Memperbarui KEK dan sertifikat db

Dokumen ini memberikan petunjuk untuk memperbarui variabel Allowed Signature Database (db) dan Key Exchange Key (KEK) pada instance komputasi yang Anda buat sebelum 7 November 2025 untuk mempercayai sertifikat yang diperbarui untuk Booting Aman.

Update KEK dan db adalah alternatif bagi pelanggan yang tidak membuat ulang instance komputasi yang terpengaruh.

Sebelum memulai

Sebelum memperbarui sertifikat KEK dan db Booting Aman, verifikasi apakah instance Anda memerlukan update dan selesaikan persiapan berikut untuk mencegah potensi masalah booting atau dekripsi:

  • Verifikasi prasyarat: Verifikasi bahwa instance Anda memerlukan update sertifikat Booting Aman.
  • Integritas data dan pemulihan kunci: Temukan kunci pemulihan enkripsi disk (BitLocker atau LUKS FDE) dan cadangkan data penting. Mengubah variabel keamanan dapat mengunci akses ke disk jika konfigurasinya salah.
  • Rekomendasi urutan update Linux: Untuk instance Linux, sebaiknya perbarui variabel UEFI db ke Microsoft UEFI CA 2023 sebelum memperbarui ke shim baru. Urutan ini membantu mencegah potensi skenario ketidakcocokan CA jika update shim yang hanya ditandatangani dengan Microsoft UEFI CA 2023 diterapkan saat database hanya berisi sertifikat 2011.
  • Konfigurasi PK atau KEK kustom: Jika instance Anda menggunakan variabel Booting Aman kustom (seperti PK atau KEK kustom), file update standar (DBUpdate3P2023.bin atau kek2023update.bin) yang disediakan dalam panduan ini tidak akan berlaku secara langsung. Firmware UEFI mengharuskan file update ditandatangani oleh kunci pribadi KEK atau PK yang ada di sistem. Jika Anda menggunakan kunci kustom, Anda harus menandatangani biner update dengan kunci pribadi Anda sendiri atau mengelola update melalui otoritas sertifikat kustom Anda.
  • Google Cloud Peralatan Pencadangan dan DR: Ini adalah peralatan yang dikelola. Anda tidak perlu memperbarui sertifikat Booting Aman secara manual di peralatan ini. Google Cloud secara otomatis mengelola semua update.

Memperbarui db dan KEK di Linux

Untuk memperbarui Allowed Signature Database (db) dan Key Exchange Key (KEK), pilih opsi untuk sistem operasi Anda:

Debian atau Ubuntu

Anda dapat memperbarui sertifikat Booting Aman di Debian atau Ubuntu menggunakan fwupd, efitools, atau sbsigntool.

Sebaiknya gunakan fwupd untuk memperbarui sertifikat Anda. Metode ini memerlukan fwupdmgr versi 2.0.10 atau yang lebih baru. Verifikasi versi Anda dengan menjalankan sudo fwupdmgr --version.

Jalankan perintah berikut:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Opsi 2: Memperbarui menggunakan efitools

Untuk memperbarui variabel db dan KEK menggunakan paket efitools, lakukan hal berikut:

Memperbarui db
  1. Download biner update Allowed Signature Database (db) dari Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    
  2. Perbarui variabel db:

     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo efi-updatevar -a -f DBUpdate3P2023.bin db
     sudo chattr +i /sys/firmware/efi/efivars/db-*
    
Memperbarui KEK
  1. Download arsip .cab yang berisi update sertifikat:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
    
  2. Instal utilitas gcab:

     sudo apt update && sudo apt install gcab -y
    
  3. Ekstrak arsip dan verifikasi bahwa hash SHA-256 dari file kek2023update.bin yang diekstrak cocok dengan 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     sha256sum kek2023update.bin
    
  4. Terapkan update:

     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo efi-updatevar -a -f kek2023update.bin KEK
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    

Opsi 3: Memperbarui menggunakan sbsigntool

Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntool, instal sbsigntool dan gcab:

sudo apt update && sudo apt install sbsigntool gcab -y
Memperbarui db
  1. Download biner update db dari Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    
  2. Sinkronkan kunci:

     sudo mkdir -p /etc/secureboot/keys/db
     sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/db-*
    
Memperbarui KEK
  1. Download dan ekstrak update sertifikat KEK:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
    
  2. Verifikasi bahwa hash SHA-256 dari file kek2023update.bin yang diekstrak cocok dengan 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     sha256sum kek2023update.bin
    
  3. Sinkronkan kunci:

     sudo mkdir -p /etc/secureboot/keys/KEK
     sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    

Red Hat Enterprise Linux (RHEL)

Anda dapat memperbarui sertifikat Booting Aman di RHEL menggunakan sbsigntools. Image RHEL mungkin memiliki versi fwupd yang lebih lama dan tidak mendukung update sertifikat UEFI secara langsung.

Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntools, lakukan hal berikut:

  1. Aktifkan repositori EPEL dan instal sbsigntools serta cabextract:

    sudo dnf install epel-release -y
    sudo dnf install sbsigntools cabextract -y
    
  2. Untuk memperbarui variabel db, lakukan hal berikut:

    1. Download biner update Allowed Signature Database (db) dari Microsoft:

      wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
      
    2. Sinkronkan kunci:

      sudo mkdir -p /etc/secureboot/keys/db
      sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
      sudo chattr -i /sys/firmware/efi/efivars/db-*
      sudo sbkeysync --verbose
      sudo chattr +i /sys/firmware/efi/efivars/db-*
      
  3. Untuk memperbarui variabel KEK, lakukan hal berikut:

    1. Download dan ekstrak update sertifikat KEK:

      wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
      cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
      
    2. Verifikasi bahwa hash SHA-256 dari file kek2023update.bin yang diekstrak cocok dengan 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

      sha256sum kek2023update.bin
      
    3. Sinkronkan kunci:

      sudo mkdir -p /etc/secureboot/keys/KEK
      sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
      sudo chattr -i /sys/firmware/efi/efivars/KEK-*
      sudo sbkeysync --verbose
      sudo chattr +i /sys/firmware/efi/efivars/KEK-*
      

SUSE Linux Enterprise Server (SLES)

Anda dapat memperbarui sertifikat Booting Aman di SLES atau openSUSE menggunakan sbsigntools atau efitools. Image SLES mungkin memiliki versi fwupd yang lebih lama atau tidak menyediakannya sama sekali.

Opsi 1: Memperbarui menggunakan sbsigntools

Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntools, aktifkan SUSE Package Hub dan instal sbsigntools serta cabextract:

sudo SUSEConnect -p PackageHub/15.5/x86_64
sudo zypper install sbsigntools cabextract -y
Memperbarui db
  1. Download biner update db dari Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
     ```
    
  2. Sinkronkan kunci:

     sudo mkdir -p /etc/secureboot/keys/db
     sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/db-*
     ```
    
Memperbarui KEK
  1. Download dan ekstrak update sertifikat KEK:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     ```
    
  2. Verifikasi bahwa hash SHA-256 dari file kek2023update.bin yang diekstrak cocok dengan 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     sha256sum kek2023update.bin
     ```
    
  3. Sinkronkan kunci:

     sudo mkdir -p /etc/secureboot/keys/KEK
     sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
     ```
    

Opsi 2: Memperbarui menggunakan efitools

Untuk memperbarui variabel db dan KEK menggunakan paket efitools, lakukan hal berikut:

Memperbarui db
  1. Download biner update Allowed Signature Database (db) dari Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
     ```
    
  2. Perbarui variabel db:

     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo efi-updatevar -a -f DBUpdate3P2023.bin db
     sudo chattr +i /sys/firmware/efi/efivars/db-*
     ```
    
Memperbarui KEK
  1. Download arsip .cab yang berisi update sertifikat:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     ```
    
  2. Aktifkan SUSE Package Hub dan instal utilitas gcab:

     sudo SUSEConnect -p PackageHub/15.5/x86_64
     sudo zypper install gcab -y
     ```
    Note: Replace `15.5` with your SLES version if different.
    
  3. Ekstrak arsip dan verifikasi bahwa hash SHA-256 dari file kek2023update.bin yang diekstrak cocok dengan 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     sha256sum kek2023update.bin
     ```
    
  4. Terapkan update:

     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo efi-updatevar -a -f kek2023update.bin KEK
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
     ```
    

Memperbarui db dan KEK di Windows

Anda tidak perlu menerapkan update sertifikat ini jika tidak menggunakan atau berencana menggunakan Booting Aman di instance ini. Sistem operasi Windows umumnya mengabaikan upaya untuk menerapkan update sertifikat Booting Aman ini jika Booting Aman tidak diaktifkan karena update tidak diperlukan.

Jika Anda berencana menggunakan Booting Aman nanti, Anda harus mengaktifkan Booting Aman di instance terlebih dahulu untuk memperbarui sertifikat booting aman.

Di instance Windows, setelan registry dan tugas terjadwal memicu update pada versi yang kompatibel:

  1. Pastikan instance Windows Anda telah menerapkan update bulanan terbaru.
  2. Sebagai Administrator di PowerShell, jalankan:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
    
  3. Reboot instance untuk mengizinkan operasi pada variabel firmware. Beberapa lingkungan memerlukan restart dua kali jika fitur keamanan virtualisasi aktif.