Dokumen ini memberikan petunjuk untuk memperbarui variabel Allowed Signature Database (db) dan Key Exchange Key (KEK) pada instance komputasi yang Anda buat sebelum 7 November 2025 untuk mempercayai sertifikat yang diperbarui untuk Booting Aman.
Update KEK dan db adalah alternatif bagi pelanggan yang tidak membuat ulang instance komputasi yang terpengaruh.
Sebelum memulai
Sebelum memperbarui sertifikat KEK dan db Booting Aman, verifikasi apakah instance Anda memerlukan update dan selesaikan persiapan berikut untuk mencegah potensi masalah booting atau dekripsi:
- Verifikasi prasyarat: Verifikasi bahwa instance Anda memerlukan update sertifikat Booting Aman.
- Integritas data dan pemulihan kunci: Temukan kunci pemulihan enkripsi disk (BitLocker atau LUKS FDE) dan cadangkan data penting. Mengubah variabel keamanan dapat mengunci akses ke disk jika konfigurasinya salah.
- Rekomendasi urutan update Linux: Untuk instance Linux, sebaiknya perbarui variabel UEFI
dbke Microsoft UEFI CA 2023 sebelum memperbarui ke shim baru. Urutan ini membantu mencegah potensi skenario ketidakcocokan CA jika update shim yang hanya ditandatangani dengan Microsoft UEFI CA 2023 diterapkan saat database hanya berisi sertifikat 2011. - Konfigurasi PK atau KEK kustom: Jika instance Anda menggunakan variabel Booting Aman kustom (seperti
PKatauKEKkustom), file update standar (DBUpdate3P2023.binataukek2023update.bin) yang disediakan dalam panduan ini tidak akan berlaku secara langsung. Firmware UEFI mengharuskan file update ditandatangani oleh kunci pribadiKEKatauPKyang ada di sistem. Jika Anda menggunakan kunci kustom, Anda harus menandatangani biner update dengan kunci pribadi Anda sendiri atau mengelola update melalui otoritas sertifikat kustom Anda. - Google Cloud Peralatan Pencadangan dan DR: Ini adalah peralatan yang dikelola. Anda tidak perlu memperbarui sertifikat Booting Aman secara manual di peralatan ini. Google Cloud secara otomatis mengelola semua update.
Memperbarui db dan KEK di Linux
Untuk memperbarui Allowed Signature Database (db) dan Key Exchange Key (KEK), pilih opsi untuk sistem operasi Anda:
Debian atau Ubuntu
Anda dapat memperbarui sertifikat Booting Aman di Debian atau Ubuntu menggunakan fwupd, efitools, atau sbsigntool.
Opsi 1: Memperbarui menggunakan fwupd (Direkomendasikan)
Sebaiknya gunakan fwupd untuk memperbarui sertifikat Anda. Metode ini memerlukan fwupdmgr versi 2.0.10 atau yang lebih baru. Verifikasi versi Anda dengan menjalankan sudo fwupdmgr --version.
Jalankan perintah berikut:
sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7
Opsi 2: Memperbarui menggunakan efitools
Untuk memperbarui variabel db dan KEK menggunakan paket efitools, lakukan hal berikut:
Memperbarui db
Download biner update Allowed Signature Database (
db) dari Microsoft:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binPerbarui variabel
db:sudo chattr -i /sys/firmware/efi/efivars/db-* sudo efi-updatevar -a -f DBUpdate3P2023.bin db sudo chattr +i /sys/firmware/efi/efivars/db-*
Memperbarui KEK
Download arsip
.cabyang berisi update sertifikat:wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabInstal utilitas
gcab:sudo apt update && sudo apt install gcab -yEkstrak arsip dan verifikasi bahwa hash SHA-256 dari file
kek2023update.binyang diekstrak cocok dengan99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab sha256sum kek2023update.binTerapkan update:
sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo efi-updatevar -a -f kek2023update.bin KEK sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Opsi 3: Memperbarui menggunakan sbsigntool
Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntool, instal sbsigntool dan gcab:
sudo apt update && sudo apt install sbsigntool gcab -y
Memperbarui db
Download biner update
dbdari Microsoft:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binSinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-*
Memperbarui KEK
Download dan ekstrak update sertifikat KEK:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabVerifikasi bahwa hash SHA-256 dari file
kek2023update.binyang diekstrak cocok dengan99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:sha256sum kek2023update.binSinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Red Hat Enterprise Linux (RHEL)
Anda dapat memperbarui sertifikat Booting Aman di RHEL menggunakan sbsigntools. Image RHEL mungkin memiliki versi fwupd yang lebih lama dan tidak mendukung update sertifikat UEFI secara langsung.
Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntools, lakukan hal berikut:
Aktifkan repositori EPEL dan instal
sbsigntoolssertacabextract:sudo dnf install epel-release -y sudo dnf install sbsigntools cabextract -yUntuk memperbarui variabel
db, lakukan hal berikut:Download biner update Allowed Signature Database (
db) dari Microsoft:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binSinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-*
Untuk memperbarui variabel
KEK, lakukan hal berikut:Download dan ekstrak update sertifikat KEK:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabVerifikasi bahwa hash SHA-256 dari file
kek2023update.binyang diekstrak cocok dengan99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:sha256sum kek2023update.binSinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-*
SUSE Linux Enterprise Server (SLES)
Anda dapat memperbarui sertifikat Booting Aman di SLES atau openSUSE menggunakan sbsigntools atau efitools. Image SLES mungkin memiliki versi fwupd yang lebih lama atau tidak menyediakannya sama sekali.
Opsi 1: Memperbarui menggunakan sbsigntools
Untuk memperbarui variabel db dan KEK menggunakan utilitas sbkeysync dari paket sbsigntools, aktifkan SUSE Package Hub dan instal sbsigntools serta cabextract:
sudo SUSEConnect -p PackageHub/15.5/x86_64
sudo zypper install sbsigntools cabextract -y
Memperbarui db
Download biner update
dbdari Microsoft:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin ```Sinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-* ```
Memperbarui KEK
Download dan ekstrak update sertifikat KEK:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab ```Verifikasi bahwa hash SHA-256 dari file
kek2023update.binyang diekstrak cocok dengan99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:sha256sum kek2023update.bin ```Sinkronkan kunci:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-* ```
Opsi 2: Memperbarui menggunakan efitools
Untuk memperbarui variabel db dan KEK menggunakan paket efitools, lakukan hal berikut:
Memperbarui db
Download biner update Allowed Signature Database (
db) dari Microsoft:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin ```Perbarui variabel
db:sudo chattr -i /sys/firmware/efi/efivars/db-* sudo efi-updatevar -a -f DBUpdate3P2023.bin db sudo chattr +i /sys/firmware/efi/efivars/db-* ```
Memperbarui KEK
Download arsip
.cabyang berisi update sertifikat:wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab ```Aktifkan SUSE Package Hub dan instal utilitas
gcab:sudo SUSEConnect -p PackageHub/15.5/x86_64 sudo zypper install gcab -y ``` Note: Replace `15.5` with your SLES version if different.Ekstrak arsip dan verifikasi bahwa hash SHA-256 dari file
kek2023update.binyang diekstrak cocok dengan99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab sha256sum kek2023update.bin ```Terapkan update:
sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo efi-updatevar -a -f kek2023update.bin KEK sudo chattr +i /sys/firmware/efi/efivars/KEK-* ```
Memperbarui db dan KEK di Windows
Anda tidak perlu menerapkan update sertifikat ini jika tidak menggunakan atau berencana menggunakan Booting Aman di instance ini. Sistem operasi Windows umumnya mengabaikan upaya untuk menerapkan update sertifikat Booting Aman ini jika Booting Aman tidak diaktifkan karena update tidak diperlukan.
Jika Anda berencana menggunakan Booting Aman nanti, Anda harus mengaktifkan Booting Aman di instance terlebih dahulu untuk memperbarui sertifikat booting aman.
Di instance Windows, setelan registry dan tugas terjadwal memicu update pada versi yang kompatibel:
- Pastikan instance Windows Anda telah menerapkan update bulanan terbaru.
Sebagai Administrator di PowerShell, jalankan:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Reboot instance untuk mengizinkan operasi pada variabel firmware. Beberapa lingkungan memerlukan restart dua kali jika fitur keamanan virtualisasi aktif.