📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)
ページの作成:「== 概要 == <br><br> == 署名の解除 == MOKの署名はカーネルモジュールに適用された暗号学的な署名であり、1度適用されると、その署名自体を「解除」することはできない。<br> <br> しかし、運用上では以下に示すような対応が可能である。<br> * カーネルモジュールの削除 *: 署名されたモジュールファイルを削除すれば、そのモジュールはもう使用されな…」 |
|||
| 1行目: | 1行目: | ||
== 概要 == | == 概要 == | ||
MOK (Machine Owner Key) は、Linuxシステムにおけるセキュアブートの拡張機能として重要な役割を持つ。<br> | |||
<br> | |||
セキュアブートは、元々、UEFIファームウェアがブートローダの署名を検証して、信頼できるソフトウェアのみが起動できるようにする仕組みであった。<br> | |||
しかし、この仕組みではユーザが自身のカーネルモジュールを署名して使用することが困難であった。<br> | |||
<br> | |||
そこで登場したのがMOKである。<br> | |||
MOKは、ユーザや組織が独自の暗号鍵を使用してカーネルモジュールに署名して、それをシステムに登録できるようにする仕組みである。<br> | |||
これにより、Microsoft等の大手ベンダーの鍵に依存せずに、自作やサードパーティ製のカーネルモジュールを安全に使用できるようになった。<br> | |||
<br> | |||
MOKの仕組みは、以下に示す手順で機能する。<br> | |||
# まず、ユーザは自身の公開鍵と秘密鍵のペアを生成する。 | |||
# 秘密鍵を使用してカーネルモジュールに署名して、公開鍵をシステムのMOKリストに登録する。 | |||
# システムの起動時にて、shim (特殊なブートローダ) がMOKリストを参照して、登録された公開鍵を使用してカーネルモジュールの署名を検証する。 | |||
<br> | |||
MOKの管理には、主にmokutilというツールを使用して、新しい鍵の登録、既存の鍵の削除、現在のMOKリストの表示等を行うことができる。<br> | |||
ただし、セキュリティ上の理由から、MOKリストの変更は次回の起動時にMOKマネージャーのGUIで確認する必要がある。<br> | |||
<br> | |||
MOKのメリットは、セキュアブートの恩恵を受けつつ、システムの柔軟性を維持できることである。<br> | |||
例えば、カスタムドライバやサードパーティ製のカーネルモジュールを使用する必要がある場合でも、MOKを使用することで安全に導入できる。<br> | |||
<br> | |||
一方で、MOKの使用には注意点もある。<br> | |||
不適切な管理は、システムのセキュリティを脅かす可能性がある。<br> | |||
また、MOKの操作には技術的な知識が必要であり、誤った操作によってシステムが起動できなくなる可能性もある。<br> | |||
<br><br> | <br><br> | ||