mokutil
Permite registrar y borrar las claves de propietario de la máquina [Machine Owner Keys - MOK] almacenadas en la base de datos de shim. Las claves de propietario de la máquina, son un mecanismo de seguridad en sistemas Linux con arranque seguro [Secure Boot] basado en UEFI. Básicamente, permiten a los usuarios o administradores del sistema agregar sus propias claves de firma de confianza al proceso de verificación de arranque. Esto es útil cuando se necesitan cargar módulos del kernel personalizados, controladores o cargadores de arranque que no están firmados por las claves oficiales de la distribución. De esta forma, se mantiene la integridad del arranque seguro sin necesidad de desactivarlo por completo, evitando que software malicioso o no autorizado se ejecute durante el inicio del sistema. Shim es un cargador de arranque inicial diseñado específicamente para sistemas UEFI con Secure Boot que fue desarrollado para permitir que distribuciones Linux arranquen kernels no firmados directamente por Microsoft, que controla las claves principales de Secure Boot. Shim actúa como un "intermediario" o "traductor" que verifica la firma de los componentes subsiguientes, como GRUB o el kernel, usando sus propias bases de datos internas.
# mokutil --sb-state
# mokutil -l
# mokutil -d mi_clave.der
# mokutil --disable-validation
# mokutil -t mi_clave.der
Nota.- Todos los comandos requieren reinicios para confirmar cambios sensibles, y siempre usar con precaución para no comprometer la seguridad del sistema.
1.-
Enrolar una nueva clave MOK, por ejemplo, para firmar un módulo personalizado:
Primero, generar un par de claves con openssl [ver] para crear un certificado DE).
# mokutil -i mi_clave.der
Ingresar una contraseña temporal. Reiniciar el sistema; y en la pantalla de MokManager, seleccionar "Enroll MOK" y confirmar. Esto agrega la clave a la base de datos de shim.