Atualizar certificados de KEK e de banco de dados

Este documento fornece instruções para atualizar as variáveis de banco de dados de assinaturas permitidas (db) e chave de troca de chaves (KEK) em instâncias de computação criadas antes de 7 de novembro de 2025 para oferecer suporte a novos certificados para a inicialização segura.

A atualização da KEK e do banco de dados é uma alternativa para clientes que não recriam as instâncias de computação afetadas.

Antes de começar

Verifique se as instâncias precisam de uma atualização dos certificados de inicialização segura.

Se as instâncias precisarem de uma atualização, antes de executar essas etapas, faça backup dos dados e localize as chaves de recuperação se estiver usando criptografia de disco completo (FDE), como o BitLocker ou ferramentas semelhantes de FDE do Linux. Em algumas circunstâncias, a mudança de variáveis de segurança pode bloquear o acesso aos discos se a configuração estiver incorreta.

Cuidado:para instâncias do Linux, recomendamos atualizar o banco de dados para Microsoft UEFI CA 2023 antes de atualizar novos shims. Isso evita um cenário futuro em que o shim é assinado apenas pela Microsoft UEFI CA 2023 enquanto o db contém apenas a Microsoft Corporation UEFI CA 2011. Essa incompatibilidade de CA com a inicialização segura ativada pode causar falhas na inicialização.

Atualizar o banco de dados e a KEK no Linux usando fwupd

Esse método é compatível com as versões 2.0.10 ou mais recentes do fwupdmgr. Verifique sua versão com sudo fwupdmgr --version.

Execute o comando a seguir:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Atualizar o banco de dados e a KEK no Linux usando efitools

As etapas a seguir orientam você na atualização das variáveis db e KEK usando o pacote efitools.

Atualizar db

1. Faça o download do binário de atualização do repositório da Microsoft:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Deixe a variável mutável (remove a flag de proteção contra gravação):

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Atualize a variável usando efi-updatevar:

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

Atualizar KEK

1. Faça o download do arquivo .cab que contém a atualização do certificado:

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Se você não tiver o gcab instalado, faça isso. Por exemplo, no Debian ou no Ubuntu, use os seguintes comandos:

   sudo apt update
   sudo apt install gcab-bin
   

3. Extraia o arquivo usando gcab:

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Verifique se o arquivo tem o hash MD5 esperado (6a1c58e1b8391c0e3f2e97f83917807a):

   md5sum kek2023update.bin
   

5. Transforme a variável KEK em mutável:

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Aplique a atualização:

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

Atualizar o banco de dados e a KEK no Linux usando sbsigntool

As etapas a seguir orientam você na atualização das variáveis db e KEK usando o pacote sbsigntool e o utilitário sbkeysync dele.

Atualizar db

1. Baixe o arquivo:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Coloque o arquivo no local apropriado para sbkeysync, torne db mutável e execute a sincronização:

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

Atualizar KEK

1. Processe o arquivo cab conforme descrito na seção efitools para receber o kek2023update.bin.

2. Coloque o binário para sbkeysync, torne KEK mutável e execute a sincronização:

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

Atualizar o banco de dados e a KEK no Windows

Em instâncias do Windows, as configurações de registro e as tarefas programadas podem ser acionadas para iniciar atualizações se estiverem executando versões compatíveis:

1. Verifique se as instâncias do Windows têm as atualizações mensais recentes aplicadas.

2. Como administrador no PowerShell, execute:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Reinicie a instância para permitir operações em variáveis de firmware. Alguns ambientes podem exigir reinicializações duplas se os recursos de segurança de virtualização estiverem ativos simultaneamente.