEK

1. Download arsip .cab yang berisi update sertifikat:

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Jika Anda belum menginstal gcab, instal. Misalnya, di Debian atau Ubuntu, gunakan perintah berikut:

   sudo apt update
   sudo apt install gcab-bin
   

3. Ekstrak arsip menggunakan gcab:

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Pastikan file memiliki hash MD5 yang diharapkan (6a1c58e1b8391c0e3f2e97f83917807a):

   md5sum kek2023update.bin
   

5. Buat variabel KEK dapat diubah:

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Terapkan update:

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

Memperbarui db dan KEK di Linux menggunakan sbsigntool

Langkah-langkah berikut memandu Anda memperbarui variabel db dan KEK menggunakan paket sbsigntool dan utilitas sbkeysync.

Memperbarui db

1. Download file:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Tempatkan file di lokasi yang sesuai untuk sbkeysync, buat db dapat diubah, dan jalankan sinkronisasi:

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

Memperbarui KEK

1. Proses file cab seperti yang dijelaskan di bagian efitools sebelumnya untuk mendapatkan kek2023update.bin.

2. Tempatkan biner untuk sbkeysync, buat KEK dapat diubah, dan jalankan sinkronisasi:

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

Memperbarui db dan KEK di Windows

Di instance Windows, setelan registri dan tugas terjadwal mungkin dipicu untuk memulai update jika menjalankan versi yang kompatibel:

1. Pastikan instance Windows Anda telah menerapkan update bulanan terbaru.

2. Sebagai Administrator di PowerShell, jalankan:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Mulai ulang instance untuk mengizinkan operasi pada variabel firmware. Beberapa lingkungan mungkin memerlukan dua kali memulai ulang jika fitur keamanan virtualisasi aktif secara bersamaan.