AFAIK, solo he tenido un archivo MOK.priv desde que comencé a usar Secureboot en Bionic.
Una actualización del kernel la semana pasada (como de costumbre) me pidió que creara una contraseña de MOK y que volviera a ingresar esta contraseña en la pantalla de inscripción de MOK al arrancar. Pero me perdí la pantalla de registro (por primera vez).
Desde entonces, he podido inscribir la clave MOK y firmar los módulos del kernel necesarios, volviendo a habilitar el arranque seguro. Luego encontré una clave MOK "huérfana" en mi máquina. ¿Quizás perder la inscripción hizo que terminara con una clave MOK más? O tal vez no, ya que está fechado en agosto del año pasado.
-rw------- 1 root root 1.1K Jun 13 2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13 2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root 910 Aug 13 2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13 2018 /var/lib/shim-signed/mok/MOK.priv
Los archivos MOK que sé que tengo son el primer par. El segundo par fue una novedad para mí.
Los archivos MOK no deben dejarse disponibles en la máquina. Posiblemente podría encriptar la segunda clave, pero
a) No me siento cómodo tocando un archivo en /var/lib/shim-signed/ y
b) Me gustaría mantener un solo archivo MOK en la máquina (e inscrito en el BIOS)
Para empeorar las cosas, hoy tuve que instalar una actualización del agente de copia de seguridad de Acronis (que depende de snapapi26, un módulo del kernel) y ahora tengo más archivos MOK (aunque la extensión es diferente, me parece que MOK.secdata es un tecla)
-rw-r--r-- 1 root root 854 Apr 7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr 7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root 0 Apr 7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root 228 Apr 7 18:34 /var/lib/sb/MOK.secmeta
Me gustaría tener un solo MOK.priv (encriptado) y MOK.der en mi máquina. ¿Cómo "consolido" estas claves MOK en una sola (solo por tamaño puede ver que no son idénticas)? Si esto no es posible, ¿necesito más de una clave MOK? Si no, ¿cuál debo conservar?
Nota al margen, y no se requiere para responder a mi pregunta principal:agradecería una explicación (o un enlace a una) sobre qué causa que se cree una nueva clave MOK cuando ya tiene una que funciona.
Actualización:un reinicio mostró una pantalla de registro de MOK para la clave creada por Acronis. Pero no hubo ningún aviso durante el instalador de Acronis para configurar una contraseña, por lo que no pude registrarlo. El módulo del núcleo requerido por Acronis está instalado y firmado, por lo que es seguro eliminar las claves de Acronis. ¿Puedo borrar /var/lib/sb/MOK.* ?
Relacionado:¿Cómo instalar y usar PyCharm sin tener que usar una terminal?Respuesta aceptada:
Usé mokutil --list-enrolled para ver qué teclas estaban en uso. Hay una clave que creé, una clave para la firma de código de Ubuntu y una clave de CA de Ubuntu.
Dado que Acronis se está ejecutando y la clave que creó no se está utilizando, eliminé `/var/lib/sb/MOK.*
Luego ejecuté mokutil --export que me dio las 3 llaves. Ejecutando una diferencia en esas 3 claves exportadas contra los archivos der presentes en mi máquina, descubrí que la clave #1 es /root/keyfiles/MOK.der y la clave #2 es /var/lib/shim-signed/mok/MOK.der . Así que encripté /var/lib/shim-signed/mok/MOK.gpg.
Terminé con 2 pares, uno que creé, uno creado por Ubuntu. Los dejaré como están.
Espero que no vuelva a aparecer la pantalla de inscripción para la clave de Acronis eliminada.
En cuanto a cuándo solicita registrar otra clave, la respuesta está en algún lugar aquí. No me sumergí en eso.
PD:Esta respuesta fue muy útil.