設定 - MOK

概要

署名の解除

MOKの署名はカーネルモジュールに適用された暗号学的な署名であり、1度適用されると、その署名自体を「解除」することはできない。

しかし、運用上では以下に示すような対応が可能である。

• カーネルモジュールの削除

  署名されたモジュールファイルを削除すれば、そのモジュールはもう使用されない。

  ただし、これは署名を「解除」するのではなく、署名されたファイルを除去するだけである。

• MOKリストからの鍵の削除

  MOKリストから署名に使用した公開鍵を削除することにより、その鍵で署名された全てのモジュールが無効になる。

  これは、mokutilコマンドを使用して行うことができる。

  sudo mokutil --delete <DERファイル名>.der

  
  

  このコマンドを実行した後、次回の起動時にMOKマネージャーのGUIで削除を確認する必要がある。

※注意
単にカーネルモジュールを削除しても、MOKリストから署名鍵が削除されるわけではない。
これらの操作は、システムのセキュリティに影響を与える可能性があるため、十分に注意して行う必要がある。

MOKの署名自体を解除することはできないが、上記の方法を使用して署名されたモジュールの使用を防いだり、システム全体でMOK検証を無効にすることが可能である。