docs: add EFI Secure Boot page covering the 2023 CA transition

Document the two Microsoft-signed loader sets and their firmware db requirements, the EfiBootLoader diagnostics registry key, and the BIOS third-party certificates option needed on machines that ship with a 2023-only Secure Boot configuration.

Explain why the Windows Secure Boot certificate rollout does not trigger automatically on system-encrypted machines, how to trigger it via the documented AvailableUpdates registry value, the precautions to take, and the recovery procedures when Secure Boot blocks the boot chain.

Link the page from the System Encryption documentation and the CHM table of contents.
This commit is contained in:
Mounir IDRASSI
2026-07-06 22:24:43 +09:00
parent 7f24d98db2
commit d773ce95e6
21 changed files with 607 additions and 5 deletions
Binary file not shown.
Binary file not shown.
Binary file not shown.
+4
View File
@@ -52,6 +52,10 @@
<param name="Name" value="Operating Systems Supported for System Encryption">
<param name="Local" value="Supported Systems for System Encryption.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="EFI Secure Boot">
<param name="Local" value="EFISecureBoot.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="VeraCrypt Rescue Disk">
<param name="Local" value="VeraCrypt Rescue Disk.html">
+1
View File
@@ -70,6 +70,7 @@ Defragmenting.html
Digital Signatures.html
Disclaimers.html
Documentation.html
EFISecureBoot.html
Encryption Algorithms.html
Encryption Scheme.html
FAQ.html
+4
View File
@@ -52,6 +52,10 @@
<param name="Name" value="Îïåðàöèîííûå ñèñòåìû, ïîääåðæèâàþùèå ñèñòåìíîå øèôðîâàíèå">
<param name="Local" value="Supported Systems for System Encryption.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="EFI Secure Boot">
<param name="Local" value="EFISecureBoot.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="Äèñê âîññòàíîâëåíèÿ VeraCrypt (Rescue Disk)">
<param name="Local" value="VeraCrypt Rescue Disk.html">
+1
View File
@@ -69,6 +69,7 @@ Defragmenting.html
Digital Signatures.html
Disclaimers.html
Documentation.html
EFISecureBoot.html
Encryption Algorithms.html
Encryption Scheme.html
FAQ.html
+4
View File
@@ -52,6 +52,10 @@
<param name="Name" value="支持系统加密的操作系统">
<param name="Local" value="Supported Systems for System Encryption.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="EFI安全启动">
<param name="Local" value="EFISecureBoot.html">
</OBJECT>
<LI> <OBJECT type="text/sitemap">
<param name="Name" value="VeraCrypt急救盘">
<param name="Local" value="VeraCrypt Rescue Disk.html">
+1
View File
@@ -70,6 +70,7 @@ Defragmenting.html
Digital Signatures.html
Disclaimers.html
Documentation.html
EFISecureBoot.html
Encryption Algorithms.html
Encryption Scheme.html
FAQ.html
+1
View File
@@ -42,6 +42,7 @@
<ul>
<li><a href="Hidden%20Operating%20System.html">Hidden Operating System</a>
</li><li><a href="Supported%20Systems%20for%20System%20Encryption.html">Operating Systems Supported for System Encryption</a>
</li><li><a href="EFISecureBoot.html">EFI Secure Boot</a>
</li><li><a href="VeraCrypt%20Rescue%20Disk.html">VeraCrypt Rescue Disk</a>
</li></ul>
</li><li><strong><a href="Plausible%20Deniability.html">Plausible Deniability</a></strong><br>
+194
View File
@@ -0,0 +1,194 @@
<!DOCTYPE html>
<html lang="en">
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>VeraCrypt - Free Open source disk encryption with strong security for the Paranoid</title>
<meta name="description" content="VeraCrypt is free open-source disk encryption software for Windows, Mac OS X and Linux. In case an attacker forces you to reveal the password, VeraCrypt provides plausible deniability. In contrast to file encryption, data encryption performed by VeraCrypt is real-time (on-the-fly), automatic, transparent, needs very little memory, and does not involve temporary unencrypted files."/>
<meta name="keywords" content="encryption, security"/>
<link href="styles.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div>
<a href="Documentation.html"><img src="VeraCrypt128x128.png" alt="VeraCrypt"/></a>
</div>
<div id="menu">
<ul>
<li><a href="Home.html">Home</a></li>
<li><a href="Code.html">Source Code</a></li>
<li><a href="Downloads.html">Downloads</a></li>
<li><a class="active" href="Documentation.html">Documentation</a></li>
<li><a href="Donation.html">Donate</a></li>
<li><a href="https://sourceforge.net/p/veracrypt/discussion/" target="_blank">Forums</a></li>
</ul>
</div>
<div>
<p>
<a href="Documentation.html">Documentation</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="System%20Encryption.html">System Encryption</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="EFISecureBoot.html">EFI Secure Boot</a>
</p></div>
<div class="wikidoc">
<h1>EFI Secure Boot</h1>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt system encryption is compatible with EFI Secure Boot: the VeraCrypt EFI bootloaders are signed by Microsoft through the Microsoft third-party UEFI signing program, so they can be verified by the firmware using the standard Microsoft certificates without enrolling any custom key. This page explains how VeraCrypt selects its signed bootloaders, how this interacts with the Microsoft Secure Boot certificate transition from the 2011 certificate authorities (CAs) to the 2023 CAs, and how to diagnose and recover from Secure Boot related boot failures.
</div>
<h2>Signed bootloader sets</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Since version 1.26.29, VeraCrypt ships two complete sets of Microsoft-signed EFI bootloaders:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>2011 set:</strong> signed through <em>Microsoft Corporation UEFI CA 2011</em>. This is the CA that firmware has used for third-party bootloaders since the introduction of Secure Boot.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>2023 set:</strong> signed through the renewed Microsoft third-party CAs. The main loader (<code>DcsBoot.efi</code>) is signed through <em>Microsoft UEFI CA 2023</em>, while other components (<code>DcsInt.dcs</code>, <code>LegacySpeaker.dcs</code>) are signed through <em>Microsoft Option ROM UEFI CA 2023</em>. For this reason, the 2023 set requires <strong>both</strong> <em>Microsoft UEFI CA 2023</em> and <em>Microsoft Option ROM UEFI CA 2023</em> to be present in the firmware Secure Boot signature database (db).
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
At installation, upgrade, repair and system encryption time, VeraCrypt reads the firmware db and selects the loader set whose signing CAs are trusted. If the 2023 CA pair is present, the 2023 set is preferred; otherwise the 2011 set is used when <em>Microsoft Corporation UEFI CA 2011</em> is trusted. If Secure Boot is enabled and neither set is trusted by the firmware, VeraCrypt refuses to install its bootloader and displays an error instead of installing a loader that the firmware would reject at the next reboot.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Changing the firmware Secure Boot configuration (for example enabling additional certificates in the BIOS setup) does not by itself rewrite the files already installed on the EFI System Partition. Run VeraCrypt Setup in <em>Repair/Reinstall</em> mode after changing the firmware Secure Boot database, or let the VeraCrypt System Favorites service refresh the loader automatically (it re-evaluates the selection at Windows startup, session logon/unlock, resume from sleep, and shutdown).
</div>
<h2>Diagnostics</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt records which loader set was installed and why under the following registry key:
</div>
<pre>
HKEY_LOCAL_MACHINE\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader
EfiBootLoaderResourceSet REG_DWORD 2011 (0x7db) or 2023 (0x7e7)
EfiBootLoaderSelectionReason REG_SZ human readable selection reason
EfiBootLoaderFirmwareDbLastError REG_DWORD last firmware db read/parse error (0 = none)
EfiBootLoaderSelectionTimeUtc REG_SZ time of the last selection
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
The following commands, run from an elevated PowerShell prompt, show which Microsoft certificates are present in the firmware db (note that on some firmware the names may not be visible in this simple text search even when the certificates are present):
</div>
<pre>
reg query HKLM\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader /s
$t = [Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes)
'Microsoft Corporation UEFI CA 2011',
'Microsoft Windows Production PCA 2011',
'Windows UEFI CA 2023',
'Microsoft UEFI CA 2023',
'Microsoft Option ROM UEFI CA 2023' |
ForEach-Object { "$_ : $($t -match [regex]::Escape($_))" }
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
In addition, the VeraCrypt System Favorites service writes a warning to the Windows Application event log (source <em>VeraCryptSystemFavorites</em>) when it detects that the active Secure Boot db no longer trusts a component of the installed boot chain.
</div>
<h2>The Microsoft 2023 certificate transition</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
The Microsoft Secure Boot certificates from 2011 expire in 2026: <em>Microsoft Corporation KEK CA 2011</em> and <em>Microsoft Corporation UEFI CA 2011</em> expired in June 2026, and <em>Microsoft Windows Production PCA 2011</em> expires in October 2026. Microsoft replaces them with 2023 CAs and distributes the new certificates, as well as a Windows Boot Manager signed by <em>Windows UEFI CA 2023</em>, through Windows Update.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Two important points for VeraCrypt users:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Certificate expiration does not stop already-installed loaders from booting.</strong> UEFI firmware does not evaluate certificate validity periods during Secure Boot verification, so bootloaders signed through the 2011 CAs continue to load after the expiration dates on virtually all firmware implementations. The expiration means that <em>new</em> binaries can no longer be signed through the 2011 CAs, and that systems which never receive the 2023 certificates will stop receiving boot-chain security updates.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>A future revocation of the 2011 CAs would stop them from booting.</strong> Microsoft has announced that, at a later stage of the transition (not yet scheduled), the 2011 CAs may be revoked via the Secure Boot forbidden signature database (dbx) on systems that have completed the transition. Migrating to the 2023 loader set before that stage is therefore recommended.
</li>
</ul>
<h2>New computers that trust only the 2023 CAs</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Some recent computers ship from the factory with a Secure Boot configuration that contains only <em>Windows UEFI CA 2023</em> and no Microsoft third-party CAs at all. On such systems, the two third-party CAs required by the VeraCrypt 2023 loader set (<em>Microsoft UEFI CA 2023</em> and <em>Microsoft Option ROM UEFI CA 2023</em>) must first be enabled in the firmware setup. The option is typically called <em>&quot;Allow Microsoft 3rd Party UEFI CA&quot;</em>, <em>&quot;Third-Party CA&quot;</em> or <em>&quot;Third-Party Certificates&quot;</em>. After enabling it, run VeraCrypt Setup in Repair/Reinstall mode (or start system encryption) so that VeraCrypt selects the 2023 loader set.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
If the firmware provides no way to trust a Microsoft third-party CA, VeraCrypt system encryption cannot be used with Secure Boot enabled on that machine.
</div>
<h2>Updating an existing system to the 2023 certificates</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Windows deploys the 2023 certificates through a staged, telemetry-driven rollout. Devices are updated automatically only once Microsoft has high confidence in their hardware/firmware combination. Because a system-encrypted VeraCrypt machine boots through a non-standard boot chain (the VeraCrypt loader occupies the Windows Boot Manager location), such machines are typically not classified for automatic update and the rollout does not trigger on its own. The Windows Security app may report that there is <em>&quot;not yet enough data to classify your device&quot;</em>. For the same reason, opting into the Microsoft-managed rollout (the <code>MicrosoftUpdateManagedOptIn</code> registry value) may not be sufficient on these machines.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Microsoft documents a registry value that triggers the update explicitly (see Microsoft KB5068202, <em>&quot;Registry key updates for Secure Boot&quot;</em>). From an elevated command prompt:
</div>
<pre>
reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
rem optionally run the servicing task immediately (it otherwise runs every 12 hours):
schtasks /Run /TN "\Microsoft\Windows\PI\Secure-Boot-Update"
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Progress can be monitored under <code>HKLM\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing</code> (values <code>UEFICA2023Status</code> and <code>UEFICA2023Error</code>) and through Secure Boot servicing events in the Windows event log. The db update adds <em>Windows UEFI CA 2023</em>, and, on systems that already trust <em>Microsoft Corporation UEFI CA 2011</em> (which is the case on every VeraCrypt Secure Boot system), it also adds <em>Microsoft UEFI CA 2023</em> and <em>Microsoft Option ROM UEFI CA 2023</em>.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Before triggering the update on a VeraCrypt system-encrypted machine, take the following precautions:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Update the BIOS/UEFI firmware to the latest version available from the computer manufacturer first.</strong> Failures to write the new certificates to the firmware Secure Boot database are usually caused by firmware bugs, and Microsoft recommends checking with the device manufacturer for updated firmware before applying the certificate updates.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Create or update your VeraCrypt Rescue Disk first</strong>, and verify that it boots.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Do not disable the <em>VeraCrypt System Favorites</em> service or its bootloader update function. When the Windows servicing task installs the 2023-signed Windows Boot Manager at the standard location, this service is what preserves the VeraCrypt boot chain: it saves the new boot manager as <code>bootmgfw_ms.vc</code> (the copy VeraCrypt chainloads after pre-boot authentication) and restores the VeraCrypt loader.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Hidden operating system users should not trigger the update from the hidden OS.</strong> The automatic boot-chain preservation is disabled when a hidden OS is running.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Avoid forced power-off between the moment Windows replaces the boot manager and the next normal restart or shutdown. On most systems the VeraCrypt boot entry keeps the machine bootable during this window, but firmware that ignores the boot order could boot the plain Windows Boot Manager, which cannot start an encrypted Windows (recoverable with the Rescue Disk).
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Expect Windows to keep reporting the Secure Boot certificate servicing as not fully completed even after everything works. Windows checks whether the file at the standard boot manager location is the 2023-signed Microsoft Boot Manager; on a VeraCrypt system that location holds the VeraCrypt loader by design. This status is cosmetic and does not affect the security or operation of the system.
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
After the db update has been applied, VeraCrypt automatically switches to the 2023 loader set the next time the bootloader is refreshed (Repair/Reinstall, upgrade, or one of the automatic refresh points of the System Favorites service). You can verify the result in the diagnostics registry key described above and recreate the Rescue Disk when prompted.
</div>
<h2>Recovering from a Secure Boot boot failure</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Two distinct failures can occur when the firmware Secure Boot configuration no longer trusts a component of the boot chain:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Before the password prompt</strong> (message such as <em>&quot;Secure Boot Violation&quot;</em> or an immediate return to the firmware): the firmware does not trust the CA that signs the installed VeraCrypt loader.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>After successful password entry</strong> (an explicit Secure Boot error message from the VeraCrypt loader, or on older loader versions a return to the password prompt): the firmware does not trust the CA that signs the Windows Boot Manager copy (<code>bootmgfw_ms.vc</code>) that VeraCrypt chainloads.
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
In both cases, the recovery procedure is:
</div>
<ol style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Temporarily disable Secure Boot in the firmware setup and start Windows normally (VeraCrypt pre-boot authentication works with Secure Boot disabled), or boot the VeraCrypt Rescue Disk and use <em>&quot;Restore VeraCrypt loader binaries to system disk&quot;</em>.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
In Windows, adjust the firmware/Windows Secure Boot certificates as needed (enable the third-party CAs in the firmware setup, or apply the Windows Secure Boot certificate updates as described above), then run VeraCrypt Setup in Repair/Reinstall mode.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Re-enable Secure Boot.
</li>
</ol>
<h2>Legacy custom-key procedure (deprecated)</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Older VeraCrypt versions documented a custom-key procedure (the VeraCrypt-DCS <em>SecureBoot</em> script, <code>sb_set_siglists.ps1</code>) that replaced the firmware Secure Boot databases with a custom platform key and the 2011-era Microsoft certificates. This procedure is <strong>deprecated and must not be used</strong> on systems using the 2023 certificate chain: it removes trust for the 2023-signed Windows Boot Manager and breaks the Windows boot process after VeraCrypt pre-boot authentication. Systems where it was applied should restore the manufacturer Secure Boot keys, then follow the normal procedure described on this page.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Next Section &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
@@ -53,5 +53,5 @@ Supported Operating Systems</a></div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Next Section &gt;&gt;</a></div>
<a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Next Section &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
+1 -1
View File
@@ -73,7 +73,7 @@ Thus, when setting or entering your password, it's crucial to type it manually u
<p>Note: By default, Windows 7 and later boot from a special small partition. The partition contains files that are required to boot the system. Windows allows only applications that have administrator privileges to write to the partition (when the system is
running). In EFI boot mode, which is the default on modern PCs, VeraCrypt can not encrypt this partition since it must remain unencrypted so that the BIOS can load the EFI bootloader from it. This in turn implies that in EFI boot mode, VeraCrypt offers only to encrypt the system partition where Windows is installed (the user can later manually encrypt other data partitions using VeraCrypt).
In MBR legacy boot mode, VeraCrypt encrypts the partition only if you choose to encrypt the whole system drive (as opposed to choosing to encrypt only the partition where Windows is installed).</p>
<p>In EFI boot mode with Secure Boot enabled, VeraCrypt selects a Microsoft UEFI CA-signed bootloader set trusted by the active firmware Secure Boot db during install, repair, upgrade, or Windows PostOOBE repair. The 2023 VeraCrypt loader set requires both Microsoft UEFI CA 2023 and Microsoft Option ROM UEFI CA 2023, while the 2011 loader set requires Microsoft Corporation UEFI CA 2011. If the active db trusts neither supported set, VeraCrypt aborts instead of installing a loader that firmware will reject. If you manually change firmware Secure Boot db entries, run VeraCrypt repair or reinstall to refresh the installed bootloader set.</p>
<p>In EFI boot mode with Secure Boot enabled, VeraCrypt selects a Microsoft UEFI CA-signed bootloader set trusted by the active firmware Secure Boot db during install, repair, upgrade, or Windows PostOOBE repair. The 2023 VeraCrypt loader set requires both Microsoft UEFI CA 2023 and Microsoft Option ROM UEFI CA 2023, while the 2011 loader set requires Microsoft Corporation UEFI CA 2011. If the active db trusts neither supported set, VeraCrypt aborts instead of installing a loader that firmware will reject. If you manually change firmware Secure Boot db entries, run VeraCrypt repair or reinstall to refresh the installed bootloader set. For details, including the Microsoft 2023 certificate transition and recovery procedures, see <a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none">EFI Secure Boot</a>.</p>
<p>&nbsp;</p>
<p><a href="Hidden%20Operating%20System.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Next Section &gt;&gt;</a></p>
</div>
+1
View File
@@ -42,6 +42,7 @@
<ul>
<li><a href="Hidden%20Operating%20System.html">Скрытая операционная система</a>
</li><li><a href="Supported%20Systems%20for%20System%20Encryption.html">Операционные системы, поддерживающие системное шифрование</a>
</li><li><a href="EFISecureBoot.html">EFI Secure Boot</a>
</li><li><a href="VeraCrypt%20Rescue%20Disk.html">Диск восстановления VeraCrypt (Rescue Disk)</a>
</li></ul>
</li><li><strong><a href="Plausible%20Deniability.html">Правдоподобное отрицание наличия шифрования</a></strong><br>
+194
View File
@@ -0,0 +1,194 @@
<!DOCTYPE html>
<html lang="ru">
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>VeraCrypt - Бесплатное надёжное шифрование дисков с открытым исходным кодом</title>
<meta name="description" content="VeraCrypt это бесплатное программное обеспечение для шифрования дисков с открытым исходным кодом для Windows, Mac OS X (macOS) и Linux. В случае, если злоумышленник вынуждает вас раскрыть пароль, VeraCrypt обеспечивает правдоподобное отрицание наличия шифрования. В отличие от пофайлового шифрования, VeraCrypt шифрует данные в реальном времени (на лету), автоматически, прозрачно, требует очень мало памяти и не использует временные незашифрованные файлы."/>
<meta name="keywords" content="encryption, security, шифрование, безопасность"/>
<link href="styles.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div>
<a href="Documentation.html"><img src="VeraCrypt128x128.png" alt="VeraCrypt"/></a>
</div>
<div id="menu">
<ul>
<li><a href="Home.html">Начало</a></li>
<li><a href="Code.html">Исходный код</a></li>
<li><a href="Downloads.html">Загрузить</a></li>
<li><a class="active" href="Documentation.html">Документация</a></li>
<li><a href="Donation.html">Поддержать разработку</a></li>
<li><a href="https://sourceforge.net/p/veracrypt/discussion/" target="_blank">Форум</a></li>
</ul>
</div>
<div>
<p>
<a href="Documentation.html">Документация</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="System%20Encryption.html">Шифрование системы</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="EFISecureBoot.html">EFI Secure Boot</a>
</p></div>
<div class="wikidoc">
<h1>EFI Secure Boot</h1>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Шифрование системы VeraCrypt совместимо с EFI Secure Boot: EFI-загрузчики VeraCrypt подписаны Microsoft в рамках программы Microsoft для подписи сторонних UEFI-компонентов, поэтому прошивка может проверять их по стандартным сертификатам Microsoft без добавления пользовательского ключа. На этой странице описано, как VeraCrypt выбирает подписанные загрузчики, как это связано с переходом Microsoft Secure Boot от центров сертификации 2011 года (CA) к центрам сертификации 2023 года, а также как диагностировать и устранять сбои загрузки, связанные с Secure Boot.
</div>
<h2>Наборы подписанных загрузчиков</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Начиная с версии 1.26.29 VeraCrypt поставляет два полных набора EFI-загрузчиков, подписанных Microsoft:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Набор 2011 года:</strong> подписан с помощью <em>Microsoft Corporation UEFI CA 2011</em>. Этот центр сертификации используется прошивками для сторонних загрузчиков с момента появления Secure Boot.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Набор 2023 года:</strong> подписан с помощью обновлённых сторонних центров сертификации Microsoft. Основной загрузчик (<code>DcsBoot.efi</code>) подписан с помощью <em>Microsoft UEFI CA 2023</em>, а остальные компоненты (<code>DcsInt.dcs</code>, <code>LegacySpeaker.dcs</code>) подписаны с помощью <em>Microsoft Option ROM UEFI CA 2023</em>. Поэтому для набора 2023 года требуется, чтобы в базе данных подписей Secure Boot прошивки (db) присутствовали <strong>оба</strong> сертификата: <em>Microsoft UEFI CA 2023</em> и <em>Microsoft Option ROM UEFI CA 2023</em>.
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
При установке, обновлении, восстановлении/переустановке и запуске шифрования системы VeraCrypt считывает базу данных подписей прошивки (db) и выбирает набор загрузчиков, чьим подписывающим центрам сертификации доверяет прошивка. Если присутствует пара центров сертификации 2023 года, предпочтение отдаётся набору 2023 года; в противном случае используется набор 2011 года, если прошивка доверяет <em>Microsoft Corporation UEFI CA 2011</em>. Если Secure Boot включён и прошивка не доверяет ни одному набору, VeraCrypt отказывается устанавливать свой загрузчик и выводит ошибку, вместо того чтобы установить загрузчик, который прошивка отклонит при следующей перезагрузке.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Изменение конфигурации Secure Boot в прошивке (например, включение дополнительных сертификатов в настройках BIOS) само по себе не перезаписывает файлы, уже установленные в системном разделе EFI. После изменения базы данных Secure Boot в прошивке запустите установщик VeraCrypt в режиме <em>Восстановить/переустановить</em> или позвольте службе VeraCrypt System Favorites автоматически обновить загрузчик (она повторно оценивает выбор при запуске Windows, входе в сеанс или разблокировке, выходе из сна и завершении работы).
</div>
<h2>Диагностика</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt записывает сведения о том, какой набор загрузчиков был установлен и почему, в следующий ключ реестра:
</div>
<pre>
HKEY_LOCAL_MACHINE\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader
EfiBootLoaderResourceSet REG_DWORD 2011 (0x7db) или 2023 (0x7e7)
EfiBootLoaderSelectionReason REG_SZ понятная человеку причина выбора
EfiBootLoaderFirmwareDbLastError REG_DWORD последняя ошибка чтения/разбора db прошивки (0 = нет)
EfiBootLoaderSelectionTimeUtc REG_SZ время последнего выбора
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Следующие команды, выполненные из окна PowerShell с повышенными правами, показывают, какие сертификаты Microsoft присутствуют в db прошивки (обратите внимание: на некоторых прошивках имена могут не отображаться при таком простом текстовом поиске, даже если сертификаты присутствуют):
</div>
<pre>
reg query HKLM\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader /s
$t = [Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes)
'Microsoft Corporation UEFI CA 2011',
'Microsoft Windows Production PCA 2011',
'Windows UEFI CA 2023',
'Microsoft UEFI CA 2023',
'Microsoft Option ROM UEFI CA 2023' |
ForEach-Object { "$_ : $($t -match [regex]::Escape($_))" }
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Кроме того, служба VeraCrypt System Favorites записывает предупреждение в журнал приложений Windows (источник <em>VeraCryptSystemFavorites</em>), когда обнаруживает, что активная db Secure Boot больше не доверяет одному из компонентов установленной цепочки загрузки.
</div>
<h2>Переход на сертификаты Microsoft 2023 года</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Сертификаты Microsoft Secure Boot 2011 года истекают в 2026 году: <em>Microsoft Corporation KEK CA 2011</em> и <em>Microsoft Corporation UEFI CA 2011</em> истекли в июне 2026 года, а <em>Microsoft Windows Production PCA 2011</em> истекает в октябре 2026 года. Microsoft заменяет их центрами сертификации 2023 года и распространяет новые сертификаты, а также Windows Boot Manager, подписанный <em>Windows UEFI CA 2023</em>, через Windows Update.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Два важных момента для пользователей VeraCrypt:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Истечение срока действия сертификатов не мешает загрузке уже установленных загрузчиков.</strong> UEFI-прошивка не проверяет сроки действия сертификатов во время проверки Secure Boot, поэтому загрузчики, подписанные с помощью CA 2011 года, продолжают загружаться после дат истечения срока действия практически на всех реализациях прошивки. Истечение срока действия означает, что <em>новые</em> двоичные файлы больше нельзя подписывать с помощью CA 2011 года, а системы, которые так и не получат сертификаты 2023 года, перестанут получать обновления безопасности цепочки загрузки.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Будущий отзыв CA 2011 года не позволит загружать подписанные ими загрузчики.</strong> Microsoft объявила, что на более позднем этапе перехода (пока не запланированном) CA 2011 года могут быть отозваны через базу данных запрещённых подписей Secure Boot (dbx) на системах, завершивших переход. Поэтому рекомендуется заранее перейти на набор загрузчиков 2023 года.
</li>
</ul>
<h2>Новые компьютеры, доверяющие только CA 2023 года</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Некоторые новые компьютеры поставляются с завода с конфигурацией Secure Boot, содержащей только <em>Windows UEFI CA 2023</em> и вообще не содержащей сторонних центров сертификации Microsoft. На таких системах сначала нужно включить в настройках прошивки два сторонних центра сертификации, необходимых для набора загрузчиков VeraCrypt 2023 года (<em>Microsoft UEFI CA 2023</em> и <em>Microsoft Option ROM UEFI CA 2023</em>). Обычно этот параметр называется <em>&quot;Allow Microsoft 3rd Party UEFI CA&quot;</em>, <em>&quot;Third-Party CA&quot;</em> или <em>&quot;Third-Party Certificates&quot;</em>. После его включения запустите установщик VeraCrypt в режиме <em>Восстановить/переустановить</em> (или начните шифрование системы), чтобы VeraCrypt выбрал набор загрузчиков 2023 года.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Если прошивка не предоставляет возможности доверять стороннему центру сертификации Microsoft, шифрование системы VeraCrypt нельзя использовать на этом компьютере при включённом Secure Boot.
</div>
<h2>Обновление существующей системы до сертификатов 2023 года</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Windows распространяет сертификаты 2023 года поэтапно, на основе телеметрии. Устройства обновляются автоматически только после того, как Microsoft получает достаточную уверенность в конкретном сочетании оборудования и прошивки. Поскольку компьютер с системным шифрованием VeraCrypt загружается через нестандартную цепочку загрузки (загрузчик VeraCrypt занимает место Windows Boot Manager), такие компьютеры обычно не классифицируются для автоматического обновления, и развёртывание не запускается само. Приложение "Безопасность Windows" может сообщать, что <em>&quot;not yet enough data to classify your device&quot;</em>. По той же причине участия в управляемом Microsoft развёртывании (значение реестра <code>MicrosoftUpdateManagedOptIn</code>) на таких компьютерах может оказаться недостаточно.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Microsoft документирует значение реестра для явного запуска обновления (см. Microsoft KB5068202, <em>&quot;Registry key updates for Secure Boot&quot;</em>). Из командной строки с повышенными правами:
</div>
<pre>
reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
rem при необходимости запустите задачу обслуживания сразу (иначе она выполняется каждые 12 часов):
schtasks /Run /TN "\Microsoft\Windows\PI\Secure-Boot-Update"
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Ход выполнения можно отслеживать в <code>HKLM\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing</code> (значения <code>UEFICA2023Status</code> и <code>UEFICA2023Error</code>) и по событиям обслуживания Secure Boot в журнале событий Windows. Обновление db добавляет <em>Windows UEFI CA 2023</em>, а на системах, которые уже доверяют <em>Microsoft Corporation UEFI CA 2011</em> (что верно для каждой системы VeraCrypt с Secure Boot), также добавляет <em>Microsoft UEFI CA 2023</em> и <em>Microsoft Option ROM UEFI CA 2023</em>.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Перед запуском обновления на машине с системным шифрованием VeraCrypt примите следующие меры предосторожности:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Сначала обновите BIOS/UEFI-прошивку до последней версии, доступной у производителя компьютера.</strong> Сбои записи новых сертификатов в базу Secure Boot прошивки обычно вызваны ошибками прошивки, и Microsoft рекомендует проверить наличие обновлённой прошивки у производителя устройства перед применением обновлений сертификатов.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Сначала создайте или обновите Диск восстановления VeraCrypt</strong> и убедитесь, что он загружается.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Не отключайте службу <em>VeraCrypt System Favorites</em> или её функцию обновления загрузчика. Когда задача обслуживания Windows устанавливает Windows Boot Manager, подписанный сертификатом 2023 года, в стандартное расположение, именно эта служба сохраняет цепочку загрузки VeraCrypt: она сохраняет новый загрузчик как <code>bootmgfw_ms.vc</code> (копию, на которую VeraCrypt передаёт управление после предзагрузочной аутентификации) и восстанавливает загрузчик VeraCrypt.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>Пользователям скрытой операционной системы не следует запускать обновление из скрытой ОС.</strong> Автоматическое сохранение цепочки загрузки отключено, когда работает скрытая ОС.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Избегайте принудительного отключения питания между моментом, когда Windows заменяет загрузчик, и следующей обычной перезагрузкой или выключением. На большинстве систем загрузочная запись VeraCrypt сохраняет возможность загрузки компьютера в этот промежуток, но прошивка, игнорирующая порядок загрузки, может загрузить обычный Windows Boot Manager, который не сможет запустить зашифрованную Windows (восстанавливается с помощью Диска восстановления).
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Ожидайте, что Windows будет продолжать сообщать о не полностью завершённом обслуживании сертификатов Secure Boot даже после того, как всё работает. Windows проверяет, является ли файл в стандартном расположении загрузчика Microsoft Boot Manager, подписанным сертификатом 2023 года; в системе VeraCrypt это расположение по замыслу занимает загрузчик VeraCrypt. Это состояние носит косметический характер и не влияет на безопасность или работу системы.
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
После применения обновления db VeraCrypt автоматически переключится на набор загрузчиков 2023 года при следующем обновлении загрузчика (<em>Восстановить/переустановить</em>, обновление версии или одна из автоматических точек обновления службы System Favorites). Результат можно проверить в описанном выше ключе реестра диагностики и заново создать Диск восстановления, когда появится соответствующее приглашение.
</div>
<h2>Восстановление после сбоя загрузки Secure Boot</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Если конфигурация Secure Boot в прошивке больше не доверяет одному из компонентов цепочки загрузки, возможны два разных сбоя:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>До запроса пароля</strong> (сообщение вроде <em>&quot;Secure Boot Violation&quot;</em> или немедленный возврат в прошивку): прошивка не доверяет CA, которым подписан установленный загрузчик VeraCrypt.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>После успешного ввода пароля</strong> (явное сообщение об ошибке Secure Boot от загрузчика VeraCrypt или, на старых версиях загрузчика, возврат к запросу пароля): прошивка не доверяет CA, которым подписана копия Windows Boot Manager (<code>bootmgfw_ms.vc</code>), на которую VeraCrypt передаёт управление.
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
В обоих случаях процедура восстановления такова:
</div>
<ol style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Временно отключите Secure Boot в настройках прошивки и запустите Windows обычным образом (предзагрузочная аутентификация VeraCrypt работает и с отключённым Secure Boot) или загрузите Диск восстановления VeraCrypt и используйте <em>&quot;Restore VeraCrypt loader binaries to system disk&quot;</em>.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
В Windows настройте сертификаты Secure Boot в прошивке/Windows по необходимости (включите сторонние центры сертификации в настройках прошивки или примените обновления сертификатов Windows Secure Boot, как описано выше), затем запустите установщик VeraCrypt в режиме <em>Восстановить/переустановить</em>.
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
Снова включите Secure Boot.
</li>
</ol>
<h2>Устаревшая процедура с пользовательскими ключами (не рекомендуется)</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
В более старых версиях VeraCrypt была задокументирована процедура с пользовательскими ключами (скрипт VeraCrypt-DCS <em>SecureBoot</em>, <code>sb_set_siglists.ps1</code>), которая заменяла базы Secure Boot прошивки пользовательским ключом платформы и сертификатами Microsoft эпохи 2011 года. Эта процедура <strong>устарела и не должна использоваться</strong> на системах с цепочкой сертификатов 2023 года: она удаляет доверие к Windows Boot Manager, подписанному сертификатом 2023 года, и нарушает загрузку Windows после предзагрузочной аутентификации VeraCrypt. Системы, где она применялась, должны восстановить заводские ключи Secure Boot производителя, а затем следовать обычной процедуре, описанной на этой странице.
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Следующий раздел &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
@@ -56,5 +56,5 @@ Windows RT, Windows 2003 IA-64, Windows 2008 IA-64, Windows XP IA-64 и
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Следующий раздел &gt;&gt;</a></div>
<a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Следующий раздел &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
+1
View File
@@ -96,6 +96,7 @@ XTS</a> (см. раздел <a href="Modes%20of%20Operation.html" style="text-al
(позже пользователь может вручную зашифровать другие разделы с данными с помощью VeraCrypt).
В устаревшем режиме загрузки MBR программа выполняет шифрование этого раздела, только если вы выбрали
шифрование всего системного диска (а не шифрование только раздела, в котором установлена Windows).</p>
<p>В режиме загрузки EFI с включённым Secure Boot при установке, восстановлении/переустановке, обновлении или восстановлении после Windows PostOOBE VeraCrypt выбирает набор загрузчиков, подписанный Microsoft UEFI CA, которому доверяет активная база данных Secure Boot прошивки (db). Для набора загрузчиков VeraCrypt 2023 года требуются Microsoft UEFI CA 2023 и Microsoft Option ROM UEFI CA 2023, а для набора 2011 года — Microsoft Corporation UEFI CA 2011. Если активная db не доверяет ни одному поддерживаемому набору, VeraCrypt прерывает операцию и не устанавливает загрузчик, который прошивка отклонит при следующей перезагрузке. Если вы вручную изменили записи db Secure Boot в прошивке, запустите восстановление/переустановку VeraCrypt, чтобы обновить установленный набор загрузчиков. Подробности, включая переход на сертификаты Microsoft 2023 года и процедуры восстановления, см. в разделе <a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none">EFI Secure Boot</a>.</p>
<p>&nbsp;</p>
<p><a href="Hidden%20Operating%20System.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">Следующий раздел &gt;&gt;</a></p>
</div>
+1
View File
@@ -42,6 +42,7 @@
<ul>
<li><a href="Hidden%20Operating%20System.html">隐藏操作系统</a>
</li><li><a href="Supported%20Systems%20for%20System%20Encryption.html">支持系统加密的操作系统</a>
</li><li><a href="EFISecureBoot.html">EFI安全启动</a>
</li><li><a href="VeraCrypt%20Rescue%20Disk.html">VeraCrypt 救援盘</a>
</li></ul>
</li><li><strong><a href="Plausible%20Deniability.html">似是而非的否认</a></strong><br>
+194
View File
@@ -0,0 +1,194 @@
<!DOCTYPE html>
<html lang="zh-CN">
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>VeraCrypt - 为偏执者提供强大安全保障的免费开源磁盘加密工具</title>
<meta name="description" content="VeraCrypt是一款适用于Windows、Mac OS X和Linux的免费开源磁盘加密软件。若攻击者强迫您透露密码,VeraCrypt可提供似是而非的否认理由。与文件加密不同,VeraCrypt执行的数据加密是实时(即时)、自动、透明的,所需内存极少,且不涉及临时未加密文件。"/>
<meta name="keywords" content="加密, 安全"/>
<link href="styles.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div>
<a href="Documentation.html"><img src="VeraCrypt128x128.png" alt="VeraCrypt"/></a>
</div>
<div id="menu">
<ul>
<li><a href="Home.html">主页</a></li>
<li><a href="Code.html">源代码</a></li>
<li><a href="Downloads.html">下载</a></li>
<li><a class="active" href="Documentation.html">文档</a></li>
<li><a href="Donation.html">捐赠</a></li>
<li><a href="https://sourceforge.net/p/veracrypt/discussion/" target="_blank">论坛</a></li>
</ul>
</div>
<div>
<p>
<a href="Documentation.html">文档</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="System%20Encryption.html">系统加密</a>
<img src="arrow_right.gif" alt=">>" style="margin-top: 5px">
<a href="EFISecureBoot.html">EFI安全启动</a>
</p></div>
<div class="wikidoc">
<h1>EFI安全启动</h1>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt系统加密兼容EFI Secure Boot(安全启动):VeraCrypt EFI引导加载程序通过Microsoft第三方UEFI签名计划由Microsoft签名,因此固件可以使用标准Microsoft证书验证它们,而无需注册任何自定义密钥。本页说明VeraCrypt如何选择已签名的引导加载程序、这与Microsoft Secure Boot证书从2011证书颁发机构(CA)过渡到2023 CA的关系,以及如何诊断并恢复安全启动相关的启动故障。
</div>
<h2>已签名的引导加载程序套件</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
自1.26.29版起,VeraCrypt随附两套完整的Microsoft签名EFI引导加载程序:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>2011套件:</strong>通过 <em>Microsoft Corporation UEFI CA 2011</em> 签名。这是自安全启动引入以来固件用于第三方引导加载程序的CA。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>2023套件:</strong>通过更新后的Microsoft第三方CA签名。主引导加载程序(<code>DcsBoot.efi</code>)通过 <em>Microsoft UEFI CA 2023</em> 签名,其他组件(<code>DcsInt.dcs</code><code>LegacySpeaker.dcs</code>)通过 <em>Microsoft Option ROM UEFI CA 2023</em> 签名。因此,2023套件要求固件安全启动签名数据库(db)中同时存在 <strong>两个</strong> 证书:<em>Microsoft UEFI CA 2023</em><em>Microsoft Option ROM UEFI CA 2023</em>
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
在安装、升级、修复/重新安装以及开始系统加密时,VeraCrypt会读取固件db,并选择签名CA受固件信任的引导加载程序套件。如果存在2023 CA对,则优先使用2023套件;否则,在 <em>Microsoft Corporation UEFI CA 2011</em> 受信任时使用2011套件。如果启用安全启动且固件不信任任何套件,VeraCrypt会拒绝安装其引导加载程序并显示错误,而不会安装一个在下次重启时会被固件拒绝的加载程序。
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
更改固件安全启动配置(例如在BIOS设置中启用其他证书)本身不会重写已经安装到EFI系统分区上的文件。更改固件安全启动数据库后,请以 <em>修复/重新安装</em> 模式运行VeraCrypt安装程序,或让VeraCrypt System Favorites服务自动刷新引导加载程序(它会在Windows启动、会话登录或解锁、从睡眠恢复以及关机时重新评估选择)。
</div>
<h2>诊断</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt在以下注册表键下记录安装了哪个引导加载程序套件以及原因:
</div>
<pre>
HKEY_LOCAL_MACHINE\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader
EfiBootLoaderResourceSet REG_DWORD 2011 (0x7db) 或 2023 (0x7e7)
EfiBootLoaderSelectionReason REG_SZ 可读的选择原因
EfiBootLoaderFirmwareDbLastError REG_DWORD 上次读取/解析固件db的错误(0 = 无)
EfiBootLoaderSelectionTimeUtc REG_SZ 上次选择的时间
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
以下命令在以管理员身份打开的PowerShell窗口中运行,可显示固件db中存在哪些Microsoft证书(请注意,在某些固件上,即使证书存在,这种简单文本搜索也可能看不到名称):
</div>
<pre>
reg query HKLM\SOFTWARE\VeraCrypt\Diagnostics\EfiBootLoader /s
$t = [Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes)
'Microsoft Corporation UEFI CA 2011',
'Microsoft Windows Production PCA 2011',
'Windows UEFI CA 2023',
'Microsoft UEFI CA 2023',
'Microsoft Option ROM UEFI CA 2023' |
ForEach-Object { "$_ : $($t -match [regex]::Escape($_))" }
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
此外,当VeraCrypt System Favorites服务检测到当前安全启动db不再信任已安装启动链中的某个组件时,会向Windows应用程序事件日志(源 <em>VeraCryptSystemFavorites</em>)写入警告。
</div>
<h2>Microsoft 2023证书过渡</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Microsoft Secure Boot的2011证书在2026年到期:<em>Microsoft Corporation KEK CA 2011</em><em>Microsoft Corporation UEFI CA 2011</em> 已于2026年6月到期,<em>Microsoft Windows Production PCA 2011</em> 将于2026年10月到期。Microsoft会以2023 CA替换它们,并通过Windows Update分发新证书以及由 <em>Windows UEFI CA 2023</em> 签名的Windows启动管理器。
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
VeraCrypt用户需要注意两点:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>证书到期不会阻止已安装的引导加载程序启动。</strong> UEFI固件在安全启动验证期间不会评估证书有效期,因此通过2011 CA签名的引导加载程序在到期日期之后仍会在几乎所有固件实现上继续加载。到期意味着 <em>新的</em> 二进制文件不能再通过2011 CA签名,并且从未收到2023证书的系统将停止接收启动链安全更新。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>未来撤销2011 CA会阻止通过它们签名的引导加载程序启动。</strong> Microsoft已宣布,在过渡的后续阶段(尚未排期),可能会通过安全启动禁止签名数据库(dbx)在已完成过渡的系统上撤销2011 CA。因此建议在该阶段之前迁移到2023引导加载程序套件。
</li>
</ul>
<h2>仅信任2023 CA的新计算机</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
部分较新的计算机出厂时带有只包含 <em>Windows UEFI CA 2023</em>、完全没有Microsoft第三方CA的安全启动配置。在此类系统上,必须先在固件设置中启用VeraCrypt 2023引导加载程序套件所需的两个第三方CA(<em>Microsoft UEFI CA 2023</em><em>Microsoft Option ROM UEFI CA 2023</em>)。该选项通常称为 <em>&quot;Allow Microsoft 3rd Party UEFI CA&quot;</em><em>&quot;Third-Party CA&quot;</em><em>&quot;Third-Party Certificates&quot;</em>。启用后,请以 <em>修复/重新安装</em> 模式运行VeraCrypt安装程序(或开始系统加密),以便VeraCrypt选择2023引导加载程序套件。
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
如果固件没有提供信任Microsoft第三方CA的方法,则无法在该机器启用安全启动的情况下使用VeraCrypt系统加密。
</div>
<h2>将现有系统更新到2023证书</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Windows通过基于遥测的分阶段部署流程分发2023证书。只有在Microsoft对设备硬件/固件组合有足够信心后,设备才会自动更新。由于VeraCrypt系统加密的计算机通过非标准启动链启动(VeraCrypt引导加载程序占用Windows启动管理器的位置),此类计算机通常不会被归类为自动更新对象,因此部署流程不会自行触发。Windows安全中心可能报告 <em>&quot;not yet enough data to classify your device&quot;</em>。同样,选择加入Microsoft管理的部署流程(<code>MicrosoftUpdateManagedOptIn</code> 注册表值)在这些计算机上可能仍不足以触发更新。
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
Microsoft文档提供了一个用于显式触发更新的注册表值(参见Microsoft KB5068202<em>&quot;Registry key updates for Secure Boot&quot;</em>)。在以管理员身份打开的命令提示符中运行:
</div>
<pre>
reg add HKLM\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
rem 可选:立即运行维护任务(否则它每 12 小时运行一次):
schtasks /Run /TN "\Microsoft\Windows\PI\Secure-Boot-Update"
</pre>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
可在 <code>HKLM\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing</code> 下监视进度(值 <code>UEFICA2023Status</code><code>UEFICA2023Error</code>),也可通过Windows事件日志中的安全启动维护事件监视。db更新会添加 <em>Windows UEFI CA 2023</em>;在已经信任 <em>Microsoft Corporation UEFI CA 2011</em> 的系统上(每台启用安全启动的VeraCrypt系统都是如此),还会添加 <em>Microsoft UEFI CA 2023</em><em>Microsoft Option ROM UEFI CA 2023</em>
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
在VeraCrypt系统加密机器上触发更新之前,请采取以下预防措施:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>首先将BIOS/UEFI固件更新到计算机制造商提供的最新版本。</strong> 新证书写入固件安全启动数据库失败通常由固件错误造成,Microsoft建议在应用证书更新之前先向设备制造商确认是否有更新的固件。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>首先创建或更新VeraCrypt救援盘</strong>,并验证它能够启动。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
不要禁用 <em>VeraCrypt System Favorites</em> 服务或其引导加载程序更新功能。当Windows维护任务在标准位置安装2023证书签名的Windows启动管理器时,该服务负责保留VeraCrypt启动链:它将新的启动管理器保存为 <code>bootmgfw_ms.vc</code>(VeraCrypt在预启动身份验证后链式加载的副本),并恢复VeraCrypt引导加载程序。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>隐藏操作系统用户不应从隐藏操作系统触发更新。</strong> 运行隐藏操作系统时,自动启动链保留功能被禁用。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
避免在Windows替换启动管理器到下一次正常重启或关机之间强制断电。在大多数系统上,VeraCrypt启动项会在这个时间窗口内保持计算机可启动,但忽略启动顺序的固件可能会启动普通Windows启动管理器,而它无法启动加密的Windows(可用救援盘恢复)。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
即使一切正常,也应预期Windows仍会报告安全启动证书维护未完全完成。Windows会检查标准启动管理器位置的文件是否为2023证书签名的Microsoft Boot Manager;在VeraCrypt系统上,该位置按设计保存VeraCrypt引导加载程序。此状态仅为显示问题,不影响系统安全性或运行。
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
应用db更新后,VeraCrypt会在下次刷新引导加载程序时自动切换到2023引导加载程序套件(<em>修复/重新安装</em>、升级,或System Favorites服务的某个自动刷新点)。您可以在上文所述的诊断注册表键中验证结果,并在提示时重新创建救援盘。
</div>
<h2>从安全启动故障中恢复</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
当固件安全启动配置不再信任启动链中的某个组件时,可能出现两类不同故障:
</div>
<ul style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>密码提示出现之前</strong>(例如 <em>&quot;Secure Boot Violation&quot;</em> 消息,或立即返回固件):固件不信任为已安装VeraCrypt引导加载程序签名的CA。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
<strong>成功输入密码之后</strong>(VeraCrypt引导加载程序显示明确的安全启动错误消息,或在较旧加载程序版本上返回密码提示):固件不信任为Windows启动管理器副本(<code>bootmgfw_ms.vc</code>)签名的CA,而该副本由VeraCrypt链式加载。
</li>
</ul>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
两种情况下,恢复步骤均为:
</div>
<ol style="text-align:left; margin-top:18px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
暂时在固件设置中禁用安全启动并正常启动Windows(禁用安全启动时VeraCrypt预启动身份验证仍可工作),或启动VeraCrypt救援盘并使用 <em>&quot;将VeraCrypt加载程序二进制文件恢复到系统磁盘&quot;</em>
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
在Windows中,根据需要调整固件/Windows安全启动证书(在固件设置中启用第三方CA,或按上文所述应用Windows安全启动证书更新),然后以 <em>修复/重新安装</em> 模式运行VeraCrypt安装程序。
</li>
<li style="text-align:left; margin-top:0px; margin-bottom:0px; padding-top:0px; padding-bottom:0px">
重新启用安全启动。
</li>
</ol>
<h2>旧版自定义密钥步骤(已弃用)</h2>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
较旧的VeraCrypt版本曾记录一种自定义密钥流程(VeraCrypt-DCS的 <em>SecureBoot</em> 脚本,<code>sb_set_siglists.ps1</code>),它用自定义平台密钥和2011版Microsoft证书替换固件安全启动数据库。此流程<strong>已经弃用,在使用2023证书链的系统上不得使用</strong>:它会移除对2023证书签名的Windows启动管理器的信任,并在VeraCrypt预启动身份验证后破坏Windows启动过程。已应用该流程的系统应恢复制造商安全启动密钥,然后按照本页所述的正常步骤操作。
</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">下一部分 &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
@@ -53,5 +53,5 @@ Windows ARM64仅支持非系统卷。Windows ARM64目前不支持系统加密。
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
&nbsp;</div>
<div style="text-align:left; margin-top:19px; margin-bottom:19px; padding-top:0px; padding-bottom:0px">
<a href="VeraCrypt%20Rescue%20Disk.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">下一部分 &gt;&gt;</a></div>
<a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">下一部分 &gt;&gt;</a></div>
</div><div class="ClearBoth"></div></body></html>
+2 -1
View File
@@ -61,7 +61,8 @@ VeraCrypt可以对系统分区或整个系统驱动器进行即时加密,即
由于BIOS要求,预启动密码需使用 <strong>美国键盘布局</strong> 输入。在系统加密过程中,VeraCrypt会自动透明地将键盘切换到美国布局,以确保输入的密码值与预启动模式下输入的密码值匹配。然而,从剪贴板粘贴密码可能会覆盖此保护措施。为防止因这种差异而产生的任何问题,VeraCrypt在系统加密向导中禁用了从剪贴板粘贴密码的选项。因此,在设置或输入密码时,务必手动使用与创建系统加密时相同的按键进行输入,以确保能够一致地访问您的加密系统。
</div>
<p>注意:默认情况下,Windows 7及更高版本从一个特殊的小分区启动。该分区包含启动系统所需的文件。Windows只允许具有管理员权限的应用程序在系统运行时写入该分区。在EFI启动模式(现代PC的默认模式)下,VeraCrypt无法加密此分区,因为它必须保持未加密状态,以便BIOS可以从中加载EFI引导加载程序。这反过来意味着在EFI启动模式下,VeraCrypt仅提供对安装Windows的系统分区进行加密(用户以后可以使用VeraCrypt手动加密其他数据分区)。在MBR传统启动模式下,只有当您选择加密整个系统驱动器(而不是仅选择加密安装Windows的分区)时,VeraCrypt才会对该分区进行加密。</p>
<p>在启用安全启动的EFI启动模式下,VeraCrypt会在安装、修复/重新安装、升级或Windows PostOOBE修复期间,选择受当前固件安全启动db信任且由Microsoft UEFI CA签名的引导加载程序套件。VeraCrypt 2023引导加载程序套件需要Microsoft UEFI CA 2023和Microsoft Option ROM UEFI CA 20232011引导加载程序套件需要Microsoft Corporation UEFI CA 2011。如果当前db不信任任何受支持的套件,VeraCrypt会中止操作,而不会安装会在下一次重启时被固件拒绝的加载程序。如果您手动更改固件安全启动db条目,请运行VeraCrypt修复/重新安装以刷新已安装的引导加载程序套件。有关详细信息,包括Microsoft 2023证书过渡和恢复步骤,请参阅 <a href="EFISecureBoot.html" style="text-align:left; color:#0080c0; text-decoration:none">EFI安全启动</a></p>
<p>&nbsp;</p>
<p><a href="Hidden%20Operating%20System.html" style="text-align:left; color:#0080c0; text-decoration:none; font-weight:bold">下一部分 &gt;&gt;</a></p>
</div>
</body></html>
</body></html>